linux服务器基本安全配置手册
2010-08-13 08:16:55 来源:WEB开发网核心提示: 5.限制Shell命令记录大小默认情况下,bash shell会在文件$HOME/.bash_history中存放多达500条命令记录(根据具体的系统不同,linux服务器基本安全配置手册(2),默认记录条数不同),系统中每个用户的主目录下都有一个这样的文件,可以先同时开着22和6022两个端口,然后再关掉22端
5.限制Shell命令记录大小
默认情况下,bash shell会在文件$HOME/.bash_history中存放多达500条命令记录(根据具体的系统不同,默认记录条数不同)。系统中每个用户的主目录下都有一个这样的文件。在此笔者强烈建议限制该文件的大小。
您可以编辑/etc/profile文件,修改其中的选项如下:
HISTFILESIZE=30或HISTSIZE=30 #vi /etc/profile HISTSIZE=30
6.注销时删除命令记录
编辑/etc/skel/.bash_logout文件,增加如下行:
rm -f $HOME/.bash_history
这样,系统中的所有用户在注销时都会删除其命令记录。
如果只需要针对某个特定用户,如root用户进行设置,则可只在该用户的主目录下修改/$HOME/.bash_history文件,增加相同的一行即可。
7.用下面的命令加需要的用户组和用户帐号
[root@c1gstudio]# groupadd 例如:增加website 用户组,groupadd website 然后调用vigr命令查看已添加的用户组 用下面的命令加需要的用户帐号 [root@c1gstudio]# useradd username –g website //添加用户到website组(作为webserver的普通管理员,而非root管理员) 然后调用vipw命令查看已添加的用户 用下面的命令改变用户口令(至少输入8位字母和数字组合的密码,并将密码记录于本地机的专门文档中,以防遗忘) [root@c1gstudio]# passwd username
8.阻止任何人su作为root
如果你不想任何人能够su作为root,你能编辑/etc/pam.d/su加下面的行:
#vi /etc/pam.d/su auth sufficient /lib/security/$ISA/pam_rootok.so debug auth required /lib/security/$ISA/pam_wheel.so group=website 意味着仅仅website组的用户可以su作为root.
9.修改ssh服务的root登录权限
修改ssh服务配置文件,使的ssh服务不允许直接使用root用户来登录,这样减少系统被恶意登录攻击的机会。
#vi /etc/ssh/sshd_config PermitRootLogin yes
将这行前的#去掉后,修改为:
PermitRootLogin no
10.修改ssh服务的sshd 端口
ssh默认会监听在22端口,你可以修改至6022端口以避过常规的扫描。
注意:修改端口错误可能会导致你下次连不到服务器,可以先同时开着22和6022两个端口,然后再关掉22端口;
重启sshd不会弹掉你当前的连接,可以另外开一个客户端来测试服务;
#vi /etc/ssh/sshd_config #增加修改 #Port 22 #关闭22端口 Port 6022 #增加6022端口 #重启sshd服务 service sshd restart 检查一下sshd的监听端口对不对 netstat -lnp|grep ssh #iptables开放sshd的6022端口 vi /etc/sysconfig/iptables #如果使用redhat默认规则则增加 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6022 -j ACCEPT #或 iptables -A INPUT -p tcp --dport 6022 -j ACCEPT iptables -A OUTPUT -p udp --sport 6022 -j ACCEPT
重启iptables 服务
service iptables restart #测试两个端口是否都能连上,连上后再将22端口删除
[]
更多精彩
赞助商链接