如何提高Linux系統(tǒng)的安全性
第5招:設(shè)定用戶賬號(hào)的安全等級(jí)
除密碼之外,用戶賬號(hào)也有安全等級(jí),這是因?yàn)樵?a class="contentlabel" href="http://m.butianyuan.cn/news/listbylabel/label/Linux">Linux上每個(gè)賬號(hào)可以被賦予不同的權(quán)限,因此在建立一個(gè)新用戶ID時(shí),系統(tǒng)管理員應(yīng)該根據(jù)需要賦予該賬號(hào)不同的權(quán)限,并且歸并到不同的用戶組中。
在Linux系統(tǒng)上的tcpd中,可以設(shè)定允許上機(jī)和不允許上機(jī)人員的名單。其中,允許上機(jī)人員名單在/etc/hosts.allow中設(shè)置,不 允許上機(jī)人員名單在/etc/hosts.deny中設(shè)置。設(shè)置完成之后,需要重新啟動(dòng)inetd程序才會(huì)生效。此外,Linux將自動(dòng)把允許進(jìn)入或不允 許進(jìn)入的結(jié)果記錄到/rar/log/secure文件中,系統(tǒng)管理員可以據(jù)此查出可疑的進(jìn)入記錄。每個(gè)賬號(hào)ID應(yīng)該有專人負(fù)責(zé)。在企業(yè)中,如果負(fù)責(zé)某個(gè) ID的職員離職,管理員應(yīng)立即從系統(tǒng)中刪除該賬號(hào)。很多入侵事件都是借用了那些很久不用的賬號(hào)。
在用戶賬號(hào)之中,黑客最喜歡具有root權(quán)限的賬號(hào),這種超級(jí)用戶有權(quán)修改或刪除各種系統(tǒng)設(shè)置,可以在系統(tǒng)中暢行無(wú)阻。因此,在給任何賬號(hào)賦予root權(quán)限之前,都必須仔細(xì)考慮。
Linux系統(tǒng)中的/etc/securetty文件包含了一組能夠以root賬號(hào)登錄的終端機(jī)名稱。例如,在RedHatLinux系統(tǒng)中,該文 件的初始值僅允許本地虛擬控制臺(tái)(rtys)以root權(quán)限登錄,而不允許遠(yuǎn)程用戶以root權(quán)限登錄。最好不要修改該文件,如果一定要從遠(yuǎn)程登錄為 root權(quán)限,最好是先以普通賬號(hào)登錄,然后利用su命令升級(jí)為超級(jí)用戶。
第6招:消除黑客犯罪的溫床
在Unix系統(tǒng)中,有一系列r字頭的公用程序,它們是黑客用以入侵的武器,非常危險(xiǎn),因此絕對(duì)不要將root賬號(hào)開(kāi)放給這些公用程序。由于這些公用程序都是用。rhosts文件或者h(yuǎn)osts.equiv文件核準(zhǔn)進(jìn)入的,因此一定要確保root賬號(hào)不包括在這些文件之內(nèi)。
由于r字頭指令是黑客們的溫床,因此很多安全工具都是針對(duì)這一安全漏洞而設(shè)計(jì)的。例如,PAM工具就可以用來(lái)將r字頭公用程序的功力廢掉,它在 /etc/pam.d/rlogin文件中加上登錄必須先核準(zhǔn)的指令,使整個(gè)系統(tǒng)的用戶都不能使用自己home目錄下的。rhosts文件。
第7招:增強(qiáng)安全防護(hù)工具
SSH是安全套接層的簡(jiǎn)稱,它是可以安全地用來(lái)取代rlogin、rsh和rcp等公用程序的一套程序組。SSH采用公開(kāi)密鑰技術(shù)對(duì)網(wǎng)絡(luò)上兩臺(tái)主機(jī)之間的通信信息加密,并且用其密鑰充當(dāng)身份驗(yàn)證的工具。
由于SSH將網(wǎng)絡(luò)上的信息加密,因此它可以用來(lái)安全地登錄到遠(yuǎn)程主機(jī)上,并且在兩臺(tái)主機(jī)之間安全地傳送信息。實(shí)際上,SSH不僅可以保障Linux主機(jī)之間的安全通信,Windows用戶也可以通過(guò)SSH安全地連接到Linux服務(wù)器上。
第8招:限制超級(jí)用戶的權(quán)力
我們?cè)谇懊嫣岬?,root是Linux保護(hù)的重點(diǎn),由于它權(quán)力無(wú)限,因此最好不要輕易將超級(jí)用戶授權(quán)出去。但是,有些程序的安裝和維護(hù)工作必須要求有超級(jí)用戶的權(quán)限,在這種情況下,可以利用其他工具讓這類用戶有部分超級(jí)用戶的權(quán)限。Sudo就是這樣的工具。
Sudo程序允許一般用戶經(jīng)過(guò)組態(tài)設(shè)定后,以用戶自己的密碼再登錄一次,取得超級(jí)用戶的權(quán)限,但只能執(zhí)行有限的幾個(gè)指令。例如,應(yīng)用sudo 后,可以讓管理磁帶備份的管理人員每天按時(shí)登錄到系統(tǒng)中,取得超級(jí)用戶權(quán)限去執(zhí)行文檔備份工作,但卻沒(méi)有特權(quán)去作其他只有超級(jí)用戶才能作的工作。Sudo 不但限制了用戶的權(quán)限,而且還將每,希望以上的提高Linux系統(tǒng)安全性的招數(shù)對(duì)大家有用。
評(píng)論