8. Linux增强特殊文件权限
给下面的文件加上不可更改属性,从而防止非授权用户获得权限
| chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow chattr +i /etc/services #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务 chattr +i /etc/pam.d/su chattr +i /etc/ssh/sshd_config |
显示文件的属性
| lsattr /etc/passwd /etc/shadow /etc/services /etc/ssh/sshd_config |
注意:执行以上 chattr 权限修改之后,就无法添加删除用户了。
如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作,例如取消只读权限chattr -i /etc/passwd。(记得重新设置只读)
9. Linux防止一般网络攻击
网络攻击不是几行设置就能避免的,以下都只是些简单的将可能性降到最低,增大攻击的难度但并不能完全阻止。
9.1 Linux禁ping
阻止ping如果没人能ping通您的系统,安全性自然增加了,可以有效的防止ping洪水。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:
| # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all |
或使用iptable禁ping:
| iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j DROP |
不允许ping其他主机:
| iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP |
9.2. Linux防止IP欺骗
编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击。
| order hosts,bind #名称解释顺序 multi on #允许主机拥有多个IP地址 nospoof on #禁止IP地址欺骗 |
9.3 Linux防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等。
可以在/etc/security/limits.conf中添加如下几行:
| * soft core 0 * soft nproc 2048 * hard nproc 16384 * soft nofile 1024 * hard nofile 65536 |
core 0 表示禁止创建core文件;nproc 128 把最多的进程数限制到20;nofile 64 表示把一个用户同时打开的最大文件数限制为64;* 表示登录到系统的所有用户,不包括root
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。
session required pam_limits.so
limits.conf参数的值需要根据具体情况调整。
10. Linux修复已知安全漏洞
在linux上偶尔会爆出毁灭级的漏洞,如udev、heartbleed、shellshock、ghost等,如果服务器暴露在外网,一定及时修复。
11. Linux定期做日志安全检查
