|
放入
“ALL: ALL”到/etc/hosts.deny中禁止所有的請求�,然后放那些明確允許的請求到
/etc/hosts.allow中�����,如:
sshd: 192.168.1.10/255.255.255.0 gate.openarch.com
對IP地址192.168.1.10和主機(jī)名gate.openarch.com,允許通過ssh連接�。
配置完了之后,用tcpdchk檢查
[root@deep]# tcpdchk
tcpchk是TCP_Wrapper配置檢查工具��,
它檢查你的tcp wrapper配置并報(bào)告所有發(fā)現(xiàn)的潛在/存在的問題����。
8. 別名文件aliases
編輯別名文件/etc/aliases(也可能是/etc/mail/aliases),移走/注釋掉下面的行����。
# Basic system aliases -- these MUST be present.
MAILER-DAEMON: postmaster
postmaster: root
# General redirections for pseudo accounts.
bin: root
daemon: root
#games: root ?remove or comment out.
#ingres: root ?remove or comment out.
nobody: root
#system: root ?remove or comment out.
#toor: root ?remove or comment out.
#uucp: root ?remove or comment out.
# Well-known aliases.
#manager: root ?remove or comment out.
#dumper: root ?remove or comment out.
#operator: root ?remove or comment out.
# trap decode to catch security attacks
#decode: root
# Person who should get roots mail
#root: marc
最后更新后不要忘記運(yùn)行/usr/bin/newaliases,使改變生效����。
9.阻止你的系統(tǒng)響應(yīng)任何從外部/內(nèi)部來的ping請求���。
既然沒有人能ping通你的機(jī)器并收到響應(yīng)�,你可以大大增強(qiáng)你的站點(diǎn)的安全性�。你可以加下面的一行命令到/etc/rc.d/rc.local����,以使每次啟動(dòng)后自動(dòng)運(yùn)行���。
echo 1 >; /proc/sys/net/ipv4/icmp_echo_ignore_all
10. 不要顯示出操作系統(tǒng)和版本信息�����。
如果你希望某個(gè)人遠(yuǎn)程登錄到你的服務(wù)器時(shí)不要顯示操作系統(tǒng)和版本信息��,你能改變
/etc/inetd.conf中的一行象下面這樣:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
加-h標(biāo)志在最后使得telnet后臺(tái)不要顯示系統(tǒng)信息���,而僅僅顯示login:
11.The /etc/host.conf file
編輯host.conf文件(vi /etc/host.conf)且加下面的行:
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We dont have machines with multiple IP addresses on the same card
(like virtual server,IP Aliasing).
multi off
# Check for IP address spoofing.
nospoof on
IP Spoofing: IP-Spoofing is a security exploit that works by tricking
computers in a trust relationship that you are someone that you really arent.
-------------------------------------------------------------------------------------------
12. The /etc/securetty file
該文件指定了允許root登錄的tty設(shè)備,/etc/securetty被/bin/login程序讀取,它的
格式是一行一個(gè)被允許的名字列表��,如你可以編輯/etc/securetty且注釋出下面的行��。
tty1 #tty2 #tty3 #tty4 #tty5 #tty6 #tty7 #tty8
意味著root僅僅被允許在tty1終端登錄�。
13. 特別的帳號(hào)
禁止所有默認(rèn)的被操作系統(tǒng)本身啟動(dòng)的且不需要的帳號(hào),當(dāng)你第一次裝上系統(tǒng)時(shí)就應(yīng)該做此檢查��,Linux提供了各種帳號(hào)�,你可能不需要,如果你不需要這個(gè)帳號(hào),就移走它�����,你有的帳號(hào)越多����,就越容易受到攻擊。
為刪除你系統(tǒng)上的用戶�����,用下面的命令:
[root@deep]# userdel username 為刪除你系統(tǒng)上的組用戶帳號(hào)�,用下面的命令: [root@deep]# groupdel username 在終端上打入下面的命令刪掉下面的用戶。 [root@deep]# userdel adm [root@deep]# userdel lp [root@deep]# userdel sync [root@deep]# userdel shutdown [root@deep]# userdel halt [root@deep]# userdel mail 如果你不用sendmail服務(wù)器�����,procmail.mailx,就刪除這個(gè)帳號(hào)����。 [root@deep]# userdel news [root@deep]# userdel uucp [root@deep]# userdel operator [root@deep]# userdel games 如果你不用X windows 服務(wù)器,就刪掉這個(gè)帳號(hào)��。 [root@deep]# userdel gopher [root@deep]# userdel ftp 如果你不允許匿名FTP���,就刪掉這個(gè)用戶帳號(hào)����。打入下面的命令刪除組帳號(hào) [root@deep]# groupdel adm [root@deep]# groupdel lp [root@deep]# groupdel mail 如不用Sendmail服務(wù)器�����,刪除這個(gè)組帳號(hào) [root@deep]# groupdel news [root@deep]# groupdel uucp [root@deep]# groupdel games 如你不用X Windows��,刪除這個(gè)組帳號(hào) [root@deep]# groupdel dip [root@deep]# groupdel pppusers [root@deep]# groupdel popusers 如果你不用POP服務(wù)器��,刪除這個(gè)組帳號(hào) [root@deep]# groupdel slipusers 用下面的命令加需要的用戶帳號(hào) [root@deep]# useradd username 用下面的命令改變用戶口令 [root@deep]# passwd username 用chattr命令給下面的文件加上不可更改屬性�。 [root@deep]# chattr +i /etc/passwd [root@deep]# chattr +i /etc/shadow [root@deep]# chattr +i /etc/
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【1tcdy.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)�!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
