Linux网络安全配置基础详解(2)

一些细节：

◆1、操作系统内部的log file是检测是否有网络入侵的重要线索，当然这个假定你的logfile不被侵入者所破坏，如果你有台服务器用专线直接连到Internet上，这意味 着你的IP地址是永久固定的地址，你会发现有很多人对你的系统做telnet/ftp登录尝试，试着运行如下语句去检查。

#more /var/log/secure | grep refused

◆2、限制具有SUID权限标志的程序数量，具有该权限标志的程序以root身份运行，是一个潜在的安全漏洞，当然，有些程序是必须要具有该标志的，象passwd程序。

◆3、BIOS安全。设置BIOS密码且修改引导次序禁止从软盘启动系统。

◆4、用户口令。用户口令是Linux安全的一个最基本的起点，很多人使用的用户口令就是简单的password，这等于给侵入者敞开了大 门，虽然从理论上说没有不能确解的用户口令，只要有足够的时间和资源可以利用。比较好的用户口令是那些只有他自己能够容易记得并理解的一串字符，并且绝对 不要在任何地方写出来。

◆5、/etc/exports 文件。如果你使用NFS网络文件系统服务，那么确保你的/etc/exports具有最严格的存取权限设置，不意味着不要使用任何通配符，不允许root 写权限，mount成只读文件系统。编辑文件/etc/exports并且加入例如：

/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)

其中/dir/to/export 是你想输出的目录，host.mydomain.com是登录这个目录的机器名，

ro意味着mount成只读系统，root_squash禁止root写入该目录。

为了让上面的改变生效，运行

/usr/sbin/exportfs –a

◆6、确信/etc/inetd.conf的所有者是root，且文件权限设置为600 。

[root@deep]# chmod 600 /etc/inetd.conf
ENSURE that the owner is root.
[root@deep]# stat /etc/inetd.conf
File: "/etc/inetd.conf"
Size: 2869 Filetype: Regular File
Mode: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)
Device: 8,6 Inode: 18219 Links: 1
Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)
Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)
Change:Mon Sep 20 10:22:44 1999(00002.06:12:16)

编辑/etc/inetd.conf禁止以下服务：

ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,

auth, etc. 除非你真的想用它。

特别是禁止那些r命令.如果你用ssh/scp，那么你也可以禁止掉telnet/ftp。

为了使改变生效，运行

#killall -HUP inetd

你也可以运行

#chattr +i /etc/inetd.conf

使该文件具有不可更改属性。

只有root才能解开，用命令

#chattr -i /etc/inetd.conf