Linux(RHEL5)系統安全常規優化(4) 2021/7/3 2:30:07 119人閱讀 image
Linux系統安全優化之系統引導和登錄安全優化文件系統層次的安全優化1. 合理規劃系統分區建議劃分為獨立分區的目錄/boot :大小建議在200M以上。
/home :該目錄是用戶默認宿主目錄所在的上一級文件夾,若服務器用戶數量較多,通常無法預知每個用戶所使用的磁盤空間大小/var : 該目錄用于保存系統日志、運行狀態、用戶郵箱目錄等,文件讀寫頻繁。
占用空間可能會較多/opt : 用于安裝服務器的附加應用程序及其他可選工具,方便擴展使用2. 通過掛載選項禁止執行set位程序、二進制程序使/var分區中程序文件的執行(x)權限失效,禁止直接執行該分區中二進制程序# vi /etc/fstab/devdc1 /var ext3 defaults,noexec 1 2# mount -o remount /var如果想要從文件系統層面禁止文件的suid 或 sgid位權限,將上邊的noexec改為nosuid即可3. 鎖定不希望更改的系統文件使用 +i 屬性鎖定service 、passwd、grub.conf 文件(將不能正常添加系統用戶)# chattr +i /etcervice /etc/passd /boot/grub.conf解除/etc/passwd文件的 +i 鎖定屬性# lsattr /etc/passwd 查看文件的屬性狀態# chattr -i /etc/passwdLinux系統安全優化之應用程序和服務1. 關閉不必要的系統服務2. 禁止普通用戶執行init.d目錄中的腳本# chmod -R o-rwx /etc/init.d或# chmod -R 750 /etc/init.d3. 禁止普通用戶執行控制臺程序/etcecurity/coole.apps/目錄下每一文件對應一個系統程序,如果不希望普通用戶調用這些控制臺程序,可以將對應的配置文件移除# cd /etcecurity/coole.apps/# tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot - - remove4. 去除程序文件中非必需的set-uid 或 set-gid 附加權限查找系統中設置了set-uid或set-gid權限的文件,并結合 –exec 選項顯示這些文件的詳細權限屬性# find / -type f perm +6000 -exec ls -lh { } ;去掉程序文件的suidgid位權限# chmod a-s /tmp/back.vim編寫shell腳本,檢查系統中新增加的帶有suid或者sgid位權限的程序文件(1) 在系統處于干凈狀態時,建立合法suidgid文件的列表,作為是否有新增可疑suid文件的比較依據# find / -type f -prem +6000 > /etcfilelist# chmod 600 /etcfilelist(2) 建立chksfile腳本文件,與sfilelist比較,輸出新增的帶suidgid屬性的文件# vi /usbichksfile#!/bibashOLD_LIST=/etcfilelistfor i in ` find / -type -prem +6000 `dogrep -F “$i” $OLD_LIST > /dev/null[ $ -ne 0 ] && ls -lh $idone# chmod 700 /usbichkfile(3) 執行chkfile腳本,檢查是否有新增suidgid文件# cp /bitouch /bimytouch 建立測試用程序文件# chmod 4755 /bimytouch# chksfile 執行程序腳本,輸出檢查結果Linux系統安全優化中系統引導和登錄安全優化文件系統層次的安全優化的配置就向大家介紹完了,希望大家已經掌握。
【編輯推薦】Linux(RHEL5)系統安全常規優化(1)Linux(RHEL5)系統安全常規優化(2)Linux(RHEL5)系統安全常規優化(3)Linux(RHEL5)系統安全常規優化(5)  推薦閱讀  Linux(RHEL5)系統安全常規優化(3)Linux系統安全優化之文件和文件系統安全優化文件系統層次的安全優化1. 合理規劃系統分區建議劃分為獨立分區的目錄/boot :大小建議在200M以上。
/home :該目錄是用戶默認宿主目錄所在的上一級文件夾,若服務器>>>詳細閱讀本文標題:Linux(RHEL5)系統安全常規優化(4)地址:http:www.17bianji.com/anquabuding/666.html
標簽云

Copyright ? 2012-2021 臺灣外匯知識網 版權所有