别人发的linux服务器安全设置

master

1.禁止ping

/etc/rc.d/rc.local
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2.对用户和口令文件进行权限控制
chmod 600 /etc/passwd
chmod 600 /etc/shadow
chmod 600 /etc/group
chmod 600 /etc/gshadow
3.给下面文件加上不可更改属性
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
4.对vsftp进行访问控制
vi hosts.deny
vsftpd: all      --先禁止所有vsftp的请求
vi hosts.allow
vsftpd: 192.168.2.1  --再允许内网的vsftd请求
5.关闭无用端口,只开启常规端口(21、22、80、443)
service portmap stop
chkconfig --level 35 portmap off     --关闭111端口
netstat -nap |grep 32768
killall rpc.statd                    --关闭32768端口
netstat -nap |grep 631
killall cupsd                        --关闭631端口
service sendmail stop
chkconfig --level 12345 sendmail off   --关闭25端口
6.apache安全设置(先备份httpd.conf配置文件)
vi /etc/httpd/httpd.conf
ServerSignature Off
ServerTokens Prod          ---隐藏Apache的版本号及其它敏感信息
<Directory>
Options -ExecCGI -FollowSymLinks -Indexes    --关闭CGI执行程序、includes、目录浏览
</Directory>
将UserDir public_html改为UserDir disabled
#ScriptAlias /cgi-bin "/usr/local/apache/cgi-bin/"
注释掉manual
7.vi /etc/profile
HISTFILESIZE=30
HISTSIZE=30       --这表示每个用户的“.bash_history”文件只可以保存30条旧命令
tmout=600         --用户将在10分钟无操作后自动注销
vi /etc/skel/.bash_logout
rm -f $HOME/.bash_history    --当用户每次注销时，“.bash_history”文件都会被删除。
vi /etc/inittab
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改为：
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
/sbin/init q   --让改动起作用
8.删除无法帐户和组
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel mail
userdel news
userdel uucp
userdel operator
userdel games
userdel ftp
groupdel adm
groupdel lp
groupdel mail
groupdel news
groupdel uucp
groupdel games

skyover

http://www.google.com

wybie

貌似很牛的样子。

过客

2楼道出真理。

hejin088

Administrator 发表于 2012-6-3 17:45
最主要的两句。
可写不可执行，可执行不可写。

虽然不太懂，但是看起来貌似很牛逼的样子。

否要

第二个不会造成普通用户无法登陆吗，这样的话SSH时就不能够通过普通用户登录了。个人觉得第二条是不必的。只要设置好帐号后执行第三条就行了

ihack520

学习了。。