微波EDA网,见证研发工程师的成长!
首页 > 硬件设计 > 嵌入式设计 > Linux安全配置步骤大全

Linux安全配置步骤大全

时间:10-08 来源:互联网 点击:

/usr/bin/slocate

*-r-xr-sr-x 1 root tty 6212 Apr 17 11:29 /usr/bin/wall

*-rws--x--x 1 root root 14088 Apr 17 12:57 /usr/bin fn

*-rws--x--x 1 root root 13800 Apr 17 12:57 /usr/bin sh

*-rws--x--x 1 root root 5576 Apr 17 12:57 /usr/bin/newgrp

*-rwxr-sr-x 1 root tty 8392 Apr 17 12:57 /usr/bin/write

-rwsr-x--- 1 root squid 14076 Oct 7 14:48 /usr b/squid/pinger

-rwxr-sr-x 1 root utmp 15587 Jun 9 09:30 /usr/sbin/utempter

*-rwsr-xr-x 1 root root 5736 Apr 19 15:39 /usr/sbin/usernetctl

*-rwsr-xr-x 1 root bin 16488 Jul 6 09:35 /usr/sbin/traceroute

-rwsr-sr-x 1 root root 299364 Apr 19 16:38 /usr/sbin ndmail

-rwsr-xr-x 1 root root 34131 Apr 16 18:49 /usr bexec/pt_chown

-rwsr-xr-x 1 root root 13208 Apr 13 14:58 /bin/su

*-rwsr-xr-x 1 root root 52788 Apr 17 15:16 /bin/mount

*-rwsr-xr-x 1 root root 26508 Apr 17 20:26 /bin/umount

*-rwsr-xr-x 1 root root 17652 Jul 6 09:33 /bin/ping

-rwsr-xr-x 1 root root 20164 Apr 17 12:57 /bin/login

*-rwxr-sr-x 1 root root 3860 Apr 19 15:39 /sbin/netreport

-r-sr-xr-x 1 root root 46472 Apr 17 16:26 /sbin/pwdb_chkpwd

[root@deep]# chmod a-s /usr/bin age

[root@deep]# chmod a-s /usr/bin/gpasswd

[root@deep]# chmod a-s /usr/bin/wall

[root@deep]# chmod a-s /usr/bin fn

[root@deep]# chmod a-s /usr/bin sh

[root@deep]# chmod a-s /usr/bin/newgrp

[root@deep]# chmod a-s /usr/bin/write

[root@deep]# chmod a-s /usr/sbin/usernetctl

[root@deep]# chmod a-s /usr/sbin/traceroute

[root@deep]# chmod a-s /bin/mount

[root@deep]# chmod a-s /bin/umount

[root@deep]# chmod a-s /bin/ping

[root@deep]# chmod a-s /sbin/netreport

你可以用下面的命令查找所有带s位标志的程序:

[root@deep]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;

>; suid-sgid-results

把结果输出到文件suid-sgid-results中。

为了查找所有可写的文件和目录,用下面的命令:

[root@deep]# find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; >; ww-files-results

[root@deep]# find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \; >; ww-directories-results

用下面的命令查找没有拥有者的文件:

[root@deep]# find / -nouser -o -nogroup >; unowed-results

用下面的命令查找所有的.rhosts文件:

[root@deep]# find /home -name .rhosts >; rhost-results

建议替换的常见网络服务应用程序

WuFTPD

WuFTD从1994年就开始就不断地出现安全漏洞,黑客很容易就可以获得远程root访问(Remote Root Access)的权限,而且很多安全漏洞甚至不需要在FTP服务器上有一个有效的帐号。最近,WuFTP也是频频出现安全漏洞。

它的最好的替代程序是ProFTPD。ProFTPD很容易配置,在多数情况下速度也比较快,而且它的源代码也比较干净(缓冲溢出的错误比较少)。有许多重要的站点使用ProFTPD。sourceforge.net就是一个很好的例子(这个站点共有3,000个开放源代码的项目,其负荷并不小啊!)。一些Linux的发行商在它们的主FTP站点上使用的也是ProFTPD,只有两个主要Linux的发行商(SuSE和Caldera)使用WuFTPD。

ProFTPD的另一个优点就是既可以从inetd运行又可以作为单独的daemon运行。这样就可以很容易解决inetd带来的一些问题,如:拒绝服务的攻击(denial of service attack),等等。系统越简单,就越容易保证系统的安全。WuFTPD要么重新审核一遍全部的源代码(非常困难),要么完全重写一遍代码,否则 WuFTPD必然要被ProFTPD代替。

Telnet

Telnet是非常非常不安全的,它用明文来传送密码。它的安全的替代程序是OpenSSH。

OpenSSH在Linux上已经非常成熟和稳定了,而且在Windows平台上也有很多免费的客户端软件。Linux的发行商应该采用OpenBSD的策略:安装OpenSSH并把它设置为默认的,安装Telnet但是不把它设置成默认的。对于不在美国的Linux发行商,很容易就可以在Linux的发行版中加上OpenSSH。美国的Linux发行商就要想一些别的办法了(例如:Red Hat在德国的FTP服务器上(ftp.redhat.de)就有最新的OpenSSH的rpm软件包)。

Telnet是无可救药的程序。要保证系统的安全必须用OpenSSH这样的软件来替代它。

Sendmail

最近这些年,Sendmail的安全性已经提高很多了(

Copyright © 2017-2020 微波EDA网 版权所有

网站地图

Top