ITPub博客

首页 > Linux操作系统 > Linux操作系统 > 提高Linux系统安全性的十招<3>(转)

提高Linux系统安全性的十招<3>(转)

原创 Linux操作系统 作者:ilg 时间:2019-04-02 22:30:06 0 删除 编辑
提高Linux系统安全性的十招<3>(转)

  第5招:设定用户账号的安全等级

  除密码之外,用户账号也有安全等级,这是因为在Linux上每个账号可以被赋予不同的权限,因此在建立一个新用户ID时,系统管理员应该根据需要赋予该账号不同的权限,并且归并到不同的用户组中。

  在Linux系统上的tcpd中,可以设定允许上机和不允许上机人员的名单。其中,允许上机人员名单在/etc/hosts.allow中设置,不允许上机人员名单在/etc/hosts.deny中设置。设置完成之后,需要重新启动inetd程序才会生效。此外,Linux将自动把允许进入或不允许进入的结果记录到/rar/log/secure文件中,系统管理员可以据此查出可疑的进入记录。

  每个账号ID应该有专人负责。在企业中,如果负责某个ID的职员离职,管理员应立即从系统中删除该账号。很多入侵事件都是借用了那些很久不用的账号。

  在用户账号之中,黑客最喜欢具有root权限的账号,这种超级用户有权修改或删除各种系统设置,可以在系统中畅行无阻。因此,在给任何账号赋予root权限之前,都必须仔细考虑。

  Linux系统中的/etc/securetty文件包含了一组能够以root账号登录的终端机名称。例如,在RedHatLinux系统中,该文件的初始值仅允许本地虚拟控制台(rtys)以root权限登录,而不允许远程用户以root权限登录。最好不要修改该文件,如果一定要从远程登录为root权限,最好是先以普通账号登录,然后利用su命令升级为超级用户。

  第6招:消除黑客犯罪的温床

  在Unix系统中,有一系列r字头的公用程序,它们是黑客用以入侵的武器,非常危险,因此绝对不要将root账号开放给这些公用程序。由于这些公用程序都是用.rhosts文件或者hosts.equiv文件核准进入的,因此一定要确保root账号不包括在这些文件之内。

  由于r字头指令是黑客们的温床,因此很多安全工具都是针对这一安全漏洞而设计的。例如,PAM工具就可以用来将r字头公用程序的功力废掉,它在/etc/pam.d/rlogin文件中加上登录必须先核准的指令,使整个系统的用户都不能使用自己home目录下的.rhosts文件。

  第7招:增强安全防护工具

  SSH是安全套接层的简称,它是可以安全地用来取代rlogin、rsh和rcp等公用程序的一套程序组。SSH采用公开密钥技术对网络上两台主机之间的通信信息加密,并且用其密钥充当身份验证的工具。

  由于SSH将网络上的信息加密,因此它可以用来安全地登录到远程主机上,并且在两台主机之间安全地传送信息。实际上,SSH不仅可以保障Linux主机之间的安全通信,Windows用户也可以通过SSH安全地连接到Linux服务器上。

  第8招:限制超级用户的权力

  我们在前面提到,root是Linux保护的重点,由于它权力无限,因此最好不要轻易将超级用户授权出去。但是,有些程序的安装和维护工作必须要求有超级用户的权限,在这种情况下,可以利用其他工具让这类用户有部分超级用户的权限。Sudo就是这样的工具。

  Sudo程序允许一般用户经过组态设定后,以用户自己的密码再登录一次,取得超级用户的权限,但只能执行有限的几个指令。例如,应用sudo后,可以让管理磁带备份的管理人员每天按时登录到系统中,取得超级用户权限去执行文档备份工作,但却没有特权去作其他只有超级用户才能作的工作。

  Sudo不但限制了用户的权限,而且还将每次使用sudo所执行的指令记录下来,不管该指令的执行是成功还是失败。在大型企业中,有时候有许多人同时管理Linux系统的各个不同部分,每个管理人员都有用sudo授权给某些用户超级用户权限的能力,从sudo的日志中,可以追踪到谁做耸裁匆约案亩 了系统的哪些部分 ?

  值得注意的是,sudo并不能限制所有的用户行为,尤其是当某些简单的指令没有设置限定时,就有可能被黑客滥用。例如,一般用来显示文件内容的/etc/cat指令,如果有了超级用户的权限,黑客就可以用它修改或删除一些重要的文件。

本文来自:http://www.linuxpk.com/5155.html

-->linux电子图书免费下载和技术讨论基地

·上一篇:" href="./5154.html">提高Linux系统安全性的十招<4>

·下一篇:" href="./5156.html">提高Linux系统安全性的十招<2>
 
     最新更新
·限制用户的最小密码长度

·设置登陆时的shell

·让帐号永不过期

·如何使ctrl-alt-del失效

·sshd控制指定ip段访问

·Linux网络安全之经验谈

·信息安全从业参考

·允许非root用户mount光盘和软盘

·限时登录

·用LIDS增强Linux系统安全

·这就是Kerberos的工作原理

·实现自动登录linux

·linux下的网络扫描利器

·linux下破解实战

·让一个普通的用户转换成为管理员

·使非root用户都不能远程登录

·取消root命令历史记录以增加安全性

·阻止用户浏览使用外部代理

·linux对系统用户的控制

·TheLinux-PAM系统管理员指南

·Linux用户安全

·谈linux的安全设置

·使用Snort探测轻型侵入

·使用pam来支持login的访问控制

·使用tcpwrappers控制文件

·设置用户密码过期时间

·ChrootLinux中所有的服务

·/etc/security目录下的conf配置

·redhat/solaris下允许root通过telnet登录

·linux给一个普通用户reboot权限


关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册

Copyright © 2004 - 2007 All Rights Reserved

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/14102/viewspace-117219/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2002-06-18

  • 博文量
    1715
  • 访问量
    1300018