Linux 服務器系統安全配置事項

Linux 服務器系統安全配置，Linux 系統是公認很安全的系統，但是畢竟是開源的，多多少少也存在一定的隱患，下面就介紹一下系統安全配置事項吧，Linux 面臨的威脅主要有DoS 攻擊、本地用戶獲取非授權的文件的讀寫權限、遠程用戶獲得特權文件的讀寫權限、遠程用戶獲得root 權限等。

可采用以下措施進行預防：

（1）刪除所有的特殊賬戶，包括lp、shutdown、halt、news、uucp、operator、games、gopher 等。

可參考以下命令：

[root@redhat root]# userdel lp

[root@redhat root]# groupdel lp

（2）修改默認root 密碼長度。默認root 密碼長度是5 位，建議修改為8 位。

編輯/etc/login.defs, 把 PASS_MIN_LEN 5 修改為PASS_MIN_LEN 8.

（3）打開密碼shadow 支持功能，利用md5 算法加密為shadow 文件添加不可更改屬性。

具體命令為：

[root@redhat root]# chattr +i /etc/shadow

（4）取消所有不需要的服務，如Telnet、HTTP 等默認啟動的服務。關閉Telnet,編輯/etc/xinetd.d/telnet,修改disable = no 為disable = yes,更改/etc/xinetd.conf 的權限為600,只允許root 來讀寫該文件。

具體命令為：

[root@redhat root]# chmod 600 /etc/

xinetd.conf

（5）屏蔽系統登錄信息，包括Linux 發行版、內核版本名和服務器主機名等。

具體命令為：

[root@redhat root]# rm /etc/issue

[root@redhat root]# rm /etc/issue.net

（6）禁止按Ctrl+Alt+Del 鍵關閉系統。

編輯/etc/inittab,將：

ca::ctrlaltdel:/sbin/shutdown-t3 -rnow

改為：

#ca::ctrlaltdel:/sbin/shutdown-t3-rnow

（7）不允許root 從不同的控制台進行登錄。

編輯/etc/securetty,在不需要登錄的TTY設備前添加#,禁止從TTY 設備進行root 登錄。

（8）使用SSH 進行遠程連接。通過SSH 客戶端軟件連接Linux,在Linux 下利用以下命令連接其他Linux:

[root@redhat root]# ssh -l root

192.168.2.180

（9）禁止隨意通過su 命令將普通用戶變為root 用戶。編輯/etc/pam.d/su,加入以下內容：

auth sufficient /lib/security/pam_

rootok.so debug

auth required /lib/security/pam_

wheel.so group=wheel

wheel 為系統中隱含的組，只有wheel 組的成員才能用su 命令成為root.

（10）配置防火牆，並隨時關注Linux 網站上內核更新，保持最新的系統內核。