首页 > 知识点讲解
       Linux安全增强配置参考
知识路径: > 操作系统安全保护 > UNIX/Linux操作系统安全分析与防护 > UNIX/Linux操作系统安全防护(系统安全增强方法和流程、系统安全增强工具与产品、系统常见漏洞与解决方法等) > 
考试要求:熟悉      相关知识点:37个      
        Linux是被广泛应用的系统,其系统安全性日益重要。针对Linux的安全问题,下面介绍Linux目前主要的安全增强措施和操作。
               禁止访问重要文件
               对于系统中的某些关键性文件,如inetd.conf、services和lilo.conf等可修改其属性,防止意外修改和被普通用户查看。
               首先改变文件属性为600:
               
               保证文件的属主为root,将其设置为不能改变:
               
               这样,对该文件的任何改变都将被禁止。
               只有root重新设置复位标志后才能进行修改:
               
               禁止不必要的SUID程序
               SUID可以使普通用户以root权限执行某个程序,因此应严格控制系统中的此类程序。找出root所属的带s位的程序:
               
               禁止其中不必要的程序:
               
               为LILO增加开机口令
               在/etc/lilo.conf文件中增加选项,从而使LILO启动时要求输入口令,以加强系统的安全性。具体设置如下:
               
               此时需注意,由于在LILO中口令是以明码方式存放的,所以还需要将lilo.conf的文件属性设置为只有root可以读写:
               
               当然,还需要进行如下设置,使lilo.conf的修改生效:
               
               设置口令最小长度和最短使用时间
               口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度至少为8。为此,需修改文件/etc/login.defs中的参数PASS_MIN_LEN。同时应限制口令的使用时间,保证定期更换口令,建议修改参数PASS_MIN_DAYS。
               限制远程访问
               在Linux中可通过/etc/hosts.allow和/etc/hosts.deny这两个文件允许和禁止远程主机对本地服务的访问。
               (1)编辑hosts.deny文件,加入下列行:
               
               则所有服务对所有外部主机禁止,除非由hosts.allow文件指明允许。
               (2)编辑hosts.allow文件,可加入下列行:
               
               则将允许IP地址为202.XXX.XXX和主机名为YYY.com的机器作为客户访问FTP服务。
               (3)设置完成后,可用tcpdchk检查设置是否正确。
               用户超时注销
               如果用户离开时忘记注销账户,则可能给系统安全带来隐患。可修改/etc/profile文件,保证账户在一段时间没有操作后,自动从系统注销。
               编辑文件/etc/profile,在“HISTFILESIZE=”行的下一行增加如下一行:
               
               则所有用户将在10分钟无操作后自动注销。
               注销时删除命令记录
               编辑/etc/skel/.bash_logout文件,增加如下行:
               
               这样使得系统中的用户在注销时都会删除其命令记录。如果只需要针对某个特定用户,如root用户进行设置,则可只在该用户的主目录下修改/$HOME/.bash_history文件,增加相同的一行即可。
 
 相关知识点:
 
软考在线指南
优惠劵及余额
在线支付
修改密码
下载及使用
购买流程
取消订单
联系我们
关于我们
联系我们
商务合作
旗下网站群
高级资格科目
信息系统项目管理师 系统分析师
系统架构设计师 网络规划设计师
系统规划与管理师
初级资格科目
程序员 网络管理员
信息处理技术员 信息系统运行管理员
中级资格科目
系统集成项目管理工程师 网络工程师
软件设计师 信息系统监理师
信息系统管理工程师 数据库系统工程师
多媒体应用设计师 软件评测师
嵌入式系统设计师 电子商务设计师
信息安全工程师
 

本网站所有产品设计(包括造型,颜色,图案,观感,文字,产品,内容),功能及其展示形式,均已受版权或产权保护。
任何公司及个人不得以任何方式复制部分或全部,违者将依法追究责任,特此声明。
本站部分内容来自互联网或由会员上传,版权归原作者所有。如有问题,请及时联系我们。


工作时间:9:00-20:00

客服

点击这里给我发消息 点击这里给我发消息 点击这里给我发消息

商务合作

点击这里给我发消息

客服邮箱service@rkpass.cn


京B2-20210865 | 京ICP备2020040059号-5 |京公网安备 11010502032051号 | 营业执照 | Copyright ©2000-2019 All Rights Reserved 软考在线版权所有