《Linux信息安全實用教程》學習筆記

在GRUB中設置密碼

vi  /etc/grub.conf

增長：

password = 654321

或者：

password --md5 (MD5值)

使用yyd用戶能以root用戶執行全部命令

vi  /etc/sidoers

yyd   ALL=(ALL)ALL

 Linux自帶MD5加密

/sbin/grub-md5-crypt

限制su命令的濫用

使用PAM能夠對切換到超級用戶的限制，PAM能夠禁止除在wheel組之外的任何人使用su命令轉換成root

vi  /etc/pam.d/su

去掉這兩行左邊的註釋符「#」：

#auth sufficient /libsecurity/$ISA/pam_wheel.so trust use_uid
#auth required /lib/security/$SIA/panm_wheel.so use_uid

使用過的命令查看以及配置修改

在「~/.bash_history」文件中默認保存了500條使用過的命令，只要按方向鍵中的上就能夠調出來

vi /etc/profile

修改HISTSIZE的值：

HISTSIZE = 10

能夠保存的舊命令爲10條。

訪問控制

hosts.allow和hosts.deny是tcpd服務器主配置文件，tcpd服務器能夠控制外部IP對本機服務的訪問

vi /etc/hosts.allow

ALL:127.0.01
ftp:192.168.0.0/255.255.255.0

 

第一行是容許訪問本機因此服務進程

第二行是容許192.168.0.1~192.168.0.254的IP對本機ftp的服務訪問

設置FTP服務器不容許匿名登陸

vi /etc/vsftpd/vsftp.conf

anonymous_enable = NO 

 

把YES改成NO即可。

配置shadow文件禁止用戶登陸

這方法只是實現改變此用戶密碼致使不能登陸

vi /etc/shadow

在yyd行，在第一個冒號以後加上一個星號 * 

終端禁止yyd用戶登陸

usermod -L yyd

修改密碼最短長度

vi  /etc/login.defs

PASS_MIN_LEN 5

 

將5改成10，則最短密碼爲10。

禁止系統響應ping請求（須要安裝iptables）

vi /etc/rc.d/ec/local

touch /var/lock/subsys/local
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

 

運行腳本 ./rc.local

在Linux啓動過程當中，禁止Ctrl + Alt +Del 從新啓動

vi  /ect/inittab

註釋掉下面這行，用「#」：

ca::ctrlaltdel:/sbin/shutdown -tb -r now

經過中斷後臺啓動進程格式

進程命令 &

調度啓動（at命令）

日誌

Linux日誌存儲在/var/log目錄中

一、當前登陸的每一個用戶的信息記錄在utmp文件中

二、每一個用戶最後的登陸信息記錄在lastlog文件中

三、每一個用戶登陸、註銷以及系統啓動、停機的時間信息記錄在wtmp文件中，因此記錄都包含時間戳

who、who -m、who -q查看系統中用戶登陸狀況

last：往回搜索自從文件wtmp建立以來最近登錄過的用戶。

lastlog：列出用戶最後登陸的時間和登陸終端的地址，若是此用戶歷來沒有登陸，則顯示：**Never logged in**。

sa：彙總先前命令執行的信息。

access-log：記錄HTTP/web的傳輸。

secure：鉅鹿登陸系統存取資料的信息。

btmp：記錄失敗的記錄。

messages：從syslog記錄信息（又得是鏈接到syslog文件）。

sudolog：記錄使用sudo發出的命令。

sulog： 記錄使用su命令的使用。

utmp：記錄當前登陸的每一個用戶。

wtmp：一個用戶每次登陸進入和退出時間的永久記錄。

xferlog：記錄FTP會話。

啓動syslog服務

service syslog start

配置文件 /etc/syslog.conf

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log

 

 syslog.conf 行的基本語法是： 

[消息類型].[優先級]     [處理方案]       --->  facility.priority　　log_location

注意：中間的分隔符必須是Tab 字符！

 

消息類型 － 說明

 

authpriv －包括特權信息如用戶名在內的認證活動

cron －與 cron 和 at 有關的計劃任務信息 

daemon －與 inetd 守護進程有關的後臺進程信息

kern －內核信息，首先經過 klogd 傳遞

lpr －與打印服務有關的信息

mail －與電子郵件有關的信息

mark － syslog內部功能用於生成時間戳

news －來自新聞服務器的信息 

syslog －由 syslog 生成的信息 

user －由用戶程序生成的信息 

uucp －由 uucp 生成的信息 

local0-local7 －與自定義程序使用

 

優先級 － 說明

 

emerg －該系統不可用，等同panic 

alert －須要當即被修改的條件 

crit －阻止某些工具或子系統功能實現的錯誤條件 

err －阻止工具或某些子系統部分功能實現的錯誤條件，等同error 

warning －預警信息，等同warn 

notice －具備重要性的普通條件 

info －提供信息的消息 

debug －不包含函數條件或問題的其餘信息 

none －沒有重要級，一般用於排錯

 

處理方案 － 說明

 

file － 指定文件的絕對路徑

teminal －輸出到終端設備

@host －輸出到遠程日誌服務器

username －發送到指定用戶 

日誌管理工具

logrotate

配置文件 /etc/logotate.conf

telnet修改默認端口號

vi  /etc/services

telnet 23/tcp
telnet 23/udp

 

將23改成其餘數字。

telnet安全設置

/ect/xinetd.dtelnet

ssh基於密鑰的驗證方法

ssh -keygen -t rsa

VNC

可以將完整的窗口畫面經過網絡傳輸到另一臺計算機屏幕上。

防火牆

iptables

 

讀書心得：

用的是RED HAT 9 的 Linux 操做系統，發現其實linux的系統作服務器真心好，我如今在管理一臺學校的Win2003的服務器，雖然全圖形界面話，用着很容易上手，可是若是是用的apache+PHP+MYSQL的話，配置，安全保護等弄起來很複雜，並且如果IIS的話，猜想漏洞比較多，會比較難管理吧。

 

轉載請註明出處：http://www.cnblogs.com/yydcdut/p/3464340.html