Linux系统管理员网络安全经验之说(2)

对于系统中的某些关键性文件如passwd、passwd.old、passwd._、shadow、shadown._、inetd.conf、services和lilo.conf等可修改其属性,防止意外修改和被普通用户查看。 如将inetd文件属性改为600: 

  # chmod 600 /etc/inetd.conf 

这样就保证文件的属主为root,然后还可以将其设置为不能改变:  

  # chattr +i /etc/inetd.conf 

这样,对该文件的任何改变都将被禁止。 你可能要问:那我自己不是也不能修改了?当然,我们可以设置成只有root重新设置复位标志后才能进行修改:  

  # chattr -i /etc/inetd.conf 

关于用户资源

对你的系统上所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数,内存数量等。例如,对所有用户的限制, 编辑/etc/security/limits.con加入以下几行: 

  * hard core 0  

  * hard rss 5000  

  * hard nproc 20  

你也必须编辑/etc/pam.d/login文件,检查这一行的存在:  

  session required /lib/security/pam_limits.so  

上面的命令禁止core files“core 0”,限制进程数为“nproc 50“,且限制内存使用为5M“rss 5000”。

关于NFS服务器

由于NFS服务器漏洞比较多,你一定要小心。如果要使用NFS网络文件系统服务,那么确保你的/etc/exports具有最严格的存取权限设置,不意味着不要使用任何通配符,不允许root写权限,mount成只读文件系统。你可以编辑文件/etc/exports并且加: 

  /dir/to/export host1.mydomain.com(ro,root_squash)  

  /dir/to/export host2.mydomain.com(ro,root_squash)

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wzydgj.html