關於服務器安全配置總結了以下幾點:
1、刪除不需要的安全和組;
2、關閉不需要的服務;
3、非root用戶執行/etc/rc.d/init.d/下的系統命令;
chmod -R 700 /etc/rc.d/init.d/*
< Init進程是系統啓動之後的第一個用戶進程,所以它的pid(進程編號)始終爲1。init進程上來首先做的事是去讀取/etc/目錄下inittab文件中initdefault id值,這個值稱爲運行級別(run-level)。它決定了系統啓動之後運行於什麼級別。運行級別決定了系統啓動的絕大部分行爲和目的。這個級別從0到6 ,具有不同的功能。不同的運行級定義如下:
# 0 - 停機(千萬別把initdefault設置爲0,否則系統永遠無法啓動)
# 1 - 單用戶模式
# 2 - 多用戶,沒有 NFS
# 3 - 完全多用戶模式(標準的運行級)
# 4 – 系統保留的
# 5 - X11 (x window)
# 6 - 重新啓動 (不要把initdefault 設置爲6,否則將一直在重啓 )>
4、服務器禁止 ping ;
修改 /etc/rc.d/rc.local 在文件末尾增加下面這一行echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
參數0表示允許 1 表示禁止
5、防止IP 欺騙
如果是要root用戶能夠在rlogin時不輸入密碼(即建立信任機制)的話就要在.rhosts文件中加入對方hostname
而普通用戶要建立信任機制只要在/etc/hosts.equiv中加入對方的hostname就可以了;
6、禁止root直接登錄,指定某用戶可以su到root
指定用戶可以su 到root:/etc/pam.d/su 放開指定用戶所在組的的註釋..
禁止root遠程登錄:/etc/ssh/sshd_config 修改爲PermitRootLogin no
7、不能存在弱口令,口令最長生存期90天
8、設置口令錯誤次數則暫時不能登錄
9、防火牆配置
/etc/init.d/iptables stop 關閉防火牆
10、更改關鍵服務默認端口 隱藏版本等信息