Linux操作系统安全配置步骤详细解析

lanlanxing

一、磁盘分区
1、如果是新安装系统，对磁盘分区应考虑安全性：
1）根目录（/）、用户目录（/home）、临时目录（/tmp）和/var目录应分开到不同的磁盘分区；
2）以上各目录所在分区的磁盘空间大小应充分考虑，避免因某些原因造成分区空间用完而导致系统崩溃；
2、对于/tmp和/var目录所在分区，大多数情况下不需要有suid属性的程序，所以应为这些分区添加nosuid属性；
方法一：修改/etc/fstab文件，添加nosuid属性字。例如：
/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0
方法二：如果对/etc/fstab文件操作不熟，建议通过linuxconf程序来修改。
运行linuxconf程序；
选择"File systems"下的"Access local drive"；
选择需要修改属性的磁盘分区；
选择"No setuid programs allowed"选项；
根据需要选择其它可选项；
正常退出。（一般会提示重新mount该分区）
二、安装
1、对于非测试主机，不应安装过多的软件包。这样可以降低因软件包而导致出现安全漏洞的可能性。
2、对于非测试主机，在选择主机启动服务时不应选择非必需的服务。例如routed、ypbind等。
三、安全配置与增强
内核升级。起码要升级至2.2.16以上版本。
GNU libc共享库升级。（警告：如果没有经验，不可轻易尝试。可暂缓。）
关闭危险的网络服务。echo、chargen、shell、login、finger、NFS、RPC等
关闭非必需的网络服务。talk、ntalk、pop-2等
常见网络服务安全配置与升级
确保网络服务所使用版本为当前最新和最安全的版本。
取消匿名FTP访问
去除非必需的suid程序
使用tcpwrapper
使用ipchains防火墙
日志系统syslogd
一些细节：
1.操作系统内部的log file是检测是否有网络入侵的重要线索，当然这个假定你的logfile不被侵入者所破坏，如果你有台服务器用专线

直接连到Internet上，这意味着你的IP地址是永久固定的地址，你会发现有很多人对你的系统做telnet/ftp登录尝试，试着运行#more

/var/log/secure | grep refused 去检查。


--------------------------------------------
二，服务器型号信息介绍 香港服务器租用--香港新世界机房(NWT)是香港超大型互联网数据中心之

一，“新世界”是目前香港到大陆速度最快、最稳定线路之一。新世界线路是唯一华南华北一样快速的线路，是100%的“双线”，不存

在其他香港线路网通访问比电信慢的问题。 香港服务器租用价格--处理器/频率

(CPU) 内存 硬盘 带宽/月流量 IP数 月付价格 Atom 230 1.6Ghz (超线程) 512MB 80GB 2M独享国际带宽 1 820元/月 Atom 230 1.6Ghz

(超线程) 1GB 80GB 2M独享国际带宽 1 850元/月 Atom 230 1.6Ghz (超线程) 2GB 80GB 2M独享国际带宽 1 900元/月 奔腾双核 E2160

1.8Ghz 1GB 80GB 2M独享国际带宽 1 980元/月 奔腾双核 E5200 2.5Ghz 1GB 80GB 2M独享国际带宽 1 1100元/月 酷睿双核 E6550

2.33Ghz 2GB 80GB 2M独享国际带宽 1 1300元/月 酷睿四核 Q6600 2.4Ghz 2GB 80GB 2M独享国际带宽 1 1680元/月 双核至强 E3110

3.0Ghz 2GB 160GB 2M独享国际带宽 1 1860元/月
---------------------------------------------------------------------
SK芝加哥数据中心是海外防DDOS-gongji能力最强(10GB以上)的机房，带宽大，IP多；游戏发布站等客户的一致选择。不足之处：本机房

上架交付需3－5天，服务器稳定性较好，机房服务支持响应速度有时偏慢，下单前请先了解、确认；因不防CC/SYN等gongji类型，强烈

推荐客户额外购买并安装专用防火墙，如金盾，本司有代售，详情请咨询销售专员。 美国服务器

租用--SK芝加哥防gongji数据中心服务器租用计划 型　号 处理器/频率(CPU) 内存(RAM) 硬盘(HDD) 带宽 IP数 月付价格 SK-01

Atom 1.6Ghz 双核四线程 2GB 500GB 100M带宽 不限流量 61 1498元/月 SK-02 AMD 2400+ 1.7Ghz 2GB 200GB 100M带宽 不限流量 61

1698元/月 SK-03 酷睿双核 E5200 2.5Ghz 2GB 300GB 100M带宽 不限流量 61 1998元/月 SK-04 酷睿四核 Q8300 2.5Ghz 4GB 500GB

100M带宽 不限流量 61 2198元/月 SK-05 酷睿四核 Q8300 2.5Ghz 8GB 2X500GB 100M带宽 不限流量 61 2898元/月 SK-06 酷睿四核

Q9400 3.0Ghz 8GB 2X1500GB 100M带宽 不限流量 61 2998元/月 SK-07 酷睿四核 Q8300 2.5Ghz 8GB 2X500GB 100M带宽 不限流量 61

2998元/月 SK-08 四核至强 E5410 2.33Ghz 16GB 2X500GB 100M带宽 不限流量 61 4198元/月 USA-IDC美

国服务器租用商五洲数据提供美国服务器租用国外服务器租用业务
-------------------------------------------------
2. 限制具有SUID权限标志的程序数量，具有该权限标志的程序以root身份运行，是一个潜在的安全漏洞，当然，有些程序是必须要具有

该标志的，象passwd程序。
3.BIOS安全。设置BIOS密码且修改引导次序禁止从软盘启动系统。
4. 用户口令。用户口令是Linux安全的一个最基本的起点，很多人使用的用户口令就是简单的‘password''，这等于给侵入者敞开了大

门，虽然从理论上说没有不能确解的用户口令，只要有足够的时间和资源可以利用。比较好的用户口令是那些只有他自己能够容易记得

并理解的一串字符，并且绝对不要在任何地方写出来。
5./etc/exports 文件。如果你使用NFS网络文件系统服务，那么确保你的/etc/exports具有最严格的存取权限设置，不意味着不要使用

任何通配符，不允许root写权限，mount成只读文件系统。编辑文件/etc/exports并且加：例如：
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
/dir/to/export 是你想输出的目录，host.mydomain.com是登录这个目录的机器名，
ro意味着mount成只读系统，root_squash禁止root写入该目录。
为了让上面的改变生效，运行/usr/sbin/exportfs -a
6.确信/etc/inetd.conf的所有者是root，且文件权限设置为600 。
[root@deep]# chmod 600 /etc/inetd.conf
ENSURE that the owner is root.
[root@deep]# stat /etc/inetd.conf
File: "/etc/inetd.conf"
Size: 2869 Filetype: Regular File
Mode: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)
Device: 8,6 Inode: 18219 Links: 1
Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)
Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)
Change:Mon Sep 20 10:22:44 1999(00002.06:12:16)
编辑/etc/inetd.conf禁止以下服务：
ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,
auth, etc. 除非你真的想用它。
---------------------------------------------------------
四，运营商信息 USA-IDC美国服务器租用商五洲数据提供[url=http://www.usa-

idc.com/europe/]国外服务器租用[/url]美国服务器租用业务 USA-IDC海外数据中心 ? 2005～2010 深圳市网格时代科技有限公司 保留

所有权利. http://www.usa-idc.com http://www.755800.com