Linux Security 10 trucos

La seguridad del sistema es fundamental para los usuarios, y los usuarios de Linux no son una excepción. El autor ha resumido algunos consejos para mejorar la protección de la seguridad de Linux en su propia experiencia de uso de Linux. Lo presentaré aquí. 1. Agregue una contraseña de arranque para LILO ---- Agregue opciones al archivo /etc/lilo.conf para que LILO requiera una contraseña cuando arranque para mejorar la seguridad del sistema. La configuración específica es la siguiente: ---- boot = /dev /had ---- map = /boot /map ---- install = /boot /boot.b ---- time-out = 60 #wait 1 minute - --- indicador ---- predeterminado = linux ---- contraseña = ---- # 密码 设置 ---- imagen = /boot /vmlinuz-2.2.14-12 ---- label = linux --- -initrd = /boot /initrd-2.2.14-12.img ---- root = /dev /hda6 ---- solo lectura ---- En este punto, tenga en cuenta que dado que la contraseña está en modo claro en LILO Almacenado, por lo que necesita establecer la propiedad de archivo de ---- lilo.conf en solo root puede leer y escribir. ---- # chmod 600 /etc/lilo.conf ---- Por supuesto, debe realizar los siguientes ajustes para que los cambios en ---- lilo.conf surtan efecto. ---- # /sbin /lilo -v 2. Establezca la longitud mínima de la contraseña y ---- el tiempo de uso más corto ---- La contraseña es el medio principal para autenticar a los usuarios en el sistema. La longitud mínima predeterminada de la contraseña generalmente es 5 cuando el sistema está instalado, pero la contraseña puede aumentarse para garantizar que la contraseña no sea fácil de adivinar. La longitud mínima es al menos igual a 8. Para hacer esto, modifique el parámetro PASS_MIN_LEN en el archivo /etc/login.defs. Al mismo tiempo, el tiempo de uso de la contraseña debe limitarse para garantizar que la contraseña se cambie periódicamente. Se recomienda modificar el parámetro PASS_MIN_DAYS. 3. Tiempo de espera del usuario cierre de sesión ---- Si olvida cerrar sesión cuando se vaya, esto puede traer peligros ocultos a la seguridad del sistema. El archivo /etc /profile puede modificarse para garantizar que la cuenta se desconecte automáticamente del sistema después de un período de inactividad. ---- Edite el archivo /etc /profile y agregue la siguiente línea a la siguiente línea de la línea "HISTFILESIZE = "": ---- TMOUT = 600 ---- Todos los usuarios se desconectarán automáticamente después de 10 minutos de inactividad. 4. Prohibir el acceso a archivos importantes ---- Algunos archivos clave en el sistema, como inetd.conf, services y lilo.conf, pueden modificarse para evitar modificaciones y visualizaciones accidentales por parte de usuarios comunes. ---- Primero cambie el atributo del archivo a 600: ---- # chmod 600 /etc/inetd.conf ---- Asegúrese de que el propietario del archivo sea root, y luego puede configurarlo para que no cambie: ---- # chattr + I /etc/inetd.conf ---- De esta forma, cualquier cambio en este archivo se desactivará. ---- Solo la raíz puede restablecerse después de restablecer el indicador de restablecimiento: ---- # chattr -I /etc/inetd.conf 5. Permitir y deshabilitar el acceso remoto ---- Los dos archivos en /etc/hosts.allow y /etc/hosts.deny están permitidos en Linux para permitir y prohibir el acceso remoto de un host a los servicios locales. La práctica habitual es: ---- (1) Edite el archivo hosts.deny, agregue la siguiente línea: ---- # Denegar el acceso a todos. ---- ALL: ALL @ ALL ---- luego todos los servicios para todos Los hosts externos están prohibidos a menos que lo especifique el archivo hosts.allow. ---- (2) Edite el archivo hosts.allow, puede agregar la siguiente línea: ---- # Solo un ejemplo: ---- ftp: 202.84.17.11 xinhuanet.com ---- permitirá que la dirección IP sea 202.84 .17.11 y la máquina alojada por xinhuanet.com actúan como un cliente para acceder al servicio FTP. ---- (3) Una vez completada la configuración, tcpdchk puede utilizarse para verificar si la configuración es correcta. 6. Limitar el tamaño del registro de comandos del shell ---- Por defecto, el shell bash almacenará hasta 500 registros de comandos en el archivo $ HOME /.bash_history (dependiendo del sistema específico, el número predeterminado de registros es diferente). Hay un archivo de este tipo en el directorio de inicio de cada usuario en el sistema. Aquí recomiendo encarecidamente limitar el tamaño de este archivo. ---- Puede editar el archivo /etc /profile y modificar las opciones de la siguiente manera: HISTFILESIZE = 30 o HISTSIZE = 30 7. Elimine el registro de comando cuando cierre la sesión ---- Edite el archivo /etc/skel/.bash_logout y agregue la siguiente línea: ---- rm -f $ HOME /.bash_history ---- De esta manera, todos los usuarios del sistema se desconectarán cuando se desconecten. Eliminar su registro de comando. ---- Si solo necesita configurarlo para un usuario específico, como el usuario root, puede modificar el archivo /$HOME/.bash_history solo en el directorio de inicio del usuario y agregar la misma línea. 8. Suprimir programas SUID innecesarios ---- SUID permite a los usuarios normales ejecutar un programa con privilegios de raíz, por lo que dichos programas en el sistema deben controlarse estrictamente. ---- Encuentre el programa con el bit s al que pertenece la raíz: ---- # find /-type f \\ (-perm -04000 -o -perm -02000 \\) -print | Menos ---- prohíbe programas innecesarios: ---- # chmod a-s program_name 9. Verifique la información que se muestra en el momento del arranque ---- Cuando se inicie el sistema Linux, se desplazará una gran cantidad de mensajes de arranque en la pantalla. Si encuentra un problema durante el arranque, debe verificar después de iniciar el sistema. Puede ingresar el siguiente comando: ---- # dmesg > bootmessage ---- Este comando redirigirá la información que se muestra al momento del arranque a un archivo bootmessage . 10. Mantenimiento del espacio en disco ---- Es necesario verificar el espacio en disco con frecuencia para mantener un sistema de archivos Linux. Los comandos que utilizan la mayor parte del mantenimiento de espacio en disco en Linux son df y du. El comando ---- df principalmente verifica el uso del sistema de archivos. El uso habitual es: ---- # df -k ---- Bloques del sistema de archivos 1k Utilizado Uso disponible% Montado en ---- /dev /hda3 1967156 1797786 67688 96% /---- du comando para verificar que el archivo, directorio y subdirectorio ocupan espacio en disco, generalmente con la opción -s, solo muestra la cantidad total de espacio en disco requerido para verificar el directorio, y no muestra los siguientes subdirectorios ocupados La condición del disco. ----% du -s /usr /X11R6 /* ---- 34490 /usr /X11R6 /bin ---- 1 /usr /X11R6 /doc ---- 3354 /usr /X11R6 /include