热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全

经典的Linux和Unix系统安全程序

发布时间:2009-08-30 13:53文章来源:未知文章作者:admin 点击次数:
摘要:在Linux安全领域,最近加入了不少极具吸引力的新成员,比如SELinux、AppArmor以及各种形式的虚拟化技术。 给你自己30分钟来学着运行Bastille吧。不用担心:我们的想法就是边学边做。 刚开始的一系列提示会问你是否想对某些特定命令禁用SUID root bit(该选项...

在Linux安全领域,最近加入了不少极具吸引力的新成员,比如SELinux、AppArmor以及各种形式的虚拟化技术。


给你自己30分钟来学着运行Bastille吧。不用担心:我们的想法就是边学边做。

刚开始的一系列提示会问你是否想对某些特定命令禁用SUID root bit(该选项能让普通用户运行需要root权限的命令)。乍一看你可能会想“我当然不需要SUID root命令!这是一个多么明显的安全漏洞啊!”但不要急着说yes。比如说,你真的需要进行root登录才能使用mount或ping命令?如果这样,未经授权的用户就无法安装像CD这种可卸载媒介;而ping其实也不会带来什么大的危害。如果你回答“Yes”但随后改变了主意,可以使用下面的chmod命令来重置SUID bit:

以下是引用片段:
  # chmod u+s ping
  无论如何你都应该定期检查启用了SUID的文件,只需要注意一下系统受到的潜在破坏或忘掉了的尝试性修改。可以使用下面的命令查看这些文件的列表:

   以下是引用片段:
# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -l {} \;
  下面是你会遇到的一些提示问题:

  Bastille是否应该禁用基于IP进行用户认证的明文r-协议?(Should Bastille disable clear-text r-protocols that use IP-based authentication?)

  回答Yes。这个选项针对rsh、rlogin、rcp和rdist,它们在所有的数据传输中都使用明文。你无论如何都不应该使用它们,因为它们早就被ssh和scp替代了。

  你是否想用密码保护单用户模式?(Would you like to password protect single-user mode?)

  回答Yes。如果没有密码,任何人就都能通过重启进入单用户模式来获得root权限。

  Bastille是否应该确保telnet服务不在本系统上运行?(Should Bastille ensure the telnet service does not run on this system?)

  不仅回答Yes,而且一定得是Yes,除非你有十足的把握确信要运行telnet服务。启用telnet服务相当不安全。选择Yes并不会禁用telnet客户端程序,这对排除网络故障还是很有用的。

  禁用gcc编译器不是太重要的一项安全措施。如果你需要用到它,就不要禁用。如果你不需要它,就禁用。

  你是否要限制系统资源的使用?(Would you like to put limits on system resource usage?)

  回答Yes是相当安全的。内核转储(Core dump)对最终用户并不是特别有用,文件可能变得非常大,因此设置对用户进程的限制通常是一个好主意。可以使用下面的命令来算一下总共有多少个用户进程,就会知道Bastille默认150的限制是否够用:

  以下是引用片段:
 $ ps --no-headers -U [username] | wc -l
  你可以在/etc/security/limits.conf中修改这些限制。

  你是否想添加额外的日志?(Would you like to add additional logging?)

  回答Yes,你应该这么做。

  尽管防火墙脚本相当不错,但它没有提供足够的信息来告诉你对每一个端口应该怎么做。看一下这个危险的TCP/IP端口列表。你需要自己确定是否要在防火墙中为某些服务打开相应端口,例如为SSH、DNS或Web服务器等等。Bastille可以接受端口号或者服务名称,依据是/etc/services文件。这个网页列出了ICMP类型,在你想监视它们或想了解它们是什么的时候可以参考。你不能阻止所有的ICMP消息,否则就可能搞乱基本的网络功能;Bastille的默认设置就挺不错。

  ICMP攻击详解这个链接是一个很好的ICMP隐患指南。

  到最后,你既可以激活所做的更改,又能返回进行修改。Bastille会告诉你如何开始、停止和测试你的防火墙脚本。可以在/etc/Bastille目录下看到新的脚本,并在/var/log/Bastille目录下看到所有活动的一份记录。

  在不同的服务器和台式电脑上照这样多做几次,你就能很好地学会基本的Linux系统安全强化知识


 

标签分类: linux

上一篇:SQL Server里附加数据库出错的解决方法
下一篇:windows 2003 下tomcat权限安全設置