阿里云優(yōu)惠券 先領券再下單

一、磁盤分區(qū) 

1、如果是新安裝系統(tǒng)，對磁盤分區(qū)應考慮安全性：

1）根目錄（/）、用戶目錄（/home）、臨時目錄（/tmp）和/var目錄應分開到不同的磁盤分區(qū)；

2）以上各目錄所在分區(qū)的磁盤空間大小應充分考慮，避免因某些原因造成分區(qū)空間用完而導致系統(tǒng)崩潰；

2、對于/tmp和/var目錄所在分區(qū)，大多數情況下不需要有suid屬性的程序，所以應為這些分區(qū)添加nosuid屬性；

方法一：修改/etc/fstab文件，添加nosuid屬性字。例如：
/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0

方法二：如果對/etc/fstab文件操作不熟，建議通過Linuxconf程序來修改。
＊運行Linuxconf程序；
＊選擇"File systems"下的"Access local drive"；
＊選擇需要修改屬性的磁盤分區(qū)；
＊選擇"No setuid programs allowed"選項；
＊根據需要選擇其它可選項；
＊正常退出。（一般會提示重新mount該分區(qū)）

二、安裝

1、對于非測試主機，不應安裝過多的軟件包。這樣可以降低因軟件包而導致出現安全漏洞的可能性。
2、對于非測試主機，在選擇主機啟動服務時不應選擇非必需的服務。例如routed、ypbind等。

三、安全配置與增強

內核升級。起碼要升級至2.2.16以上版本。
GNU libc共享庫升級。（警告：如果沒有經驗，不可輕易嘗試?？蓵壕?。）
關閉危險的網絡服務。echo、chargen、shell、login、finger、NFS、RPC等
關閉非必需的網絡服務。talk、ntalk、pop-2等
常見網絡服務安全配置與升級
確保網絡服務所使用版本為當前最新和最安全的版本。
取消匿名FTP訪問
去除非必需的suid程序
使用tcpwrapper
使用ipchains防火墻
日志系統(tǒng)syslogd

一些細節(jié)：

1.操作系統(tǒng)內部的log file是檢測是否有網絡入侵的重要線索，當然這個假定你的logfile不被侵入者所破壞，如果你有臺服務器用專線直接連到Internet上，這意味著你的IP地址是永久固定的地址，你會發(fā)現有很多人對你的系統(tǒng)做telnet/ftp登錄嘗試，試著運行#more /var/log/secure grep refused 去檢查。

2. 限制具有SUID權限標志的程序數量，具有該權限標志的程序以root身份運行，是一個潛在的安全漏洞，當然，有些程序是必須要具有該標志的，象passwd程序。

3.BIOS安全。設置BIOS密碼且修改引導次序禁止從軟盤啟動系統(tǒng)。

4. 用戶口令。用戶口令是Linux安全的一個最基本的起點，很多人使用的用戶口令就是簡單的‘passWord'，這等于給侵入者敞開了大門，雖然從理論上說沒有不能確解的用戶口令，只要有足夠的時間和資源可以利用。比較好的用戶口令是那些只有他自己能夠容易記得并理解的一串字符，并且絕對不要在任何地方寫出來。

5./etc/eXPorts 文件。如果你使用NFS網絡文件系統(tǒng)服務，那么確保你的/etc/eXPorts具有最嚴格的存取權限設置，不意味著不要使用任何通配符，不允許root寫權限，mount成只讀文件系統(tǒng)。編輯文件/etc/eXPorts并且加：例如：

/dir/to/eXPort host1.mydomain.com(ro,root_squash)

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！