Linux安全設置手冊(圖)

class="152888"> 本文講述了如何通過基本的安全措施，使你的Linux系統變得可靠。
Bios Security
一定要給Bios設置密碼，以防通過在Bios中改變啟動順序，而可以從軟盤啟動。
這樣可以阻止別人試圖用特殊的啟動盤啟動你的系統，還可以阻止別人進入Bios改動其中的設置（比如允許通過軟盤啟動等）。
LILO Security
在“/etc/lilo.conf”文件中加入下面三個參數：time-
out,restricted,password。這三個參數可以使你的系統在啟動lilo時就要求密
碼驗證。
第一步:

 編輯lilo.conf文件（vi /etc/lilo.comf）,假如或改變這三個參數： boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=00 #把這行該為00 prompt Default=linux restricted #加入這行 password= #加入這行並設置自己的密碼 image=/boot/vmlinuz-2.2.14-12 label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only 

第二步：

因為"/etc/lilo.conf"文件中包含明文密碼，所以要把它設置為root權限讀取。 [root@kapil /]# chmod 600 /etc/lilo.conf 

第三步：

更新系統，以便對“/etc/lilo.conf”文件做的修改起作用。 [Root@kapil /]# /sbin/lilo -v 

第四步：

使用“chattr”命令使"/etc/lilo.conf"文件變為不可改變。 [root@kapil /]# chattr +i /etc/lilo.conf 

這樣可以防止對“/etc/lilo.conf”任何改變（以外或其他原因）
刪除所有的特殊賬戶
你應該刪除所有不用的缺省用戶和組賬戶（比如lp, sync, shutdown, halt, news, uucp, operator, games, gopher等）。

刪除用戶： [root@kapil /]# userdel LP 刪除組： [root@kapil /]# groupdel LP 

在選擇正確密碼之前還應作以下修改：
修改密碼長度：在你安裝linux時默認的密碼長度是5個字節。但這並不夠，要把它設為8。修改最短密碼長度需要編輯login.defs文件

（vi /etc/login.defs），把下面這行 PASS_MIN_LEN 5 改為 PASS_MIN_LEN 8 

login.defs文件是login程序的配置文件。
打開密碼的shadow支持功能
你應該打開密碼的shadow功能，來對password加密。使用
“/usr/sbin/authconfig”工具打開shadow功能。如果你想把已有的密碼和組轉
變為shadow格式，可以分別使用“pwcov,grpconv”命令。
root賬戶
在unix系統中root賬戶是具有最高特權的。如果系統管理員在離開系統之前忘記
注銷root賬戶，系統會自動注銷。通過修改賬戶中“TMOUT”參數，可以實現此
功能。TMOUT按秒計算。編輯你的profile文件（vi /etc/profile）,
在"HISTFILESIZE="後面加入下面這行：

TMOUT=3600 

3600，表示60*60=3600秒，也就是1小時。這樣，如果系統中登陸的用戶在一個
小時內都沒有動作，那麼系統會自動注銷這個賬戶。你可以在個別用戶的
“.bashrc”文件中添加該值，以便系統對該用戶實行特殊的自動注銷時間。
改變這項設置後，必須先注銷用戶，再用該用戶登陸才能激活這個功能。
取消普通用戶的控制台訪問權限
你應該取消普通用戶的控制台訪問權限，比如shutdown、reboot、halt等命令。

[root@kapil /]# rm -f /etc/security/console.apps/ 

是你要注銷的程序名。
取消並反安裝所有不用的服務
取消並反安裝所有不用的服務，這樣你的擔心就會少很多。察看
“/etc/inetd.conf”文件，通過注釋取消所有你不需要的服務（在該服務項目
之前加一個“#”）。然後用“sighup”命令升級“inetd.conf”文件。

第一步： 更改“/etc/inetd.conf”權限為600，只允許root來讀寫該文件。 [Root@kapil /]# chmod 600 /etc/inetd.conf 第二步： 確定“/etc/inetd.conf”文件所有者為root。 第三步： 編輯 /etc/inetd.conf文件（vi /etc/inetd.conf），取消下列服務（你不需要 的）：ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop- 3, finger, auth等等。把不需要的服務關閉可以使系統的危險性降低很多。 第四步： 給inetd進程發送一個HUP信號： [root@kapil /]# killall -HUP inetd 第五步： 用chattr命令把/ec/inetd.conf文件設為不可修改，這樣就沒人可以修改它： [root@kapil /]# chattr +i /etc/inetd.conf 

這樣可以防止對inetd.conf的任何修改（以外或其他原因）。唯一可以取消這個
屬性的人只有root。如果要修改inetd.conf文件，首先要是取消不可修改性質：

[root@kapil /]# chattr -i /etc/inetd.conf 

別忘了該後再把它的性質改為不可修改的。