1.在安装系统时除了ssh服务外不要安装其它的服务,最好也是文本安装的方法,开启最少的服务对系统的安全性能会更好。在设置root用户密码时必须超过8位(包括数字,字母,符号)以免黑客用密码字典破解。2.备份系统中几个重要的文件目录和数据目录
[root@208 ~]# tar jcvf back.tar.gz /etc/ /home/ /boot/ /bin/ /sbin/ /usr/bin/ /usr/sbin/3.对ssh服务进行控制
[root@208 ~]# vim /etc/hosts.allow --允许哪个IP可以用ssh连接
sshd : 你的外网IP地址
[root@208 ~]# vim /etc/hosts.deny --其它的IP拒绝
sshd :all4.对ssh服务器端口进行更改,让黑客无法攻击我的22端口
[root@CentOS ~]# vim /etc/ssh/sshd_config --打开ssh服务配置文件
Port 222 --启用,并修改这一行
PermitRootLogin no --不允许root用户登陆
PermitEmptyPasswords no --不允许空密码登陆
AllowUsers tong@外网IP tong1@外网IP --只允许这两个用户在指定的IP登陆
[root@centos ~]# /etc/init.d/sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]
[root@centos ~]# vim /etc/services
ssh 222/tcp --修改这两行,端口与你修改的一至
ssh 222/udp
[root@centos ~]# vim /etc/sysconfig/iptables --打开包过滤
-A INPUT -m state --state NEW -m tcp -p tcp --dport 222 -j ACCEPT
[root@centos ~]# /etc/init.d/iptables restart
iptables: Applying firewall rules: [ OK ]
[root@centos ~]#5.安装在Linux系统中文件完全性检查工具,它只是检查文件的增加,修改,删除,访问,不对文件备份和恢复,所以安装软件之前建议先将文件备份一下,以备往后文件恢复。
[root@208 pub]# tar xvf tripwire-2.4.2.2-src.tar.bz2
[root@208 pub]# cd tripwire-2.4.2.2-src
[root@208 tripwire-2.4.2.2-src]# ./configure --prefix=/usr/local/tripwire/
......................输入accept放行
......................输入y确定
......................输入site密码
......................输入local密码
[root@208 tripwire-2.4.2.2-src]# make
[root@208 tripwire-2.4.2.2-src]# make install
[root@208 tripwire-2.4.2.2-src]# cd /usr/local/tripwire/etc/
[root@208 etc]# ll
total 60
-rw-r-----. 1 root root 931 Jan 6 11:44 208.184.97.119.broad.wh.hb.dynamic.163data.com.cn-local.key
-rw-r-----. 1 root root 931 Jan 6 11:44 site.key
-rw-r-----. 1 root root 4586 Jan 6 11:44 tw.cfg
-rw-r-----. 1 root root 598 Jan 6 11:44 twcfg.txt
-rw-r-----. 1 root root 598 Jan 6 11:44 twcfg.txt.default
-rw-r-----. 1 root root 4159 Jan 6 11:44 tw.pol
-rw-r-----. 1 root root 8679 Jan 6 13:03 twpol.txt
-rw-r-----. 1 root root 13806 Jan 6 11:44 twpol.txt.default
[root@208 etc]# vim twpol.txt
(
rulename = "file", --定义规则名
)
{
/ -> $(ReadOnly) ; --监听根目录的文件
/home -> $(ReadOnly) ; --监听home目录的文件
/usr -> $(ReadOnly) ; --监听usr目录的文件
/var -> $(ReadOnly) ; --监听var目录的文件
}
[root@208 etc]# cd ../sbin/
[root@208 sbin]# ./tripwire --init --生成基准数据库
[root@208 sbin]# ./tripwire --check --只要是在定义监听的目录中添加修改文件就会被列出来
[root@208 sbin]# ./tripwire --check --rule-name "file" --查看指定的规则名
[root@208 sbin]# ./tripwire --check /home /usr --查看指定的目录X11 Server 发现 23 年历史的安全漏洞Linux Kernel "drivers/isdn/mISDN/socket.c"本地消息泄露漏洞相关资讯 Linux系统安全设置 Linux安全设置 本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
|
易网时代-编程资源站