Linux服务器的安全设置方案

XXXX集团

Linux服务器安全设置方案

文档控制

一、描述

尽管Linux在安全设计上比其他一些操作系统具有一定的先天优势，但它也决不像早先一些人认为的“绝对安全”，近年来，基于Linux的安全事件也多有发生。本文对Linux安全问题进行过一些探讨，作为对这一部分内容的总结和进一步补充完善。

二、开机安全设置

1、Bios安全

一定要给Bios设置密码，以防通过在Bios中改变启动顺序，而可以从软盘启动。这样可以阻止别人

试图用特殊的启动盘启动你的系统，还可以阻止别人进入Bios改动其中的设置（比如允许通过软盘启动等）。

2、LILO安全

在"/etc/lilo.conf"文件中加入下面三个参数：time-out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。

第一步：编辑lilo.conf文件（vi/etc/f）,假如或改变这三个参数：

第二步：

因为"/etc/lilo.conf"文件中包含明文密码，所以要把它设置为root权限读取。

第三步：更新系统，以便对"/etc/lilo.conf"文件做的修改起作用。

第四步：使用"chattr"命令使"/etc/lilo.conf"文件变为不可改变。

三、账户安全设置

1、删除所有的特殊账户

你应该删除所有不用的缺省用户和组账户（比如lp,sync,shutdown,halt, news,uucp,operator,games,gopher等）。

删除用户：

删除系统特殊的的用户帐号和组帐号：

#userdel username

userdel adm

userdel lp

userdel sync

userdel shutdown

userdel halt

userdel news

userdel uucp

userdel operator

userdel games

userdel gopher

以上所删除用户为系统默认创建，但是在常用服务器中基本不使用的一些帐号，但

是这些帐号常被黑客利用和攻击服务器。

#groupdel username

groupdel adm

groupdel lp

groupdel news

groupdel uucp

groupdel games

groupdel dip

同样，以上删除的是系统安装是默认创建的一些组帐号。这样就减少受攻击的机会。

2、root账户自动注销

在unix系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户，系统会自动注销。通过修改账户中"TMOUT"参数，可以实现此功能。TMOUT 按秒计算。编辑你的profile文件（vi /etc/profile）,在"HISTFILESIZE="后面加入下面这行：

小时内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的".bashrc"文件中添加该值，以便系统对该用户实行特殊的自动注销时间。改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。

3、root账户电源管理

只允许root账户对电源进行管理

此项配置防止SYN Flood攻击

4、取消普通用户的控制台访问权限

你应该取消普通用户的控制台访问权限，比如shutdown、reboot、halt等命令。

是你要注销的程序名。

5、定期不需要的用户

定期检查主机系统用户，及时删除离职的用户,检查系统中SUID、SGID文件

检查系统上不正常的隐藏文件。

例如：

6、编辑初始账户参数，以满足密码策略

编辑/etc/sadm/defadduser需要，使用adduser命令时满足密码策略，例如：

四、密码安全

1、设置密码安全性

在选择正确密码之前还应作以下修改：

修改密码长度：在你安装linux时默认的密码长度是5个字节。但这并不够，要把它设为8。口令必须具备采用3种以上字符、长度不少于8位并定期更换；

#vi /etc/pam.d/system_auth password requisite pam_cracklib.so minlen=8 ucredit=1 lcredit=1 dcr edit=1 ocredit=1 意思为最少有1个大写字母，1个小写字符，1个数字， 1个符号

修改最短密码长度需要编辑login.defs文件（vi/etc/login.defs），把下面这行

密码可以被改变的最小时段

密码的最大生存周期

设定离用户密码过期的天数，当系统启动时提醒用户

口令有效期

# vi /etc/login.defs PASS_MAX_DAYS 60

2、启用登录失败处理功能

可采取结束会话、限制非法登录次数和自动退出等措施

设置6次登陆失败后锁定帐户，锁定时间3000秒

# vi /etc/pam.d/system-auth

auth required pam_tally.so onerr=fail deny=6 unlock_time=3000

(放在system-auth文件的第一行，若对root用户起作用，加上

even_deny_root root_unlock_time=3000)

解锁用户 faillog -u <用户名》 -r

3、设置复杂的密码

口令长度至少为八个字符，口令越长越好。若使用MD5口令，它应该至少有15个字符。若使用DES口令，使用最长长度（8个字符）。

混和大小写字母。Linux区分大小写，因此混和大小写会增加口令的强壮程度。

混和字母和数字。在口令中添加数字，特别是在中间添加（不只在开头和结尾处）能够加强口令的强健性。

包括字母和数字以外的字符：&、$、和> 之类的特殊字符可以极大地增强口令的强健性（若使用DES口令则不能使用此类字符）。

挑选一个可以记住的口令。如果记不住自己的口令，那么它再好也没有用，使用简写或其他记忆方法来帮助记忆口令。

不要在口令中只使用单词或数字。

不要使用现成词汇，像名称、词典中的词汇、甚至电视剧或小说中的用语，即使在两端使用数字，都应该避免使用。

不要使用外语中的词汇。口令破译程序经常使用多种语言的词典来检查其词汇列表。依赖外语来达到保护口令的目的通常不起作用。

不要使用黑客术语。