浅谈Linux操做系统的安全设置（转）

时间 2019-11-11

标签浅谈 linux 系统安全设置栏目 Linux 繁體版

原文原文链接

现在系统安全变的愈来愈重要了，这里我想把我平时比较常使用的一些linux下的基本的安全措施写出来和你们探讨一下，让咱们的Linux系统变得可靠。 html

一、BIOS的安全设置 linux

这是最基本的了，也是最简单的了。必定要给你的BIOS设置密码，以防止经过在BIOS中改变启动顺序，而能够从软盘启动。这样能够阻止别有用心的试图用特殊的启动盘启动你的系统，还能够阻止别人进入BIOS改动其中的设置，使机器的硬件设置不能被别人随意改动。安全

二、LILO的安全设置 bash

LILO是LInux LOader的缩写，它是LINUX的启动模块。能够经过修改“/etc/lilo.conf”文件中的内容来进行配置。在/etc/lilo.conf 文件中加以下面两个参数：restricted,password。这三个参数可使你的系统在启动lilo时就要求密码验证。 app

第一步：编辑lilo.conf文件（vi /etc/lilo.comf）,假如或改变这三个参数：加密

　　boot=/dev/hda 
　　map=/boot/map 
　　install=/boot/boot.b 
　　prompt 
　　timeout=00 #把这行该为00，这样系统启动时将不在等待，而直接启动LINUX 
　　message=/boot/message 
　　linear 
　　default=linux 
　　restricted #加入这行 
　　password= #加入这行并设置本身的密码 
　　image=/boot/vmlinuz-2.4.2-2 
　　label=linux 
　　root=/dev/hda6 
　　read-only

第二步：由于"/etc/lilo.conf"文件中包含明文密码，因此要把它设置为root权限读取。 spa

　　# chmod 0600 /etc/lilo.conf

第三步：更新系统，以便对“/etc/lilo.conf”文件作的修改起做用。 unix

　　# /sbin/lilo -v

第四步：使用“chattr”命令使"/etc/lilo.conf"文件变为不可改变。 rest

　　# chattr +i /etc/lilo.conf

这样能够在必定程度上防止对“/etc/lilo.conf”任何改变（意外或其余缘由） <ccid_pge>code

三、让口令更加安全

口令能够说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获口令或者猜想口令开始的，因此咱们应该选择更加安全的口令。

首先要杜毫不设口令的账号存在。这能够经过查看/etc/passwd文件发现。例如，存在的用户名为test的账号，没有设置口令，则在/etc/passwd文件中就有以下一行：

　　test::100:9::/home/test:/bin/bash

其第二项为空，说明test这个账号没有设置口令，这是很是危险的！应将该类账号删除或者设置口令。

其次，在旧版本的linux中，在/etc/passwd文件中是包含有加密的密码的，这就给系统的安全性带来了很大的隐患，最简单的方法就是能够用暴力破解的方法来得到口令。可使用命/usr/sbin/pwconv或者 /usr/sbin/grpconv来创建/etc/shadow或者/etc/gshadow文件，这样在/etc/passwd文件中再也不包含加密的密码，而是放在/etc/shadow文件中，该文件只有超级用户root可读！

第三点是修改一些系统账号的Shell变量，例如uucp,ftp和news等，还有一些仅仅须要FTP功能的账号，必定不要给他们设置/bin/bash或者/bin/sh等Shell变量。能够在/etc/passwd中将它们的Shell变量置空，例如设为/bin/false或者/dev/null等，也可使用usermod -s /dev/nullusername命令来更改username的Shell为/dev/null。这样使用这些账号将没法Telnet远程登陆到系统中来！

第四点是修改缺省的密码长度：在你安装linux时默认的密码长度是5个字节。但这并不够，要把它设为8。修改最短密码长度须要编辑login.defs文件（vi/etc/login.defs），把下面这行

　　PASS_MIN_LEN 5 
　　改成 
　　PASS_MIN_LEN 8

四、自动注销账号的登陆

在unix系统中root帐户是具备最高特权的。若是系统管理员在离开系统以前忘记注销root帐户，那将会带来很大的安全隐患，应该让系统会自动注销。经过修改帐户中“TMOUT”参数，能够实现此功能。TMOUT按秒计算。编辑你的profile文件（vi/etc/profile）,在"HISTFILESIZE="后面加入下面这行：

　　TMOUT=300

300，表示300秒，也就是表示5分钟。这样，若是系统中登录的用户在5分钟内都没有动做，那么系统会自动注销这个帐户。你能够在个别用户的“.bashrc”文件中添加该值，以便系统对该用户实行特殊的自动注销时间。

改变这项设置后，必须先注销用户，再用该用户登录才能激活这个功能。

五、取消普通用户的控制台访问权限

你应该取消普通用户的控制台访问权限，好比shutdown、reboot、halt等命令。

　　# rm -f /etc/security/console.apps/

是你要注销的程序名。

六、取消并反安装全部不用的服务

取消并反安装全部不用的服务，这样你的担忧就会少不少。察看“/etc/inetd.conf”文件，经过注释取消全部你不须要的服务（在该服务项目以前加一个“#”）。而后用“sighup”命令升级“inetd.conf”文件。