Linux系统安全.ppt

《Linux系统安全.ppt》由会员分享，可在线阅读，更多相关《Linux系统安全.ppt（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第三章第三章 Linux系统安全系统安全BIOS安全LILO安全口令和帐号安全取消不必要的服务 限制网络访问防止攻击替换常见网络服务应用程序 防火墙常见安全工具一、一、BIOS安全安全 一定要给Bios设置密码，以防通过在Bios中改变启动顺序，而可以从软盘启动。这样可以阻止别人试图用特殊的启动盘启动你的系统，还可以阻止别人进入Bios改动其中的设置（比如允许通过软盘启动等）。二、二、LILO安全 LILO是LInux LOader的缩写，它是LINUX的启动模块。可以通过修改“/etc/lilo.conf”文件中的内容来进行配置。在“/etc/lilo.conf”文件中加入下面三个参数：ti

2、me-out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。q配置步骤：编辑lilo.conf文件（vi/etc/f）,假如或改变这三个参数。boot=/dev/hdamap=/boot/mapinstall=/boot/boot.btime-out=00#把这行改为00promptDefault=linux 二、二、LILO安全restricted#加入这行password=#加入这行并设置自己的密码image=/boot/vmlinuz-2.2.14-12label=linuxinitrd=/boot/initrd-2.2.14-12.im

3、groot=/dev/hda6read-only因为“/etc/lilo.conf”文件中包含明文密码，所以要把它设置为root权限读取。rootkapil/#chmod 600/etc/lilo.conf更新系统，以便对“/etc/lilo.conf”文件做的修改起作用。Rootkapil/#/sbin/lilo v使用“chattr”命令使“/etc/lilo.conf”文件变为不可改变。rootkapil/#chattr+i/etc/lilo.conf 这样可以防止对“/etc/lilo.conf”任何改变（以外或其他原因）三、三、口令和口令和帐号帐号安全安全1.1.删除所有的特殊账户删

4、除所有的特殊账户 应该删除所有不用的缺省用户和组账户（比如lp,sync,shutdown,halt，mail；不用sendmail服务器可删除帐号 news,uucp,operator,games；不用X windows 服务器可删掉帐号 gopher删除语法：删除用户：rootkapil/#userdel LP删除组：rootkapil/#groupdel LP 三、三、口令和口令和帐号帐号安全安全2.取消普通用户的控制台访问权限取消普通用户的控制台访问权限 应该取消普通用户的控制台访问权限，比如shutdown、reboot、halt等命令。rootkapil/#rm-f/etc/sec

5、urity/console.apps/xx（xx是你要注销的程序名）3.3.口令安全口令安全杜绝不设口令的帐号存在 杜绝不设口令的帐号存在可以通过查看/etc/passwd文件发现。例如：test:100:9:/home/test:/bin/bash 第二项为空，说明test这个帐号没有设置口令，这是非常危险的！应将该类帐号删除或者设置口令。三、三、口令和口令和帐号帐号安全安全修改一些系统帐号的Shell变量 系统帐号如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。方法：可以在/etc/passwd中将它

6、们的Shell变量置空，例如设为/bin/false或者/dev/null等，也可以使用usermod-s/dev/null username命令来更改username的Shell为/dev/null。这样使用这些帐号将无法Telnet远程登录到系统中来！三、三、口令和口令和帐号帐号安全安全修改密码长度 在你安装linux时默认的密码长度是5个字节。但这并不够，要把它设为8。修改最短密码长度需要编辑login.defs文件（vi/etc/login.defs），把下面这行PASS_MIN_LEN 5改为PASS_MIN_LEN 8login.defs文件是login程序的配置文件。三、三、口令

7、和口令和帐号帐号安全安全打开密码的shadow支持功能 打开密码的shadow功能，来对password加密。使用“/usr/sbin/authconfig”工具打开shadow功能。如果你想把已有的密码和组转变为shadow格式，可以分别使用“/usr/sbin/pwconv，/usr/sbin/grpconv”命令。三、三、口令和口令和帐号帐号安全安全4.自动注销帐号的登录自动注销帐号的登录 root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户，那将会带来很大的安全隐患，应该让系统会自动注销。通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT按秒计算。编

8、辑你的profile文件（vi/etc/profile）,在HISTFILESIZE=后面加入下面这行：TMOUT=300 如果系统中登陆的用户在5分钟内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添加该值，以便系统对该用户实行特殊的自动注销时间。改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。三、三、口令和口令和帐号帐号安全安全5.禁止任何人通过禁止任何人通过su命令改变为命令改变为root用户用户 su(Substitute User替代用户)命令允许你成为系统中其他已存在的用户。如果你不希望任何人通过su命令改变为root用户或对某些

9、用户限制使用su命令，你可以在su 配置文件（在“/etc/pam.d/”目录下）的开头添加下面两行：编辑su文件（vi/etc/pam.d/su）在文件的头部加入下面两行：auth sufficient/lib/security/pam_rootok.so debugauth required/lib/security/pam_wheel.so group=wheel 然后把您想要执行su成为root的用户放入wheel组rootsound#usermod-G10 admin四、取消不必要的服务四、取消不必要的服务 察看“/etc/inetd.conf”文件，通过注释取消所有你不需要的服务（

10、在该服务项目之前加一个“#”）。然后用“sighup”命令升级“inetd.conf”文件。更改“/etc/inetd.conf”权限为600，只允许root来读写该文件。#chmod 600/etc/inetd.conf 确定“/etc/inetd.conf”文件所有者为root。编辑/etc/inetd.conf文件（vi/etc/inetd.conf），取消不需要的服务：shell,login,exec,talk,ntalk,imap,pop-2,pop-3,finger,auth等等。#grep-v#/etc/inetd.conf 用chattr命令把/ec/inetd.conf文件设

11、为不可修改，这样就没人可以修改它：#chattr+i/etc/inetd.conf 察看哪些服务在运行：#netstat-na-ip五、限制网络访问五、限制网络访问NFS访问 使用NFS网络文件系统服务，应该确保你的/etc/exports具有最严格的访问权限设置，也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行：/dir/to/export (ro，root_squash)/dir/to/export (ro，root_squash)/dir/to/export 是你想输出的目录，是登录这个目录的机器名，ro意味着

12、mount成只读系统，root_squash禁止root写入该目录。为了使改动生效，运行如下命令：#/usr/sbin/exportfs-a 五、限制网络访问五、限制网络访问Inetd设置 首先要确认/etc/inetd.conf的所有者是root，且文件权限设置为600，命令是：#chmod 600/etc/inetd.conf 然后，编辑/etc/inetd.conf禁止以下服务，命令是：ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth 为了使改变生效，运行如下命令：#killall-HUP inetd

13、五、限制网络访问五、限制网络访问TCP_WRAPPERS 默认的，Redhat Linux允许所有的请求，这是很危险的。如果用TCP_WRAPPERS来增强我们站点的安全性简直是举手之劳，你可以将禁止所有的请求放入“ALL:ALL”到/etc/hosts.deny中，然后放那些明确允许的请求到/etc/hosts.allow中，如:sshd:192.168.1.10/255.255.255.0 表示允许IP地址192.168.1.10和主机名允许通过SSH连接。配置完成后，可以用tcpdchk检查:#tcpdchk tcpchk是TCP_Wrapper配置检查工具，它检查你的tcp wrapp

14、er配置并报告所有发现的潜在/存在的问题。五、限制网络访问五、限制网络访问登录终端设置 /etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，你可以编辑/etc/securetty且注释掉如下的行：tty1#tty2#tty3#tty4#tty5#tty6 这时，root仅可在tty1终端登录。五、限制网络访问五、限制网络访问避免显示系统和版本信息如果你希望远程登录用户看不到系统和版本信息，可以通过以下操作改变/etc/inetd.conf文件：telnet stream tcp nowait root/usr/sbi

15、n/tcpd in.telnetd-h 加-h表示telnet不显示系统信息，而仅仅显示login:。六、防止攻击六、防止攻击阻止ping 如果没人能ping通你的系统，安全性自然增加了。为此，可以在/etc/rc.d/rc.local文件中增加如下一行：echo 1/proc/sys/net/ipv4/icmp_echo_ignore_all防止IP欺骗 编辑host.conf文件并增加如下几行来防止IP欺骗攻击。order bind，hosts multi off nospoof on六、防止攻击六、防止攻击防止DoS攻击 对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和

16、内存使用数量等。例如，可以在/etc/security/limits.conf中添加如下几行：*hard core 0*hard rss 5000*hard nproc 20 然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。session required/lib/security/pam_limits.so 命令禁止core files“core 0”，限制进程数为“nproc 50“，且限制内存使用为5M“rss 5000”。七、替换常见网络服务应用程序七、替换常见网络服务应用程序 1.WuFTPD/WuFTPD WuFTD从1994年就开始就不断地出现安全漏洞，黑客

17、很容易就可以获得远程root访问（Remote Root Access）的权限，而且很多安全漏洞甚至不需要在FTP服务器上有一个有效的帐号。最近，WuFTP也是频频出现安全漏洞。它的最好的替代程序是ProFTPD。ProFTPD的优点：ProFTPD很容易配置，在多数情况下速度也比较快，而且它的源代码也比较干净（缓冲溢出的错误比较少）。ProFTPD的另一个优点就是既可以从inetd运行又可以作为单独的daemon运行。这样就可以很容易解决inetd带来的一些问题，如：拒绝服务的攻击（denial of service attack），等 七、替换常见网络服务应用程序七、替换常见网络服务应用程

18、序 Telnet Telnet用明文来传送密码。它的安全的替代程序是OpenSSH。Linux的发行商应该采用OpenBSD的策略：安装OpenSSH并把它设置为默认的，安装Telnet但是不把它设置成默认的。Sendmail Sendmail是以root权限运行而且代码很庞大容易出问题。它的两个替代程序Qmail和Postfix都比它安全、速度快，而且特别是Postfix比它容易配置和维护。七、替换常见网络服务应用程序七、替换常见网络服务应用程序 su su是用来改变当前用户的ID，转换成别的用户。su本身是没有问题的，但是它会让人养成不好的习惯。如果一个系统有多个管理员，必须都给他们roo

19、t的口令。su的一个替代程序是sudo。named named以前是以root运行的；只要用命令行“named-u -g”让named以非root的用户运行；现在绝大多数Linux的发行商都让 named以普通用户的权限运行。八、八、防火墙防火墙是一套能够在两个或两个以上的网络之间，明显区隔出实体线路联机的软硬件设备组合。被区隔开来的网络，可以透过封包转送技术来相互通讯，透过防火墙的安全管理机制，可以决定哪些数据可以流通，哪些资料无法流通，藉此达到网络安全保护的目的。iptables 指令语法：iptables-t table command match-j target/jump说明：*t

20、参数用来指定规则表，内建的规则表有三个，分别是：nat、mangle 和 filter，当未指定规则表时，则一律视为是 filter。各个规则表的功能如下：nat 此规则表拥有 Prerouting 和 postrouting 两个规则炼，主要功能为进行一对一、一对多、多对多等网址转译工作（SNAT、DNAT），由于转译工作的特性，需进行目的地网址转译的封包，就不需要进行来源网址转译，反之亦然，因此为了提升改写封包的效率，在防火墙运作时，每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里，将会造成无法对同一封包进行多次比对，因此这个规则表除了作网址转译外，请不要做其它用

21、途。mangle 此规则表拥有 Prerouting、FORWARD 和 postrouting 三个规则炼。filter 这个规则表是预设规则表，拥有 INPUT、FORWARD 和 OUTPUT 三个规则炼，这个规则表顾名思义是用来进行封包过滤的处理动作（例如：DROP、LOG、ACCEPT 或 REJECT），我们会将基本规则都建立在此规则表中。八、八、防火墙常用命令列表：常用命令列表：*命令-A,-append范例 iptables-A INPUT.说明 新增规则到某个规则炼中，该规则将会成为规则炼中的最后一条规则。*命令-D,-delete范例 iptables-D INPUT-dp

22、ort 80-j DROPiptables-D INPUT 1 说明 从某个规则炼中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除。*命令-R,-replace范例 iptables-R INPUT 1-s 192.168.0.1-j DROP说明 取代现行规则，规则被取代后并不会改变顺序。八、八、防火墙 *命令-I,-insert范例 iptables-I INPUT 1-dport 80-j ACCEPT说明 插入一条规则，原本该位置上的规则将会往后移动一 个顺位。*命令-L,-list范例 iptables-L INPUT说明 列出某规则炼中的所有规则。*命令-F,-flus

23、h范例 iptables-F INPUT说明 删除某规则炼中的所有规则。*命令-Z,-zero范例 iptables-Z INPUT说明 将封包计数器归零。封包计数器是用来计算同一封包 出现次数，是过滤阻断式攻击不可或缺的工具。八、八、防火墙 *命令-N,-new-chain范例 iptables-N allowed说明 定义新的规则炼。*命令-X,-delete-chain范例 iptables-X allowed说明 删除某个规则炼。*命令-P,-policy范例 iptables-P INPUT DROP说明 定义过滤政策。也就是未符合过滤条件之封包，预设的处理方式。*命令-E,-ren

24、ame-chain范例 iptables-E allowed disallowed说明 修改某自订规则炼的名称。八、八、防火墙常用封包比对参数：常用封包比对参数：*参数-p,-protocol范例 iptables-A INPUT-p tcp说明 比对通讯协议类型是否相符，可以使用!运算子进行反向比对，例如：-p!tcp，意思是指除 tcp 以外的其它类型，包含 udp、icmp.等。如果要比对所有类型，则可以使用 all 关键词，例如：-p all。*参数-s,-src,-source范例 iptables-A INPUT-s 192.168.1.1说明 用来比对封包的来源 IP，可以比对单

25、机或网络，比对网络时请用数字来表示屏蔽，例如：-s 192.168.0.0/24，比对 IP 时也可以使用!运算子进行反向比对，例如：-s!192.168.0.0/24。*参数-d,-dst,-destination范例 iptables-A INPUT-d 192.168.1.1说明 用来比对封包的目的地 IP，设定方式同上。八、八、防火墙 *参数-i,-in-interface范例 iptables-A INPUT-i eth0说明 用来比对封包是从哪片网卡进入，可以使用通配字符+来做大范围比对，例如：-i eth+表示所有的 ethernet 网卡，也可以使用!运算子进行反向比对，例如：

26、-i!eth0。*参数-o,-out-interface范例 iptables-A FORWARD-o eth0说明 用来比对封包要从哪片网卡送出，设定方式同上。*参数-sport,-source-port范例 iptables-A INPUT-p tcp-sport 22说明 用来比对封包的来源埠号，可以比对单一埠，或是一个范围，例如：-sport 22:80，表示从 22 到 80 埠之间都算是符合条件，如果要比对不连续的多个埠，则必须使用-multiport 参数，详见后文。比对埠号时，可以使用!运算子进行反向比对。八、八、防火墙 *参数-dport,-destination-port范

27、例 iptables-A INPUT-p tcp-dport 22说明 用来比对封包的目的地埠号，设定方式同上。*参数-tcp-flags范例 iptables-p tcp-tcp-flags SYN,FIN,ACK SYN说明 比对 TCP 封包的状态旗号，参数分为两个部分，第一个部分列举出想比对的旗号，第二部分则列举前述旗号中哪些有被设定，未被列举的旗号必须是空的。TCP 状态旗号包括：SYN（同步）、ACK（应答）、FIN（结束）、RST（重设）、URG（紧急）、PSH（强迫推送）等均可使用于参数中，除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对旗号时，可以使用!运算子进

28、行反向比对。八、八、防火墙 *参数-syn范例 iptables-p tcp-syn说明 用来比对是否为要求联机之 TCP 封包，与 iptables-p tcp-tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用!运算子，可用来比对非要求联机封包。*参数-m multiport-source-port范例 iptables-A INPUT-p tcp-m multiport-source-port 22,53,80,110说明 用来比对不连续的多个来源埠号，一次最多可以比对 15 个埠，可以使用!运算子进行反向比对。*参数-m multiport-destinati

29、on-port范例 iptables-A INPUT-p tcp-m multiport-destination-port 22,53,80,110说明 用来比对不连续的多个目的地埠号，设定方式同上。八、八、防火墙 *参数-m multiport-port范例 iptables-A INPUT-p tcp-m multiport-port 22,53,80,110说明 这个参数比较特殊，用来比对来源埠号和目的埠号相同的封包，设定方式同上。注意：在本范例中，如果来源端口号为 80 但目的地埠号为 110，这种封包并不算符合条件。*参数-icmp-type范例 iptables-A INPUT-p

30、 icmp-icmp-type 8说明 用来比对 ICMP 的类型编号，可以使用代码或数字编号来进行比对。请打 iptables-p icmp-help 来查看有哪些代码可以用。*参数-m limit-limit范例 iptables-A INPUT-m limit-limit 3/hour说明 用来比对某段时间内封包的平均流量，上面的例子是用来比对：每小时平均流量是否超过一次 3 个封包。除了每小时平均一次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后：/second、/minute、/day。除了进行封包数量的比对外，设定这个参数也会在条件达成时，暂停封包的比对动

31、作，以避免因骇客使用洪水攻击法，导致服务被阻断。八、八、防火墙 *参数-limit-burst范例 iptables-A INPUT-m limit-limit-burst 5说明 用来比对瞬间大量封包的数量，上面的例子是用来比对一次同时涌入的封包是否超过 5 个（这是默认值），超过此上限的封包将被直接丢弃。使用效果同上。*参数-m mac-mac-source范例 iptables-A INPUT-m mac-mac-source 00:00:00:00:00:01说明 用来比对封包来源网络接口的硬件地址，这个参数不能用在 OUTPUT 和 Postrouting 规则炼上，这是因为封包要送

32、出到网卡后，才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址，所以 iptables 在进行封包比对时，并不知道封包会送到哪个网络接口去。*参数-mark范例 iptables-t mangle-A INPUT-m mark-mark 1说明 用来比对封包是否被表示某个号码，当封包被比对成功时，我们可以透过 MARK 处理动作，将该封包标示一个号码，号码最大不可以超过 4294967296。八、八、防火墙 *参数-m owner-uid-owner范例 iptables-A OUTPUT-m owner-uid-owner 500说明 用来比对来自本机的封包，是否为某特定使用

33、者所产生的，这样可以避免服务器使用 root 或其它身分将敏感数据传送出去，可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。*参数-m owner-gid-owner范例 iptables-A OUTPUT-m owner-gid-owner 0说明 用来比对来自本机的封包，是否为某特定使用者群组所产生的，使用时机同上。*参数-m owner-pid-owner范例 iptables-A OUTPUT-m owner-pid-owner 78说明 用来比对来自本机的封包，是否为某特定行程所产生的，使用时机同上。八、八、防火墙 *参数-m owner-sid-owner范例 i

34、ptables-A OUTPUT-m owner-sid-owner 100说明 用来比对来自本机的封包，是否为某特定联机（Session ID）的响应封包，使用时机同上。*参数-m state-state范例 iptables-A INPUT-m state-state RELATED,ESTABLISHED 说明 用来比对联机状态，联机状态共有四种：INVALID、ESTABLISHED、NEW 和 RELATED。INVALID 表示该封包的联机编号（Session ID）无法辨识或编号不正确。ESTABLISHED 表示该封包属于某个已经建立的联机。NEW 表示该封包想要起始一个联机（

35、重设联机或将联机重导向）。RELATED 表示该封包是属于某个已经建立的联机，所建立的新联机。例如：FTP-DATA 联机必定是源自某个 FTP 联机。八、八、防火墙常用的处理动作：常用的处理动作：-j 参数用来指定要进行的处理动作，常用的处理动作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，分别说明如下：ACCEPT 将封包放行，进行完此处理动作后，将不再比对其它规则，直接跳往下一个规则炼（nat:postrouting）。REJECT 拦阻该封包，并传送封包通知对方，可以传送

36、的封包有几个选择：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（这个封包会要求对方关闭联机），进行完此处理动作后，将不再比对其它规则，直接 中断过滤程序。范例如下：iptables-A FORWARD-p TCP-dport 22-j REJECT-reject-with tcp-resetDROP 丢弃封包不予处理，进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。八、八、防火墙 REDIRECT 将封包重新导向到另一个端口（PNAT），进行完此处理动作后，将 会继续比对其它规则。这个功能可以用来实作通透式 porxy 或用来保

37、护 web 服务器。例如：iptables-t nat-A PREROUTING-p tcp-dport 80-j REDIRECT-to-ports 8080MASQUERADE 改写封包来源 IP 为防火墙 NIC IP，可以指定 port 对应的范围，进行完此处理动作后，直接跳往下一个规则炼（mangle:postrouting）。这个功能与 SNAT 略有不同，当进行 IP 伪装时，不需指定要伪装成哪个 IP，IP 会从网卡直接读取，当使用拨接连线时，IP 通常是由 ISP 公司的 DHCP 服务器指派的，这个时候 MASQUERADE 特别有用。范例如下：iptables-t nat

38、-A POSTROUTING-p TCP-j MASQUERADE-to-ports 1024-31000八、八、防火墙 LOG 将封包相关讯息纪录在/var/log 中，详细位置请查阅/etc/syslog.conf 组态档，进行完此处理动作后，将会继续比对其它规则。例如：iptables-A INPUT-p tcp-j LOG-log-prefix INPUT packetsSNAT 改写封包来源 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将直接跳往下一个规则炼（mangle:postrouting）。范例如下：iptables-t nat-

39、A POSTROUTING-p tcp-o eth0-j SNAT-to-source 194.236.50.155-194.236.50.160:1024-32000 DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将会直接跳往下一个规则炼（filter:input 或 filter:forward）。范例如下：iptables-t nat-A PREROUTING-p tcp-d 15.45.23.67-dport 80-j DNAT-to-destination 192.168.1.1-192.168.1.10:80-1

40、00八、八、防火墙 MIRROR 镜射封包，也就是将来源 IP 与目的地 IP 对调后，将封包送回，进行完此处理动作后，将会中断过滤程序。QUEUE 中断过滤程序，将封包放入队列，交给其它程序处理。透过自行开发的处理程序，可以进行其它应用，例如：计算联机费用.等。RETURN 结束在目前规则炼中的过滤程序，返回主规则炼继续过滤，如果把自订规则炼看成是一个子程序，那么这个动作，就相当于提早结束子程序并返回到主程序中。MARK 将封包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完此处理动作后，将会继续比对其它规则。范例如下：iptables-t mangle-A PREROUTING-p

41、 tcp-dport 22-j MARK-set-mark 2八、八、防火墙实例参考实例参考wordword文件文件“IptablesIptables配置例子配置例子.doc”doc”九、九、常见安全工具常见安全工具参见参见wordword文件文件“LinuxLinux下常用下常用安全安全工具详细介绍工具详细介绍”十、安全守则十、安全守则 1.废除系统所有默认的帐号和密码。2.在用户合法性得到验证前不要显示公司题头、在线帮助以及其它信息。3.废除“黑客”可以攻击系统的网络服务。4.使用6到8位的字母数字式密码。5.限制用户尝试登录到系统的次数。6.记录违反安全性的情况并对安全记录进行复查。7.

42、对于重要信息，上网传输前要先进行加密。8.重视专家提出的建议，安装他们推荐的系统“补丁”。9.限制不需密码即可访问的主机文件。10.修改网络配置文件，以便将来自外部的TCP连接限制到最少数量的端口。不允许诸如tftp,sunrpc,printer,rlogin或rexec之类的协议。11.用upas代替sendmail。sendmail有太多已知漏洞，很难修补完全。十、安全守则十、安全守则 12.去掉对操作并非至关重要又极少使用的程序。13.使用chmod将所有系统目录变更为711模式。这样，攻击者们将无法看到它们当中有什么东西，而用户仍可执行。14.只要可能，就将磁盘安装为只读模式。其实，仅有少数目录需读写状态。15.将系统软件升级为最新版本。