|
我们所建议采取的安全加固措施
1)限制NFS访问权限
确保/etc/exports具有最严格的访问权限设置,不要使用任何通配符、不答应root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
为了使改动生效,使用一下命令:
# /usr/sbin/exportfs ?a
可是为什么我的nautilus打不开exports文件呢?
报的错是:nautilus has no installed viewer capable of displaying "etc/exports".
2) 修改inetd
首先要确认/etc/inetd.conf的所有者是root,且文件权限设置为600。设置完成后,可以使用“stat”命令进行检查。
# chmod 600 /etc/inetd.conf
然后,编辑/etc/inetd.conf禁止以下服务:
ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth
3) 阻止ping
假如没人能ping通系统,安全性自然增加了。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
已试过,可行
4)防止IP欺骗
编辑host.conf文件并增加如下几行来防止IP欺骗攻击。
order bind,hosts
multi off
nospoof on
5) 防止DOS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内
存使用数量等。可以在/etc/security/limits.conf中添加如下几行:
* hard core 0
* hard rss 5000
* hard nproc 100
然后编辑/etc/pam.d/login文件检查下面一行是否存在。
session required /lib/security/pam_limits.so
上面的命令禁止调试文件,限制进程数为100并且限制内存使用为5MB。
谁能告诉我以上哪些措施是切实可行的啊?
|
|
评论加载中…
