|
|
| 首页
> 技术频道 >
软件学院
> 浏览技术 关键字: Linux 服务器 |
| 浅谈Linux服务器网络安全 |
| 2007-1-31 11:01:06 equalnull 来源:中华服务器网
点击:1843次 加入收藏夹 |
|
|
1.关于分区:
一个潜在的黑客如果要攻击你的Linux 服务器,他首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!
为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区纪录数据,如log 文件和email ,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还有建议为/home 单独分一个区,这样他们就不能填满/ 分区了,从而就避免了部分针对Linux 分区溢出的恶意攻击。
2.关于BIOS
记着要在BIOS设置中设定一个BIOS密码,不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux 系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等等。
3.关于口令
口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5 ,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8.为此,需修改文件/etc/login.defs 中参数PASS_MIN_LEN(口令最小长度)。同时应限制口令使用时间,保证定期更换口令,建议修改参数PASS_MIN_DAYS (口令使用时间)。
4.关于Ping
既然没有人能ping通你的机器并收到响应,你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行,这样就可以阻止你的系统响应任何从外部/ 内部来的ping请求。
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
5.关于Telnet:
如果你希望用户用Telnet远程登录到你的服务器时不要显示操作系统和版本信息(可以避免有针对性的漏洞攻击),你应该改写/etc/inetd.conf 中的一行象下
面这样:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
加-h标志在最后使得telnet后台不要显示系统信息,而仅仅显示login.
6.关于特权账号:
对不起,您需要登录后才能查看全部详细内容
|
|
|
|
由深圳市七乘二四信息技术有限公司提供技术支持。
