[转]linux服务器安全配置

    [阴 June 24, 2013 12:15 | by !4p47hy ]
1.禁止ping

/etc/rc.d/rc.local
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2.对用户和口令文件进行权限控制
chmod 600 /etc/passwd
chmod 600 /etc/shadow
chmod 600 /etc/group
chmod 600 /etc/gshadow
3.给下面文件加上不可更改属性
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow

4.对vsftp进行访问控制
vi hosts.deny
vsftpd: all –先禁止所有vsftp的请求
vi hosts.allow
vsftpd: 192.168.2.1 –再允许内网的vsftd请求
5.关闭无用端口,只开启常规端口(21、22、80、443)
service portmap stop
chkconfig –level 35 portmap off –关闭111端口
netstat -nap |grep 32768
killall rpc.statd –关闭32768端口
netstat -nap |grep 631
killall cupsd –关闭631端口
service sendmail stop
chkconfig –level 12345 sendmail off –关闭25端口
6.apache安全设置(先备份httpd.conf配置文件)
vi /etc/httpd/httpd.conf
ServerSignature Off
ServerTokens Prod —隐藏Apache的版本号及其它敏感信息

Options -ExecCGI -FollowSymLinks -Indexes –关闭CGI执行程序、includes、目录浏览

将UserDir public_html改为UserDir disabled
#ScriptAlias /cgi-bin “/usr/local/apache/cgi-bin/”
注释掉manual
7.vi /etc/profile
HISTFILESIZE=30
HISTSIZE=30 –这表示每个用户的“.bash_history”文件只可以保存30条旧命令
tmout=600 –用户将在10分钟无操作后自动注销
vi /etc/skel/.bash_logout
rm -f $HOME/.bash_history –当用户每次注销时,“.bash_history”文件都会被删除。
vi /etc/inittab
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改为:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
/sbin/init q –让改动起作用
8.删除无法帐户和组
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel mail
userdel news
userdel uucp
userdel operator
userdel games
userdel ftp
groupdel adm
groupdel lp
groupdel mail
groupdel news
groupdel uucp
groupdel games
==================================================================================================
你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。
支持该方式的服务器存在跨站脚本黑龙江快乐十分投注,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。
攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决方案: 禁用这些方式。
如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* – [F]
===================================================================================================
下面简单的说一些修改那些服务Banner的方法
apache
彻底地去掉banner, 修改httpd.h:
Include/httpd.h
Define SERVER_BASEVENDOR “Apache Group”
Define SERVER_PRODUCTVENDOR “Apache”
Define SERVER_BASEVERSION “1.3.27″
后从新编译Apache就能够完全去掉了
Wu-ftp
用十六进制文本编辑器修改/usr/sbin/in.ftpd文件,找到如下几行:
/var/log/lastlog
Could not write %.100s: %.100s
Version wu-2.6.1-16
改成
Microsoft FTP Service (Version 5.0)
或者
Serv-U FTP Server v4.0 for WinSock ready…
Telnet banner
编辑文件/etc/issue.net,找到类似这行(不同版本的Linux内容不太一样):
Red Hat Linux release 8.0 (Psyche)
Kernel r on an m
改成
Microsoft Windows Version 5.00 (Build 2195)
Welcome to Microsoft Telnet Service
Telnet Server Build 5.00.99206.1
由于issue.net重启后会自动恢复,为了保持这些伪造的信息,需要再编辑文件/etc/rc.local,在这些行前加“#”号,注释掉恢复的功能:
# echo “” > /etc/issue
# echo “$R” >> /etc/issue
# echo “Kernel $(uname -r) on $a $SMP$(uname -m)” >> /etc/issue
# cp -f /etc/issue /etc/issue.net
# echo >> /etc/issue
Apache
在安装Apache前,在源文件/src/include目录下找到httpd.h头文件。此文件定义了apache的版本信息,apache安装时需要调用它。编辑http.h文件,找到如下几行:
#define SERVER_BASEVENDOR “Apache Group”
#define SERVER_BASEPRODUCT “Apache”
#define SERVER_BASEREVISION “1.3.20″
可以根据自己的意愿改成其他信息,笔者改的是Microsoft-IIS/5.0。
SSH
编辑文件/etc/ssh/sshd_config,找到这行:
Banner /etc/issue.net
在此行前加#进行注释就可以不显示SSH的Banner。
Sendmail
在sendmail.mc文件中去掉$v、$z这两个宏,并包含下面的内容:
define(`confSMTP_LOGIN_MSG’,$j Sendmail Secure/Rabid;$b)
然后生成sendmail.cf文件:
#m4 /etc/mail/sendmail.mc > /etc/sendmail.cf
如果sendmail.mc中没有include(`/usr/share/sendmail-cf/m4/cf.m4′)这一行就需要和Sendmail提供的预设的配置文件cf.m4一起使用来生成文件sendmail.cf:
#m4 /usr/share/sendmail-cf/m4/cf.m4 /etc/mail/sendmail.mc > /etc/sendmail.cf
php
vi php.ini
设置 黑龙江快乐十分投注ose_php = Off

来源:网络收集
Technology | Comments(0) | Trackbacks(0) | Reads(330466)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive
 
  • 夺取新时代中国特色社会主义伟大胜利 2019-06-23
  • 个税法迎第七次大修 起征点调至每年6万元 2019-06-23
  • 【专栏】中国城市学年会·2017 2019-06-23
  • 鸡肋变抢手货 短债基金发行提速 2019-06-20
  • 端午假期广州铁路运客640.5万人次 创历史新高 2019-06-16
  • 福特翼虎购车指南 降价后推荐豪翼型 2019-06-11
  • 【学习时刻】人民大学张杰:谋划和推进改革既要“脚踏实地”也要“仰望天空” 2019-06-11
  • 爱心暑托班为何要面试? 所有报名者需面试筛选 2019-06-09
  • 网络智库:人才争夺战 山西输不起 2019-06-04
  • 丰田致炫优惠1.0万元 到店有礼优惠不断 2019-06-03
  • 看了看某同事放长线的账户,居然赔掉了三分之二的本金[可怜] 2019-06-02
  • 由进口至出口再至走向世界,这一路着实不易,其中少不了无数位科研人员的奉献与牺牲。 2019-06-02
  • 5次足球先生,4次欧冠冠军,如今世界欠他一座大力神杯! 2019-06-01
  • 【理上网来·辉煌十九大】认识把握习近平新时代中国特色社会主义思想的内在逻辑结构 2019-05-28
  • 十九大精神进机关:原原本本吃透精神 学懂弄通昂扬斗志 2019-05-28
  • 通比牛牛游戏币 体彩p3今天开奖结果查询 中国竞彩网上排名 26选5历史开奖号码 北京赛车破解神器 什么老师平特肖 新11选5开奖直播内蒙古 七星彩走势图带坐标连线走势图 足彩总进球数倍数 广东26选5预测 刮刮乐拖把配件 体彩快中彩走 网彩票那个通过国家认可 竞彩足球比分统计 云南快乐10分钟开奖走势图