Red Hat Linux服务器安全策略.docVIP

Red Hat Linux服务器安全策略一:启动信息安全1、为单用户引导加上密码　　在“/etc/lilo.conf”文件中加入三个参数：time-out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。 a)： 编辑lilo.conf文件（vi /etc/lilo.conf）,假如或改变这三个参数：boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=00 #把这行该为00 prompt Default=linux ##########加入这行 restricted ##########加入这行并设置自己的密码 password=password image=/boot/vmlinuz-2.2.14-12 label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only b)：因为/etc/lilo.conf文件中包含明文密码，所以要把它设置为root权限读取。 [root]# chmod 600 /etc/lilo.conf c)：更新系统，以便对“/etc/lilo.conf”文件做的修改起作用。 [root]# /sbin/lilo -v d）：使用“chattr”命令使/etc/lilo.conf文件变为不可改变。 [root]# chattr +i /etc/lilo.conf 2、禁止Control-Alt-Delete 键盘关闭命令 在/etc/inittab 文件中注释掉下面这行： #ca::ctrlaltdel:/sbin/shutdown -t3 -r now 为了使这项改动起作用，输入下面这个命令： [root]# /sbin/init q二、隐藏系统的信息1、历史命令 　　Bash shell在“~/.bash_history”（“~/”表示用户目录）文件中保存了500条使用过的命令，这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个“.bash_history”文件。bash shell应该保存少量的命令，并且在每次用户注销时都把这些历史命令删除。 （1）“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行确定所有用户的“.bash_history”文件中可以保存的旧命令条数。把“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行的值设为一个较小的数。编辑profile文件（vi /etc/profile），把下面这行改为：HISTFILESIZE=30 //设为30 HISTSIZE=30 //不要把HISTSIZE置零，那样就不能使用上下健来调用历史命令了 这表示每个用户的“.bash_history”文件只可以保存30条旧命令。 （2）在/etc/skel/.bash_logout 文件中添加下面这行rm -f $HOME/.bash_history 。这样，当用户每次注销时，“.bash_history”文件都会被删除。三、口令和用户帐号管理 1、 密码 （1）修改密码长度： [boot]#vi /etc/login.defs/--把 PASS_MIN_LEN 5 改为 PASS_MIN_LEN 8 （2）使用“/usr/sbin/authconfig”工具打开shadow功能，对password加密。如果你想把已有的密码和组转变为shadow格式，可以分别使用“pwcov,grpconv”命令。 （3）系统会自动注销root，#vi /etc/profile/--在HISTFILESIZE=后面加入：　　TMOUT=3600 3600，表示60*60=3600秒，也就是1小时。这样，如果系统中登陆的用户在一个小时内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添加该值，以便系统对该用户实行特殊的自动注销时间。 改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。 2、 关闭或删除所有不用的缺省用户和组账户 禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上系统时就应该做此检查，Linux提供了各种帐号，你可能不需要，如果你不需要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。 为删除你系统上的用户，用下面的命令： [root@deep]# userdel username 为删除你系统上的组用户帐号，用下面的命