linux操作系统安全设置

春健分享 2021-09-22 08:33:46

众所周知，网络安全是一个非常重要的课题，而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器，作为一种开放源代码操作系统，一旦Linux系统中发现有安全漏洞，Internet上来自世界各地的志愿者会踊跃修补它。下面大家与学习啦小编一起来学习一下linux操作系统安全设置吧。

linux操作系统安全设置

一、服务器安全

1. 关闭无用的端口

任何网络连接都是通过开放的应用端口来实现的。如果我们尽可能少地开放端口，就使网络攻击变成无源之水，从而大大减少了攻击者成功的机会。

首先检查你的inetd.conf文件。inetd在某些端口上守侯，准备为你提供必要的服务。如果某人开发出一个特殊的inetd守护程序，这里就存在一个安全隐患。你应当在inetd.conf文件中注释掉那些永不会用到的服务(如：echo、gopher、rsh、rlogin、rexec、 ntalk、finger等)。注释除非绝对需要，你一定要注释掉rsh、rlogin和rexec，而telnet建议你使用更为安全的ssh来代替，然后杀掉lnetd进程。这样inetd不再监控你机器上的守护程序，从而杜绝有人利用它来窃取你的应用端口。你最好是下载一个端口扫描程序扫描你的系统，如果发现有你不知道的开放端口，马上找到正使用它的进程，从而判断是否关闭它们。

2. 删除不用的软件包

在进行系统规划时，总的原则是将不需要的服务一律去掉。默认的Linux就是一个强大的系统，运行了很多的服务。但有许多服务是不需要的，很容易引起安全风险。这个文件就是/etc/inetd.conf，它制定了/usr/sbin/inetd将要监听的服务，你可能只需要其中的两个：telnet和ftp，其它的类如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、 auth 等，除非你真的想用它，否则统统关闭。

3. 不设置缺省路由

在主机中，应该严格禁止设置缺省路由，即default route。建议为每一个子网或网段设置一个路由，否则其它机器就可能通过一定方式访问该主机。

4. 口令管理

口令的长度一般不要少于8个字符，口令的组成应以无规则的大小写字母、数字和符号相结合，严格避免用英语单词或词组等设置口令，而且各用户的口令应该养成定期更换的习惯。另外，口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护，必须做到只有系统管理员才能访问这2个文件。安装一个口令过滤工具加npasswd，能帮你检查你的口令是否耐得住攻击。如果你以前没有安装此类的工具，建议你现在马上安装。如果你是系统管理员，你的系统中又没有安装口令过滤工具，请你马上检查所有用户的口令是否能被穷尽搜索到，即对你的/ect/passwd文件实施穷尽搜索攻击。

5. 分区管理

一个潜在的攻击，它首先就会尝试缓冲区溢出。在过去的几年中，以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是，缓冲区溢出漏洞占了远程网络攻击的绝大多数，这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!

为了防止此类攻击，我们从安装系统时就应该注意。如果用root分区记录数据，如log文件，就可能因为拒绝服务产生大量日志或垃圾邮件，从而导致系统崩溃。所以建议为/var开辟单独的分区，用来存放日志和邮件，以避免root分区被溢出。最好为特殊的应用程序单独开一个分区，特别是可以产生大量日志的程序，还建议为/home单独分一个区，这样他们就不能填满/分区了，从而就避免了部分针对Linux分区溢出的恶意攻击。

6. 防范网络嗅探

嗅探器技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收看来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出网络中的漏洞。在网络安全日益被注意的今天。我们不但要正确使用嗅探器。还要合理防范嗅探器的危害。嗅探器能够造成很大的安全危害，主要是因为它们不容易被发现。对于一个安全性能要求很严格的企业，同时使用安全的拓扑结构、会话加密、使用静态的ARP地址是有必要的。

7. 完整的日志管理

日志文件时刻为你记录着你的系统的运行情况。当黑客光临时，也不能逃脱日志的法眼。所以黑客往往在攻击时修改日志文件，来隐藏踪迹。因此我们要限制对/var/log文件的访问，禁止一般权限的用户去查看日志文件。

另外，我们还可以安装一个icmp/tcp日志管理程序，如iplogger，来观察那些可疑的多次的连接尝试(加icmp flood3或一些类似的情况)。还要小心一些来自不明主机的登录。

完整的日志管理要包括网络数据的正确性、有效性、合法性。对日志文件的分析还可以预防入侵。例如、某一个用户几小时内的20次的注册失败记录，很可能是入侵者正在尝试该用户的口令。

8. 终止正进行的攻击

假如你在检查日志文件时，发现了一个用户从你未知的主机登录，而且你确定此用户在这台主机上没有账号，此时你可能正被攻击。首先你要马上锁住此账号(在口令文件或shadow文件中，此用户的口令前加一个Ib或其他的字符)。若攻击者已经连接到系统，你应马上断开主机与网络的物理连接。如有可能，你还要进一步查看此用户的历史记录，查看其他用户是否也被假冒，攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件 hosts.deny中。

9. 使用安全工具软件

随着Linux病毒的出现，现在已经有一些Linux服务器防病毒软件，安装Linux防病毒软件已经是非常迫切了。Linux也已经有一些工具可以保障服务器的安全，如iplogger。

10. 使用保留IP地址

维护网络安全性最简单的方法是保证网络中的主机不同外界接触。最基本的方法是与公共网络隔离。然而，这种通过隔离达到的安全性策略在许多情况下是不能接受的。这时，使用保留IP地址是一种简单可行的方法，它可以让用户访问Internet同时保证一定的安全性。- RFC 1918规定了能够用于本地 TCP/IP网络使用的IP地址范围，这些IP地址不会在Internet上路由，因此不必注册这些地址。通过在该范围分配IP地址，可以有效地将网络流量限制在本地网络内。这是一种拒绝外部计算机访问而允许内部计算机互联的快速有效的方法。

保留IP地址范围：

—— 10.0.0.0 - 10.255.255.255

---- 172.16.0.0 - 172.31.255.255

—— 192.168.0.0 - 192.168.255.255

来自保留IP地址的网络交通不会经过Internet路由器，因此被赋予保留IP地址的任何计算机不能从外部网络访问。但是，这种方法同时也不允许用户访问外部网络。IP伪装可以解决这一问题。

11. 选择发行版本

对于服务器使用的Linux版本，既不使用最新的发行版本，也不选择太老的版本。应当使用比较成熟的版本：前一个产品的最后发行版本如Mandrake 8.2 Linux等。毕竟对于服务器来说安全稳定是第一的。

12. 补丁问题

你应该经常到你所安装的系统发行商的主页上去找最新的补丁。

二、网络设备的安全

1. 交换机的安全

启用VLAN技术：交换机的某个端口上定义VLAN ，所有连接到这个特定端口的终端都是虚拟网络的一部分，并且整个网络可以支持多个VLAN。VLAN通过建立网络防火墙使不必要的数据流量减至最少，隔离各个VLAN间的传输和可能出现的问题，使网络吞吐量大大增加，减少了网络延迟。在虚拟网络环境中，可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。这样一来有效的实现了数据的__，而且配置起来并不麻烦，网络管理员可以逻辑上重新配置网络，迅速、简单、有效地平衡负载流量，轻松自如地增加、删除和修改用户，而不必从物理上调整网络配置。

2. 路由器的安全

根据路由原理安全配置路由器路由器是整个网络的核心和心脏，保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。

(1)堵住安全漏洞

限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的。

(2)避免身份危机

入侵者常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令。用户应该启用路由器上的口令加密功能。

(3)禁用不必要服务

近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是，一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。用户可以利用名为网络时。

Linux安全配置步骤简述

一、磁盘分区

1、如果是新安装系统，对磁盘分区应考虑安全性：

1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;

2)以上各目录所在分区的磁盘空间大小应充分考虑，避免因某些原因造成分区空间用完而导致系统崩溃;

2、对于/tmp和/var目录所在分区，大多数情况下不需要有suid属性的程序，所以应为这些分区添加nosuid属性;

方法一：修改/etc/fstab文件，添加nosuid属性字。例如：

/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0

^^^^^^

方法二：如果对/etc/fstab文件操作不熟，建议通过linuxconf程序来修改。

*　运行linuxconf程序;

*　选择"File systems"下的"Access local drive";

*　选择需要修改属性的磁盘分区;

*　选择"No setuid programs allowed"选项;

*　根据需要选择其它可选项;

*　正常退出。(一般会提示重新mount该分区)

二、安装

1、对于非测试主机，不应安装过多的软件包。这样可以降低因软件包而导致出现安全漏洞的可能性。

2、对于非测试主机，在选择主机启动服务时不应选择非必需的服务。例如routed、ypbind等。

三、安全配置与增强

内核升级。起码要升级至2.2.16以上版本。

GNU libc共享库升级。(警告：如果没有经验，不可轻易尝试。可暂缓。)

关闭危险的网络服务。echo、chargen、shell、login、finger、NFS、RPC等

关闭非必需的网络服务。talk、ntalk、pop-2等

常见网络服务安全配置与升级

确保网络服务所使用版本为当前最新和最安全的版本。

取消匿名FTP访问

去除非必需的suid程序

使用tcpwrapper

使用ipchains防火墙

日志系统syslogd

一些细节：

1.操作系统内部的log file是检测是否有网络入侵的重要线索，当然这个假定你的logfile不被侵入者所破坏，如果你有台服务器用专线直接连到Internet上，这意味着你的IP地址是永久固定的地址，你会发现有很多人对你的系统做telnet/ftp登录尝试，试着运行#more /var/log/secure | grep refused 去检查。

2. 限制具有SUID权限标志的程序数量，具有该权限标志的程序以root身份运行，是一个潜在的安全漏洞，当然，有些程序是必须要具有该标志的，象passwd程序。

3.BIOS安全。设置BIOS密码且修改引导次序禁止从软盘启动系统。

4. 用户口令。用户口令是Linux安全的一个最基本的起点，很多人使用的用户口令就是简单的‘password'，这等于给侵入者敞开了大门，虽然从理论上说没有不能确解的用户口令，只要有足够的时间和资源可以利用。比较好的用户口令是那些只有他自己能够容易记得并理解的一串字符，并且绝对不要在任何地方写出来。

5./etc/exports 文件。如果你使用NFS网络文件系统服务，那么确保你的/etc/exports具有最严格的存取权限设置，不意味着不要使用任何通配符，不允许root写权限，mount成只读文件系统。编辑文件/etc/exports并且加：例如：

/dir/to/export host1.mydomain.com(ro,root_squash)

/dir/to/export host2.mydomain.com(ro,root_squash)

/dir/to/export 是你想输出的目录，host.mydomain.com是登录这个目录的机器名，

ro意味着mount成只读系统，root_squash禁止root写入该目录。

为了让上面的改变生效，运行/usr/sbin/exportfs -a

6.确信/etc/inetd.conf的所有者是root，且文件权限设置为600 。

[root@deep]# chmod 600 /etc/inetd.conf

ENSURE that the owner is root.

[root@deep]# stat /etc/inetd.conf

File: "/etc/inetd.conf"

Size: 2869 Filetype: Regular File

Mode: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)

Device: 8,6 Inode: 18219 Links: 1

Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)

Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)

Change:Mon Sep 20 10:22:44 1999(00002.06:12:16)

编辑/etc/inetd.conf禁止以下服务：

ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,

auth, etc. 除非你真的想用它。

特别是禁止那些r命令.如果你用ssh/scp，那么你也可以禁止掉telnet/ftp。

为了使改变生效，运行#killall -HUP inetd

你也可以运行#chattr +i /etc/inetd.conf使该文件具有不可更改属性。

只有root才能解开，用命令

#chattr -i /etc/inetd.conf

7. TCP_WRAPPERS

默认地，Redhat Linux允许所有的请求,用TCP_WRAPPERS增强你的站点的安全性是举手

之劳，你可以放入

“ALL: ALL”到/etc/hosts.deny中禁止所有的请求，然后放那些明确允许的请求到

/etc/hosts.allow中，如:

sshd: 192.168.1.10/255.255.255.0 gate.openarch.com

对IP地址192.168.1.10和主机名gate.openarch.com，允许通过ssh连接。

配置完了之后，用tcpdchk检查

[root@deep]# tcpdchk

tcpchk是TCP_Wrapper配置检查工具，

它检查你的tcp wrapper配置并报告所有发现的潜在/存在的问题。

8. 别名文件aliases

编辑别名文件/etc/aliases(也可能是/etc/mail/aliases)，移走/注释掉下面的行。

# Basic system aliases -- these MUST be present.

MAILER-DAEMON: postmaster

postmaster: root

# General redirections for pseudo accounts.

bin: root

daemon: root

#games: root ?remove or comment out.

#ingres: root ?remove or comment out.

nobody: root

#system: root ?remove or comment out.

#toor: root ?remove or comment out.

#uucp: root ?remove or comment out.

# Well-known aliases.

#manager: root ?remove or comment out.

#dumper: root ?remove or comment out.

#operator: root ?remove or comment out.

# trap decode to catch security attacks

#decode: root

# Person who should get root's mail

#root: marc

最后更新后不要忘记运行/usr/bin/newaliases，使改变生效。

9.阻止你的系统响应任何从外部/内部来的ping请求。

既然没有人能ping通你的机器并收到响应，你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次启动后自动运行。

echo 1 >; /proc/sys/net/ipv4/icmp_echo_ignore_all

10. 不要显示出操作系统和版本信息。

如果你希望某个人远程登录到你的服务器时不要显示操作系统和版本信息，你能改变

/etc/inetd.conf中的一行象下面这样：

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

加-h标志在最后使得telnet后台不要显示系统信息，而仅仅显示login:

11.The /etc/host.conf file

编辑host.conf文件(vi /etc/host.conf)且加下面的行：

# Lookup names via DNS first then fall back to /etc/hosts.

order bind,hosts

# We don't have machines with multiple IP addresses on the same card

(like virtual server,IP Aliasing).

multi off

# Check for IP address spoofing.

nospoof on

IP Spoofing: IP-Spoofing is a security exploit that works by tricking

computers in a trust relationship that you are someone that you really aren't.

12. The /etc/securetty file

该文件指定了允许root登录的tty设备，/etc/securetty被/bin/login程序读取,它的

格式是一行一个被允许的名字列表，如你可以编辑/etc/securetty且注释出下面的行。

tty1

#tty2

#tty3

#tty4

#tty5

#tty6

#tty7

#tty8

-意味着root仅仅被允许在tty1终端登录。

13. 特别的帐号

禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上系统时就应该做此检查，Linux提供了各种帐号，你可能不需要，如果你不需要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。

为删除你系统上的用户，用下面的命令：

[root@deep]# userdel username

为删除你系统上的组用户帐号，用下面的命令：

[root@deep]# groupdel username

在终端上打入下面的命令删掉下面的用户。

[root@deep]# userdel adm

[root@deep]# userdel lp

[root@deep]# userdel sync

[root@deep]# userdel shutdown

[root@deep]# userdel halt

[root@deep]# userdel mail

如果你不用sendmail服务器，procmail.mailx,就删除这个帐号。

[root@deep]# userdel news

[root@deep]# userdel uucp

[root@deep]# userdel operator

[root@deep]# userdel games

如果你不用X windows 服务器，就删掉这个帐号。

[root@deep]# userdel gopher

[root@deep]# userdel ftp

如果你不允许匿名FTP，就删掉这个用户帐号。

===

打入下面的命令删除组帐号

[root@deep]# groupdel adm

[root@deep]# groupdel lp

[root@deep]# groupdel mail

如不用Sendmail服务器，删除这个组帐号

[root@deep]# groupdel news

[root@deep]# groupdel uucp

[root@deep]# groupdel games

如你不用X Windows，删除这个组帐号

[root@deep]# groupdel dip

[root@deep]# groupdel pppusers

[root@deep]# groupdel popusers

如果你不用POP服务器，删除这个组帐号

[root@deep]# groupdel slipusers

====

用下面的命令加需要的用户帐号

[root@deep]# useradd username

用下面的命令改变用户口令

[root@deep]# passwd username

用chattr命令给下面的文件加上不可更改属性。

[root@deep]# chattr +i /etc/passwd

[root@deep]# chattr +i /etc/shadow

[root@deep]# chattr +i /etc/group

[root@deep]# chattr +i /etc/gshadow

14. 阻止任何人su作为root.

如果你不想任何人能够su作为root,你能编辑/etc/pam.d/su加下面的行：

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=isd

意味着仅仅isd组的用户可以su作为root.

然后，如果你希望用户admin能su作为root.就运行下面的命令。

[root@deep]# usermod -G10 admin

16. 资源限制

对你的系统上所有的用户设置资源限制可以防止DoS类型攻击(denial of service attacks)

如最大进程数，内存数量等。例如，对所有用户的限制象下面这样：

编辑/etc/security/limits.con加：

* hard core 0

* hard rss 5000

* hard nproc 20

你也必须编辑/etc/pam.d/login文件加/检查这一行的存在。

session required /lib/security/pam_limits.so

上面的命令禁止core files“core 0”，限制进程数为“nproc 50“，且限制内存使用

为5M“rss 5000”。

17. The /etc/lilo.conf file

a) Add: restricted

加这一行到每一个引导映像下面，就这表明如果你引导时用(linux single),则需要一个password.

b) Add: password=some_password

当与restricted联合用，且正常引导时，需要用户输入密码，你也要确保lilo.conf

文件不能被不属于root的用户可读，也免看到密码明文。下面是例子：

编辑/etc/lilo.conf加：

====

boot=/dev/sda

map=/boot/map

install=/boot/boot.b

prompt

timeout=50

Default=linux

restricted ?add this line.

password=some_password ?add this line.

image=/boot/vmlinuz-2.2.12-20

label=linux

initrd=/boot/initrd-2.2.12-10.img

root=/dev/sda6

read-only

[root@deep]# chmod 600 /etc/lilo.conf (不再能被其他用户可读).

[root@deep]# /sbin/lilo -v (更新lilo配置).

[root@deep]# chattr +i /etc/lilo.conf(阻止该文件被修改)

18. 禁止 Control-Alt-Delete 重启动机器命令

[root@deep]# vi /etc/inittab

ca::ctrlaltdel:/sbin/shutdown -t3 -r now

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

[root@deep]# /sbin/init q

19. 重新设置/etc/rc.d/init.d/目录下所有文件的许可权限

[root@deep]# chmod -R 700 /etc/rc.d/init.d/*

仅仅root可以读，写，执行上述所有script file.

20. The /etc/rc.d/rc.local file

默认地，当你login到linux server时，它告诉你linux版本名，内核版本名和服务器

主机名。它给了你太多的信息，如果你就希望得到提示login: ,编辑

/etc/rc.d/rc.local放#在下面的行前面：

# This will overwrite /etc/issue at every boot. So, make any changes you

# want to make to /etc/issue here or you will lose them when you reboot.

#echo "" >; /etc/issue

#echo "$R" >;>; /etc/issue

#echo "Kernel $(uname -r) on $a $(uname -m)" >;>; /etc/issue

#cp -f /etc/issue /etc/issue.net

#echo >;>; /etc/issue

然后，做下面的事情:

[root@deep]# rm -f /etc/issue

[root@deep]# rm -f /etc/issue.net

[root@deep]# touch /etc/issue

[root@deep]# touch /etc/issue.net

21. 被root拥有的程序的位。

移走那些被root拥有程序的s位标志，当然有些程序需要这个，用命令‘chmod a-s’完成这个。

注：前面带(*)号的那些程序一般不需要拥有s位标志。

[root@deep]# find / -type f $ -perm -04000 -o -perm -02000 $ \-exec ls –lg {} \;

-rwsr-xr-x 1 root root 33120 Mar 21 1999 /usr/bin/at

*-rwsr-xr-x 1 root root 30560 Apr 15 20:03 /usr/bin/chage

*-rwsr-xr-x 1 root root 29492 Apr 15 20:03 /usr/bin/gpasswd

-rwsr-xr-x 1 root root 3208 Mar 22 1999 /usr/bin/disable-paste

-rwxr-sr-x 1 root man 32320 Apr 9 1999 /usr/bin/man

-r-s--x--x 1 root root 10704 Apr 14 17:21 /usr/bin/passwd

-rws--x--x 2 root root 517916 Apr 6 1999 /usr/bin/suidperl

-rws--x--x 2 root root 517916 Apr 6 1999 /usr/bin/sperl5.00503

-rwxr-sr-x 1 root mail 11432 Apr 6 1999 /usr/bin/lockfile

-rwsr-sr-x 1 root mail 64468 Apr 6 1999 /usr/bin/procmail

-rwsr-xr-x 1 root root 21848 Aug 27 11:06 /usr/bin/crontab

-rwxr-sr-x 1 root slocate 15032 Apr 19 14:55 /usr/bin/slocate

*-r-xr-sr-x 1 root tty 6212 Apr 17 11:29 /usr/bin/wall

*-rws--x--x 1 root root 14088 Apr 17 12:57 /usr/bin/chfn

*-rws--x--x 1 root root 13800 Apr 17 12:57 /usr/bin/chsh

*-rws--x--x 1 root root 5576 Apr 17 12:57 /usr/bin/newgrp

*-rwxr-sr-x 1 root tty 8392 Apr 17 12:57 /usr/bin/write

-rwsr-x--- 1 root squid 14076 Oct 7 14:48 /usr/lib/squid/pinger

-rwxr-sr-x 1 root utmp 15587 Jun 9 09:30 /usr/sbin/utempter

*-rwsr-xr-x 1 root root 5736 Apr 19 15:39 /usr/sbin/usernetctl

*-rwsr-xr-x 1 root bin 16488 Jul 6 09:35 /usr/sbin/traceroute

-rwsr-sr-x 1 root root 299364 Apr 19 16:38 /usr/sbin/sendmail

-rwsr-xr-x 1 root root 34131 Apr 16 18:49 /usr/libexec/pt_chown

-rwsr-xr-x 1 root root 13208 Apr 13 14:58 /bin/su

*-rwsr-xr-x 1 root root 52788 Apr 17 15:16 /bin/mount

*-rwsr-xr-x 1 root root 26508 Apr 17 20:26 /bin/umount

*-rwsr-xr-x 1 root root 17652 Jul 6 09:33 /bin/ping

-rwsr-xr-x 1 root root 20164 Apr 17 12:57 /bin/login

*-rwxr-sr-x 1 root root 3860 Apr 19 15:39 /sbin/netreport

-r-sr-xr-x 1 root root 46472 Apr 17 16:26 /sbin/pwdb_chkpwd

[root@deep]# chmod a-s /usr/bin/chage

[root@deep]# chmod a-s /usr/bin/gpasswd

[root@deep]# chmod a-s /usr/bin/wall

[root@deep]# chmod a-s /usr/bin/chfn

[root@deep]# chmod a-s /usr/bin/chsh

[root@deep]# chmod a-s /usr/bin/newgrp

[root@deep]# chmod a-s /usr/bin/write

[root@deep]# chmod a-s /usr/sbin/usernetctl

[root@deep]# chmod a-s /usr/sbin/traceroute

[root@deep]# chmod a-s /bin/mount

[root@deep]# chmod a-s /bin/umount

[root@deep]# chmod a-s /bin/ping

[root@deep]# chmod a-s /sbin/netreport

你可以用下面的命令查找所有带s位标志的程序：

[root@deep]# find / -type f $ -perm -04000 -o -perm -02000 $ \-exec ls -lg {} \;

>; suid-sgid-results

把结果输出到文件suid-sgid-results中。

为了查找所有可写的文件和目录，用下面的命令：

[root@deep]# find / -type f $ -perm -2 -o -perm -20 $ -exec ls -lg {} \; >; ww-files-results

[root@deep]# find / -type d $ -perm -2 -o -perm -20 $ -exec ls -ldg {} \; >; ww-directories-results

用下面的命令查找没有拥有者的文件：

[root@deep]# find / -nouser -o -nogroup >; unowed-results

用下面的命令查找所有的.rhosts文件：

[root@deep]# find /home -name .rhosts >; rhost-results

建议替换的常见网络服务应用程序

WuFTPD

WuFTD从1994年就开始就不断地出现安全漏洞，黑客很容易就可以获得远程root访问(Remote Root Access)的权限，而且很多安全漏洞甚至不需要在FTP服务器上有一个有效的帐号。最近，WuFTP也是频频出现安全漏洞。

它的最好的替代程序是ProFTPD。ProFTPD很容易配置，在多数情况下速度也比较快，而且它的源代码也比较干净(缓冲溢出的错误比较少)。有许多重要的站点使用ProFTPD。sourceforge.net就是一个很好的例子(这个站点共有3,000个开放源代码的项目，其负荷并不小啊!)。一些Linux的发行商在它们的主FTP站点上使用的也是ProFTPD，只有两个主要Linux的发行商(SuSE和Caldera)使用WuFTPD。

ProFTPD的另一个优点就是既可以从inetd运行又可以作为单独的daemon运行。这样就可以很容易解决inetd带来的一些问题，如：拒绝服务的攻击(denial of service attack)，等等。系统越简单，就越容易保证系统的安全。WuFTPD要么重新审核一遍全部的源代码(非常困难)，要么完全重写一遍代码，否则WuFTPD必然要被ProFTPD代替。

Telnet

Telnet是非常非常不安全的，它用明文来传送密码。它的安全的替代程序是OpenSSH。

OpenSSH在Linux上已经非常成熟和稳定了，而且在Windows平台上也有很多免费的客户端软件。Linux的发行商应该采用OpenBSD的策略：安装OpenSSH并把它设置为默认的，安装Telnet但是不把它设置成默认的。对于不在美国的Linux发行商，很容易就可以在Linux的发行版中加上OpenSSH。美国的Linux发行商就要想一些别的办法了(例如：Red Hat在德国的FTP服务器上(ftp.redhat.de)就有最新的OpenSSH的rpm软件包)。

Telnet是无可救药的程序。要保证系统的安全必须用OpenSSH这样的软件来替代它。

Sendmail

最近这些年，Sendmail的安全性已经提高很多了(以前它通常是黑客重点攻击的程序)。然而，Sendmail还是有一个很严重的问题。一旦出现了安全漏洞(例如：最近出现的Linux内核错误)，Sendmail就是被黑客重点攻击的程序，因为Sendmail是以root权限运行而且代码很庞大容易出问题。

几乎所有的Linux发行商都把Sendmail作为默认的配置，只有少数几个把Postfix或Qmail作为可选的软件包。但是，很少有Linux的发行商在自己的邮件服务器上使用Sendmail。SuSE和Red Hat都使用基于Qmail的系统。

Sendmail并不一定会被别的程序完全替代。但是它的两个替代程序Qmail和Postfix都比它安全、速度快，而且特别是Postfix比它容易配置和维护。

su是用来改变当前用户的ID，转换成别的用户。你可以以普通用户登录，当需要以root身份做一些事的时候，只要执行“su”命令，然后输入root的密码。su本身是没有问题的，但是它会让人养成不好的习惯。如果一个系统有多个管理员，必须都给他们root的口令。

su的一个替代程序是sudo。Red Hat 6.2中包含这个软件。sudo允许你设置哪个用户哪个组可以以root身份执行哪些程序。你还可以根据用户登录的位置对他们加以限制(如果有人“破”了一个用户的口令，并用这个帐号从远程计算机登录，你可以限制他使用sudo)。Debian也有一个类似的程序叫super，与sudo比较各有优缺点。

让用户养成良好的习惯。使用root帐号并让多个人知道root的密码并不是一个好的习惯。这就是www.apache.org被入侵的原因，因为它有多个系统管理员他们都有root的特权。一个乱成一团的系统是很容易被入侵的。

named

大部分Linux的发行商都解决了这个问题。named以前是以root运行的，因此当named出现新的漏洞的时候，很容易就可以入侵一些很重要的计算机并获得root权限。现在只要用命令行的一些参数就能让named以非root的用户运行。而且，现在绝大多数Linux的发行商都让named以普通用户的权限运行。命令格式通常为：named -u <user name>; -g <group name>;

INN

在INN的文档中已经明确地指出：“禁止这项功能(verifycancels)，这项功能是没有用的而且将被除掉”。大约在一个月前，一个黑客发布了当“verifycancels”生效的时候入侵INN的方法。Red Hat是把“verifycancels”设为有效的。任何setuid/setgid的程序或网络服务程序都要正确地安装并且进行检查以保证尽量没有安全漏洞。

安全守则

1. 废除系统所有默认的帐号和密码。

2. 在用户合法性得到验证前不要显示公司题头、在线帮助以及其它信息。

3. 废除“黑客”可以攻击系统的网络服务。

4. 使用6到8位的字母数字式密码。

5. 限制用户尝试登录到系统的次数。

6. 记录违反安全性的情况并对安全记录进行复查。

7. 对于重要信息，上网传输前要先进行加密。

8. 重视专家提出的建议，安装他们推荐的系统“补丁”。

9. 限制不需密码即可访问的主机文件。

10.修改网络配置文件，以便将来自外部的TCP连接限制到最少数量的端口。不允许诸如tftp,sunrpc,printer,rlogin或rexec之类的协议。

11.用upas代替sendmail。sendmail有太多已知漏洞，很难修补完全。