淺談Linux操做系統的安全設置（轉）

現在系統安全變的愈來愈重要了，這裏我想把我平時比較常使用的一些linux下的基本的安全措施寫出來和你們探討一下，讓咱們的Linux系統變得可靠。

一、BIOS的安全設置

這是最基本的了，也是最簡單的了。必定要給你的BIOS設置密碼，以防止經過在BIOS中改變啓動順序，而能夠從軟盤啓動。這樣能夠阻止別有用心的試圖用特殊的啓動盤啓動你的系統，還能夠阻止別人進入BIOS改動其中的設置，使機器的硬件設置不能被別人隨意改動。

二、LILO的安全設置

LILO是LInux LOader的縮寫，它是LINUX的啓動模塊。能夠經過修改「/etc/lilo.conf」文件中的內容來進行配置。在/etc/lilo.conf 文件中加以下面兩個參數：restricted,password。這三個參數可使你的系統在啓動lilo時就要求密碼驗證。

第一步：編輯lilo.conf文件（vi /etc/lilo.comf）,假如或改變這三個參數：

boot=/dev/hda 　　map=/boot/map 　　install=/boot/boot.b 　　prompt 　　timeout=00 #把這行該爲00，這樣系統啓動時將不在等待，而直接啓動LINUX 　　message=/boot/message 　　linear 　　default=linux 　　restricted #加入這行 　　password= #加入這行並設置本身的密碼 　　image=/boot/vmlinuz-2.4.2-2 　　label=linux 　　root=/dev/hda6 　　read-only

第二步：由於"/etc/lilo.conf"文件中包含明文密碼，因此要把它設置爲root權限讀取。

# chmod 0600 /etc/lilo.conf

第三步：更新系統，以便對「/etc/lilo.conf」文件作的修改起做用。

# /sbin/lilo -v

第四步：使用「chattr」命令使"/etc/lilo.conf"文件變爲不可改變。

# chattr +i /etc/lilo.conf

這樣能夠在必定程度上防止對「/etc/lilo.conf」任何改變（意外或其餘緣由） <ccid_pge>

三、讓口令更加安全

口令能夠說是系統的第一道防線，目前網上的大部分對系統的攻擊都是從截獲口令或者猜想口令開始的，因此咱們應該選擇更加安全的口令。

首先要杜毫不設口令的賬號存在。這能夠經過查看/etc/passwd文件發現。例如，存在的用戶名爲test的賬號，沒有設置口令，則在/etc/passwd文件中就有以下一行：

test::100:9::/home/test:/bin/bash

其第二項爲空，說明test這個賬號沒有設置口令，這是很是危險的！應將該類賬號刪除或者設置口令。

其次，在舊版本的linux中，在/etc/passwd文件中是包含有加密的 密碼的，這就給系統的安全性帶來了很大的隱患，最簡單的方法就是能夠用暴力破解的方法來得到口令。可使用命/usr/sbin/pwconv或者 /usr/sbin/grpconv來創建/etc/shadow或者/etc/gshadow文件，這樣在/etc/passwd文件中再也不包含加密的 密碼，而是放在/etc/shadow文件中，該文件只有超級用戶root可讀！

第三點是修改一些系統賬號的Shell變量，例如uucp,ftp和news等，還有一些僅僅 須要FTP功能的賬號，必定不要給他們設置/bin/bash或者/bin/sh等Shell變量。能夠在/etc/passwd中將它們的Shell變 量置空，例如設爲/bin/false或者/dev/null等，也可使用usermod -s /dev/nullusername命令來更改username的Shell爲/dev/null。這樣使用這些賬號將沒法Telnet遠程登陸到系統中 來！

第四點是修改缺省的密碼長度：在你安裝linux時默認的密碼長度是5個字節。但這並不夠，要把它設爲8。修改最短密碼長度須要編輯login.defs文件（vi/etc/login.defs），把下面這行

PASS_MIN_LEN 5 　　改成 　　PASS_MIN_LEN 8

login.defs文件是login程序的配置文件。

四、自動註銷賬號的登陸

在unix系統中root帳戶是具備最高特權的。若是系統管理員在 離開系統以前忘記註銷root帳戶，那將會帶來很大的安全隱患，應該讓系統會自動註銷。經過修改帳戶中「TMOUT」參數，能夠實現此功能。TMOUT按 秒計算。編輯你的profile文件（vi/etc/profile）,在"HISTFILESIZE="後面加入下面這行：

TMOUT=300

300，表示300秒，也就是表示5分鐘。這樣，若是系統中登錄的用戶在5分鐘內都沒有動做，那麼系統會自動註銷這個帳戶。你能夠在個別用戶的「.bashrc」文件中添加該值，以便系統對該用戶實行特殊的自動註銷時間。

改變這項設置後，必須先註銷用戶，再用該用戶登錄才能激活這個功能。

五、取消普通用戶的控制檯訪問權限

你應該取消普通用戶的控制檯訪問權限，好比shutdown、reboot、halt等命令。

# rm -f /etc/security/console.apps/

是你要註銷的程序名。

六、取消並反安裝全部不用的服務

取消並反安裝全部不用的服務，這樣你的擔憂就會少不少。察看「/etc/inetd.conf」文件，經過註釋取消全部你不須要的服務（在該服務項目以前加一個「#」）。而後用「sighup」命令升級「inetd.conf」文件。