在Linux服务器安全设置中,有多个关键步骤需要关注,以确保系统的稳定性和数据安全性。首先,禁止ping操作可以通过修改`/etc/rc.d/rc.local`文件,添加一行命令`echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all`,这样可以防止未经授权的ping请求探测服务器是否存在或获取其IP地址。
其次,对于用户和口令文件的权限控制至关重要。通过使用`chmod`命令,设置`/etc/passwd`, `/etc/shadow`, `/etc/group`, 和 `/etc/gshadow` 文件的权限为`600`,只有文件所有者才有读写权限,其他用户只能读取,这有助于保护敏感信息不被随意查看。
接着,为了增强文件的安全性,可以使用`chattr`命令加上不可更改属性(`+i`),如`chattr +i /etc/passwd`,防止文件被意外删除或修改。这进一步限制了潜在攻击者对这些文件的破坏。
针对vsftp服务,通过编辑`hosts.deny`和`hosts.allow`文件进行访问控制。初始时,应禁止所有vsftp请求(`vsftpd: all`),然后只允许特定IP地址(如`192.168.2.1`)的内网访问。这有助于过滤恶意访问并仅开放必要的FTP服务。
关闭无用的网络服务端口是安全策略的一部分。例如,停止`portmap`服务,禁用111端口;使用`killall`命令关闭32768和631端口,分别对应RPC和CUPS服务。同时,为了保护Web服务器(如Apache),先备份`httpd.conf`配置文件,然后禁用服务器签名(ServerSignatureOff)和版本信息(ServerTokensProd),减少暴露的信息。
Apache的`<Directory>`标签用于限制资源的访问权限,例如关闭CGI执行、目录浏览和includes功能。此外,`UserDir`设置应改为`disabled`,以防止用户自定义目录,防止潜在的安全风险。`/etc/profile`文件中的`HISTFILESIZE`和`HISTSIZE`设置,限制`.bash_history`文件记录的历史命令数量,增加用户帐户的安全性。最后,`tmout`参数设置了会话超时时间,当用户长时间无活动时自动退出,进一步增强了账户的安全防护。
Linux服务器安全设置涵盖了网络访问控制、权限管理、端口配置和应用服务的精细化调整等多个方面,旨在强化系统防护,防止未经授权的访问和潜在的威胁。
我的内容管理
展开
