# Basic system aliases -- these MUST be present.
MAILER-DAEMON: postmaster
postmaster: root
# General redirections for pseudo accounts.
bin: root
daemon: root
#games: root ?remove or comment out.
#ingres: root ?remove or comment out.
nobody: root
#system: root ?remove or comment out.
#toor: root ?remove or comment out.
#uucp: root ?remove or comment out.
# Well-known aliases.
#manager: root ?remove or comment out.
#dumper: root ?remove or comment out.
#operator: root ?remove or comment out.
# trap decode to catch security attacks
#decode: root
# Person who should get root's mail
#root: marc
最后更新后不要忘記運(yùn)行/usr/bin/newaliases,使改變生效。
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We don't have machines with multiple IP addresses on the same card
(like virtual server,IP Aliasing).
multi off
# Check for IP address spoofing.
nospoof on
IP Spoofing: IP-Spoofing is a security exploit that works by tricking
computers in a trust relationship that you are someone that you really aren't.
16. 資源限制
對(duì)你的系統(tǒng)上所有的用戶設(shè)置資源限制可以防止DoS類型攻擊(denial of service attacks)
如最大進(jìn)程數(shù),內(nèi)存數(shù)量等。例如,對(duì)所有用戶的限制象下面這樣:
編輯/etc/security/limits.con加:
* hard core 0
* hard rss 5000
* hard nproc 20
你也必須編輯/etc/pam.d/login文件加/檢查這一行的存在。
20. The /etc/rc.d/rc.local file
默認(rèn)地,當(dāng)你login到linux server時(shí),它告訴你linux版本名,內(nèi)核版本名和服務(wù)器
主機(jī)名。它給了你太多的信息,如果你就希望得到提示login: ,編輯
/etc/rc.d/rc.local放#在下面的行前面:
--
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" >; /etc/issue
#echo "$R" >;>; /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >;>; /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >;>; /etc/issue
--
然后,做下面的事情:
[root@deep]# rm -f /etc/issue
[root@deep]# rm -f /etc/issue.net
[root@deep]# touch /etc/issue
[root@deep]# touch /etc/issue.net
WuFTPD
WuFTD從1994年就開(kāi)始就不斷地出現(xiàn)安全漏洞,黑客很容易就可以獲得遠(yuǎn)程root訪問(wèn)(Remote Root Access)的權(quán)限,而且很多安全漏洞甚至不需要在FTP服務(wù)器上有一個(gè)有效的帳號(hào)。最近,WuFTP也是頻頻出現(xiàn)安全漏洞。
它的最好的替代程序是ProFTPD。ProFTPD很容易配置,在多數(shù)情況下速度也比較快,而且它的源代碼也比較干凈(緩沖溢出的錯(cuò)誤比較少)。有許多重要的站點(diǎn)使用ProFTPD。sourceforge.net就是一個(gè)很好的例子(這個(gè)站點(diǎn)共有3,000個(gè)開(kāi)放源代碼的項(xiàng)目,其負(fù)荷并不小?。。?。一些Linux的發(fā)行商在它們的主FTP站點(diǎn)上使用的也是ProFTPD,只有兩個(gè)主要Linux的發(fā)行商(SuSE和Caldera)使用WuFTPD。
ProFTPD的另一個(gè)優(yōu)點(diǎn)就是既可以從inetd運(yùn)行又可以作為單獨(dú)的daemon運(yùn)行。這樣就可以很容易解決inetd帶來(lái)的一些問(wèn)題,如:拒絕服務(wù)的攻擊(denial of service attack),等等。系統(tǒng)越簡(jiǎn)單,就越容易保證系統(tǒng)的安全。WuFTPD要么重新審核一遍全部的源代碼(非常困難),要么完全重寫一遍代碼,否則WuFTPD必然要被ProFTPD代替。
su
su是用來(lái)改變當(dāng)前用戶的ID,轉(zhuǎn)換成別的用戶。你可以以普通用戶登錄,當(dāng)需要以root身份做一些事的時(shí)候,只要執(zhí)行“su”命令,然后輸入root的密碼。su本身是沒(méi)有問(wèn)題的,但是它會(huì)讓人養(yǎng)成不好的習(xí)慣。如果一個(gè)系統(tǒng)有多個(gè)管理員,必須都給他們r(jià)oot的口令。
su的一個(gè)替代程序是sudo。Red Hat 6.2中包含這個(gè)軟件。sudo允許你設(shè)置哪個(gè)用戶哪個(gè)組可以以root身份執(zhí)行哪些程序。你還可以根據(jù)用戶登錄的位置對(duì)他們加以限制(如果有人“破”了一個(gè)用戶的口令,并用這個(gè)帳號(hào)從遠(yuǎn)程計(jì)算機(jī)登錄,你可以限制他使用sudo)。Debian也有一個(gè)類似的程序叫super,與sudo比較各有優(yōu)缺點(diǎn)。
讓用戶養(yǎng)成良好的習(xí)慣。使用root帳號(hào)并讓多個(gè)人知道root的密碼并不是一個(gè)好的習(xí)慣。這就是www.apache.org被入侵的原因,因?yàn)樗卸鄠€(gè)系統(tǒng)管理員他們都有root的特權(quán)。一個(gè)亂成一團(tuán)的系統(tǒng)是很容易被入侵的。
named
大部分Linux的發(fā)行商都解決了這個(gè)問(wèn)題。named以前是以root運(yùn)行的,因此當(dāng)named出現(xiàn)新的漏洞的時(shí)候,很容易就可以入侵一些很重要的計(jì)算機(jī)并獲得root權(quán)限。現(xiàn)在只要用命令行的一些參數(shù)就能讓named以非root的用戶運(yùn)行。而且,現(xiàn)在絕大多數(shù)Linux的發(fā)行商都讓named以普通用戶的權(quán)限運(yùn)行。命令格式通常為:named -u user name>; -g group name>;
INN
在INN的文檔中已經(jīng)明確地指出:“禁止這項(xiàng)功能(verifycancels),這項(xiàng)功能是沒(méi)有用的而且將被除掉”。大約在一個(gè)月前,一個(gè)黑客發(fā)布了當(dāng)“verifycancels”生效的時(shí)候入侵INN的方法。Red Hat是把“verifycancels”設(shè)為有效的。任何setuid/setgid的程序或網(wǎng)絡(luò)服務(wù)程序都要正確地安裝并且進(jìn)行檢查以保證盡量沒(méi)有安全漏洞。