操作系統的基準安全詳細清單牛

6. 限制su命令 如果你不想任何人能夠用su作為root，可以/etc/pam.d/su文件，增加如下兩行： 　　auth sufficient /lib/security/pam_ debug 　　auth required /lib/security/pam_ group=isd

這時，僅isd組的用戶可以用su作為root。此后，如果你希望用戶admin能夠用su作為root，可以運行如下命令： 　　# usermod -G10 admin

7. 刪減登錄信息 默認情況下，登錄提示信息包括Linux發行版、內核版本名和服務器主機名等。對于一臺安全性要求較高的機器來說這樣泄漏了過多的信息?？梢?etc/rc.d/cal將輸出系統信息的如下行注釋掉。 　　# This will overwrite /etc/issue at every boot. So， make any changes you 　　# want to make to /etc/issue here or you will lose them when you reboot　　# echo \"\" ＞ /etc/issue 　　# echo \"$R\" ＞＞ /etc/issue 　　# echo \"Kernel $(uname -r) on $a $(uname -m)\" ＞＞ /etc/issue 　　# cp -f /etc/issue /etc/ 　　# echo ＞＞ /etc/issue

然后，進行如下操作： 　　# rm -f /etc/issue 　　# rm -f /etc/ 　　# touch /etc/issue 　　# touch /etc/

限制絡訪問 S訪問 如果你使用NFS絡文件系統服務，應該確保你的/etc/exports具有最嚴格的訪問權限設置，也就是意味著不要使用任何通配符、不允許root寫權限并且只能安裝為只讀文件系統。文件/etc/exports并加入如下兩行。 　　/dir/to/export (ro，root_squash) 　 /dir/to/export (ro，root_squash)

所需要的技術支持如何 /dir/to/export 是你想輸出的目錄，是登錄這個目錄的機器名，ro意味著mount成只讀系統，root_squash禁止root寫入該目錄。為了使改動生效，運行如下命令。 　　# /usr/sbin/exportfs -a

etd設置 首先要確認/etc/nf的所有者是root，且文件權限設置為600。設置完成后，可以使用\"stat\"命令進行檢查。 　　# chmod 600 /etc/nf

然后，/etc/nf禁止以下服務。 　　ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth

如果你安裝了ssh/scp，也可以禁止掉Telnet/FTP。為了使改變生效，運行如下命令： 　　#killall -HUP inetd

默認情況下，多數Linux系統允許所有的請求，而用TCP_WRAPPERS增強系統安全性是舉手之勞，你可以修改/etc/ny和/etc/low來增加訪問限制。例如，將/etc/ny設為\"ALL: ALL\"可以默認拒絕所有訪問。然后在/etc/low文件中添加允許的訪問。例如，\"sshd: 192.168.1.10/255.255.255.0 \"表示允許IP地址192.168.1.10和主機名允許通過SSH連接。 配置完成后，可以用tcpdchk檢查: # tcpdchk tcpchk是TCP_Wrapper配置檢查工具，它檢查你的tcp wrapper配置并報告所有發現的潛在/存在的問題。