Linux效劳器装机平安疾速进阶指南(5)

作者: FOX 因由:51CTO论坛收拾整顿　
 

◆九、戒备源路由

路由和路由和谈会招致一些标题。IP源途径路由（IP source routing），也就是IP包包罗抵达底目标地址的详细途径信息，是极度危害的，因为依照RFC 1122端方目标主机必需按原途径前去这样的IP包。假设黑客能够伪造原途径路由的信息包，那么它就能截取前去的信息包，而且拐骗你的较量争论机，让它感到熏染正在和它交流信息的是可以信托的主机。我激烈建议你按捺IP原途径路由以戒备这个平安漏洞。

用下面的命令在你的效劳器上按捺IP原途径路由：

for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done

把下面的命令加到"/etc/rc.d/rc.local"文件中去，你就不必在细碎从新启动之后再把这些命令敲一遍。注意，下面的命令将按捺一切的收集界面（lo、ethN、pppN，等等）的源途径路由包。

◆十、使TCP SYN Cookie庇护奏效

"SYN Attack"是一种拒绝效劳（DoS）的攻击体例，会斲丧掉细碎中的一切资源，迫使效劳器从新启动。拒绝效劳（这种攻击体例用伟年夜的信息流来斲丧细碎的资源，致使于效劳器不可以也许响应正常的跟尾哀告）是很随意被黑客使用的。在2.1系列的内核中，"syn cookie"只是一个可选项，并没有使其奏效。想要使其奏效必需用下面的命令：

[root@aid /]# echo 1 > /proc/sys/net/ipv4/tcp_syncookies

把这个命令列入"/etc/rc.d/rc.local"文件中，等下次细碎从新启动的时分就不必从新敲一遍了。假设筹算安顿IPCHAINS防火墙，你就没有需要用这个命令，因为它曾经包罗在防火墙的脚本文件里了。

◆十一、特殊的帐号

按捺操作细碎中不需要的预置帐号（每次晋级或安顿完都要反省一下）。Linux细碎中就供给这样一些你也许不需要的预置帐号。假设确实不需要这些帐号，就把它们删掉。细碎中有越多的帐号，就越随意遭到攻击。

我们假定你曾经在细碎中运用shadow口令。假设不是这样，最幸而细碎中加上shadow口令的支持，因为这样细碎会更平安。假设你是依照上一章引见的体例安顿效劳器，那么在"平安验证设置配备铺排"这一步就曾经选上"Enable Shaow Passwords"这个选项了。

在细碎中删除一个用户可以用这个命令：

[root@deep]# userdel username

在细碎中删除一个组可以用这个命令：

[root@deep]# groupdel username

第一步 用下面的命令删除一些不需要的用户：

[root@deep]# userdel adm
[root@deep]# userdel lp
[root@deep]# userdel sync
[root@deep]# userdel shutdown
[root@deep]# userdel halt
[root@deep]# userdel news
[root@deep]# userdel uucp
[root@deep]# userdel operator
[root@deep]# userdel games （假设不必X Window效劳器,可以删除这个用户）
[root@deep]# userdel gopher
[root@deep]# userdel ftp （假设没安顿匿名ftp效劳器，可以删除这个用户）

第二步 输出下面的命令删除一些不需要的组：

[root@deep]# groupdel adm
[root@deep]# groupdel lp
[root@deep]# groupdel news
[root@deep]# groupdel uucp
[root@deep]# groupdel games (delete this group if you don use X Window Server).
[root@deep]# groupdel dip
[root@deep]# groupdel pppusers
[root@deep]# groupdel popusers (delete this group if you don use pop server for email).
[root@deep]# groupdel slipusers

第三步

"不允许改变"位可以用来庇护文件使其不被意外埠删除或重写，也可以戒备有些人成立这个文件的标志跟尾。删除"/etc/passwd"、"/etc/shadow"、"/etc/group"或"/etc/gshadow"都是黑客的攻击体例。给口令文件和组文件设置不可改变位，可以用下面的命令：

[root@deep]# chattr i /etc/passwd
[root@deep]# chattr i /etc/shadow
[root@deep]# chattr i /etc/group
[root@deep]# chattr i /etc/gshadow

注意：假设未来要在口令或组文件中添加或删除用户，就必需先拂拭这些文件的不可改变位，不然就不能做任何改变。假设没有拂拭这些文件的不可改变位，安顿那些会主动在口令文件和组文件中列入新用户的rpm软件包的时分，在安顿过程中就会出现腐败的提醒。




版权声明： 原创作品，允许转载，转载时请务必以超链接方式标明文章 原始因由 、作者信息和本声明。不然将清查功令责任。