|
网络上有很多垃圾在扫描root账户,所以有必要做好安全防范!以下是一些安全设置,仅当参考: 1、修改SSH 端口 vi /etc/ssh/sshd_config Port 22 修改 PermitEmptyPasswords no 把#注销掉-禁止空密码帐户登入服务器! MaxAuthTries 2 两次不行就切断重新SSH启动登入 2、远程5分钟无操作自动注销: vim /etc/profile export TMOUT=300 ---5分钟自动注销下来 找到 HISTSIZE=1000 修改为: HISTSIZE=100 --减少日记字节为100KB,太大内容过多容易漏重要信息. 3、修改文件属性 chmod 700 /bin/rpm '只有root权限用户才可以使用rpm命定,安装软件包 chmod 664 /etc/hosts chmod 644 /etc/passwd chmod 644 /etc/exports chmod 644 /etc/issue chmod 664 /var/log/wtmp chmod 664 /var/log/btmp chmod 644 /etc/services chmod 600 /etc/shadow chmod 600 /etc/login.defs chmod 600 /etc/hosts.allow chmod 600 /etc/hosts.deny chmod 600 /etc/securetty chmod 600 /etc/security chmod 600 /etc/ssh/ssh_host_key chmod 600 /etc/ssh/sshd_config chmod 600 /var/log/lastlog chmod 600 /var/log/messages 4、禁止ping 用户使用ping不做任何反映 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all -- 禁止ping echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all -- 解除禁止ping操作 5、禁止IP伪装 vi /etc/host.conf 在里面加上: nospoof on 6、防止DOS攻击: vi /etc/security/limits.conf 加入以下配置: * hard core 0 * hard rss 10000 * hard nproc 20 以上根据需求而论! 7、修改root帐户密码越复杂越好: 7.1、含有大小写字母; 7.2、含有数字; 7.3、含有字符; 7.4、不用自己生日等常关联的字母数字及字符。 8、删除部分不需要的用户和组: # cut -d: -f1 /etc/passwd # 查看系统所有用户 # cut -d: -f1 /etc/group # 查看系统所有组 userdel adm userdel lp userdel news userdel uucp userdel games groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip 9、垃圾IP封杀 more /var/log/secure 首先通过以上命定观察多次扫描欲远程登入服务器的垃圾IP; 然后在 vi /etc/hosts.deny 增加: sshd:61.131.47.157 ---这以61.131.47.157这个垃圾IP为例! 保存即可! (责任编辑:IT) |