Linux网络安全之经验谈(4)

2016-01-29 19:12 2 1 收藏

Linux网络安全之经验谈(4),Linux网络安全之经验谈(4)

【 tulaoshi.com - Linux 】

  关于用户资源

  对你的系统上所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数,内存数量等。例如,对所有用户的限制, 编辑/etc/security/limits.con加入以下几行:

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/linux/)

  * hard core 0
  * hard rss 5000
  * hard nproc 20

  你也必须编辑/etc/pam.d/login文件,检查这一行的存在:

  session required /lib/security/pam_limits.so

  上面的命令禁止core files“core 0”,限制进程数为“nproc 50“,且限制内存使用为5M“rss 5000”。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/linux/)

  关于NFS服务器

  由于NFS服务器漏洞比较多,你一定要小心。如果要使用NFS网络文件系统服务,那么确保你的/etc/exports具有最严格的存取权限设置,不意味着不要使用任何通配符,不允许root写权限,mount成只读文件系统。你可以编辑文件/etc/exports并且加:

  /dir/to/export host1.mydomain.com(ro,root_squash)
  /dir/to/export host2.mydomain.com(ro,root_squash)

  其中/dir/to/export 是你想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。最后为了让上面的改变生效,还要运行/usr/sbin/exportfs -a

  关于开启的服务

  默认的linux就是一个强大的系统,运行了很多的服务。但有许多服务是不需要的,很容易引起安全风险。这个文件就是/etc/inetd.conf,它制定了/usr/sbin/inetd将要监听的服务,你可能只需要其中的两个:telnet和ftp,其它的类如shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth, etc. 除非你真的想用它。否则统统关闭之。

  你先用下面的命令显示没有被注释掉的服务:

  grep -v "#" /etc/inetd.conf

  这个命令统计面前服务的总数:

  ps -eaf|wc -l

  需要提醒你的是以下三个服务漏洞很多,强烈建议你关闭它们:S34yppasswdd(NIS服务器)、S35ypserv(NIS服务器)和S60nfs(NFS服务器)。

  我们可以运行#killall -HUP inetd来关闭不需要的服务。当然,你也可以运行

  #chattr +i /etc/inetd.conf

  如果你想使inetd.conf文件具有不可更改属性,而只有root 才能解开,敲以下命令

  #chattr -i /etc/inetd.conf

  当你关闭一些服务以后,重新运行以上命令看看少了多少服务。运行的服务越少,系统自然越安全了。我们可以用下面命令察看哪些服务在运行:

  netstat -na --ip

  如果你用的是Redhat那就方便多了。^_^ Redhat提供一个工具来帮助你关闭服务,输入/usr/sbin/setup,然后选择"system services",就可以定制系统启动时跑哪些服务。另外一个选择是chkconfig命令,很多linux版本的系统都自带这个工具。脚本名字中的数字是启动的顺序,以大写的K开头的是杀死进程用的。

 

来源:http://www.tulaoshi.com/n/20160129/1508745.html

延伸阅读
  作者: Sppence Murray 出处: IBM Sppence Murray 是 Linux 开发高手之一,同时长期以来他一直是 UNIX 的坚定支持者。本文介绍的是 Murray 和他在 Codemonks Consulting 的同事在日常的 Linux 开发以及应用服务工作中用到的基本技术: shell 脚本,相信 Linux 的开发人员都会受益于这项有用而且通用的技术。 Spence Murray ...
标签: 生活常识
验楼经验谈 图老师阅读配图   一、土建工程的验收楼宇整体外观不出现倾斜, 房间内的梁、柱、墙无明显的尺寸偏差(请带上钢卷尺);墙面、楼板面、天花等不出现明显的裂缝;批荡层不允许有龟裂缝、脱皮、起沙眼以及起泡等缺陷;门窗与墙身之间结合部的处理应平整,无缺棱掉角。 二、给排水工程的验收 1、给排水管之间的...
标签: Web开发
一、垃圾还是经典 网页技术更新很快,一个网站的界面设计寿命仅仅2-3年而已。不管是垃圾还是精品,都没有所谓的经典。经典只存在于是哪个首次成功创新性的应用。网页设计者不管自己的学识、技术和经验如何,都自以为自己吊的不得了,这可能是源与商业设计自我意识体现的强烈主观因素。一个闭门造车者做出的东西,是远远赶不上综合借鉴者的。...
摄影初学经验谈   对于初学者来说,摄影入门并不只是使用单反拍照那么简单,抛开各种复杂的参数不说,从选取题材、器材使用到拍摄技巧都需要仔细研究。为了大家在拍照时少走弯路,小编结合日常拍摄经验,为大家总结出了7条拍摄建议,一起来看一下吧。 1. 养成备份、清空储存卡的好习惯 相信很多人都有类似不良习惯,...
人像摄影经验谈 网络人气大片速成手册 摄影家们凭借着他们敏锐的艺术触觉,通过对人物姿态的安排、表情的选择,对光线、影调的处理来让人物的性格说话,让摄者坦露内心的世界。力求真实的内容和完美的形式达到和谐的统一,使观众从画面中的人物身上看到了更为生动有力、栩栩如生的形象,更能体验到时代的氛围,感受到丰富多彩的人生。 ...

经验教程

86

收藏

80
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部