李 黎
(滁州職業技術學院,安徽滁州 239000)
個人電腦Linux系統下的安全設置與防護
李 黎
(滁州職業技術學院,安徽滁州 239000)
LinuX操作系統的安全設置與防護,設置了bios密碼,使用shadow的遮蔽加密功能,從提高密碼設置的科學性等方面強化解密的難度和強度。對根目錄的保密性的設置,禁止普通用戶訪問控制臺及刪除特殊帳戶強化使用權限。設定根用戶“root”的獨享權限,修改編輯inetd.conf文件,關閉不需要的服務,修改inetd屬性為不可修改,取消原系統中的默認安裝的不常用及根本用不到的服務。加強對訪問用戶的甄別及確認。減少系統不必要的歡迎信息加強系統免疫及多控制臺登陸模式。修改“host.conf”文件,加強“DNS”解析IP地址。
Linux系統;密碼安全;權限的安全設置
隨著正版計算機操作系統的推廣,很多用戶也越來越多地使用起國產的紅旗linux操作系統等一些linux操作系統軟件,同時一些軟件開發愛好者也更多的關注linux操作系統的使用。為保護計算機及數據信息安全。下面從密碼安全、權限控制、默認服務、系統信息等方面來闡述對linux操作系統安全的認識和設置。
1.1 置bios密碼
設置計算機開機引導的bios密碼,以防止bios中被改變了啟動順序,可以通過用其它方式啟動電腦,進入系統。主要是防止非法用戶進入LinuX操作系統。
1.2 科學設置密碼
為加強密碼設置的科學性及復雜程度,以設置數字、字母、符號相混合的密碼較好。修改默認密碼的長度也可以增加解密難度。Linux密碼默認的長度是5個字節,可以改設為8個字節。打開logindefs文件:把pass_min_len 5修改為pass_min_len 8保存文件即可。
1.2.1 使用shadow的遮蔽加密功能
使用shadow的遮蔽加密功能,對名為password項目口令進行加密。操作方法可以從文件名為usr用戶目錄路徑下的sbin目錄下的authconfig配置工具打開shadow隱藏功能實現之。
1.2.2 設定使用lilo.conf的密碼驗證
修改并重新編輯lilo.conf配置文件,修改參數如下:
通過以上設置,在啟動時要求密碼驗證。并把lilo.conf文件置于root根目錄的管理之下。
從以上幾個方面加強對密碼修改和設置是為了增加密碼破解的強度和難度,以此來提高的密碼的安全性。
2.1 對root根帳戶的保護性設置
在vi目錄etc路徑下profile目錄下編輯profile文件,在“histfilesize=”項目下設置tmout=3600。即用戶在一小時內沒有操作,系統自動注銷帳戶。
2.2 禁止普通用戶訪問控制臺
取消普通用戶使用shutdown、reboot、halt等命令的訪問控制臺的訪問權限。設置如下。通過以下路徑找到并填寫禁止的命令。
注銷的程序名>。
2.3 刪除特殊帳戶
刪除sync,shutdown,halt,news,uucp,operator,games,gopher等不用的缺省的用戶和組帳戶。
對以上不用的用戶和組刪除的方法操作如下:
刪除用戶寫入方法:[root@kapil/]#user1del LP。照此例寫入就可刪除名為user1的用戶。其它的用戶的刪除方法可以照此,在下一行再重新寫入。
刪除組的寫入方法:[root@kapi1/]#group1del LP。照此例寫入就可刪除名為group1的組。其它組的刪除方法也可以照此,在下一行再重新寫入。通過這些設置就可以很好地避免這些帳戶和組賬戶被人利用。
有些服務是被默認安裝但并不使用,因此最好取消這些服務。這樣也可避免被木馬程序所利用同時也減少對計算機資源的占用。提高計算機運行速度。
查找“etc目錄下的inetd.conf”文件,在該項目前加“?!比∠悴挥玫姆?。并利用“sighup”命令升級“inetd.conf”文件。編輯方法如下:
3.1 設定根用戶“root”的獨享權限:[root@kapi1/]#chmod 600/etc/inetd.conf,這樣只有root用戶可讀寫inetd.conf文件。
3.2 修改編輯inetd.conf文件,關閉不需要的服務項目。如:ftp,telnet,shell,login,pop3等服務項目如果不使用,可以將其并閉,以減少對外的聯系通道,增加系統的安全性。
3.3 修改inetd屬性[root@kapil/]#killall-HUP inetd。用chattr命令設定inetd為不可修改。[root@kapil/]#chatr+i/etc/inetd.conf。這樣就可避免非法用戶利用服務項目侵擾系統。
根據TCP_WRAPPERS的協議功能,只允許所有允許訪問的主機訪問。編輯設置如下:
首先在hosts.deny文件加入:
禁止所有的主機訪問。下面再加入允許訪問的主機:
在hosts.allow文件中允許訪問的主機列表中加入ip地址和主機名稱并檢查之,如:ftp:192.168.12.18foo.com
運行tcpdchk程序:[root@kapil/]#tcpdchk
這樣就可以讓具有訪問權限的主機進入訪問,做到有效控制并加以管理。
5.1 隱藏系統中的一些不常用的信息和一些不必要的歡迎信息,設置如下:
修改設置如:telnet stream tcp nowait這些遠程傳輸的功能可以隱藏。按以下文件路徑打開:
打開并編輯“rc.local”文件,去掉文件中命令注釋用的“?!碧?。
刪除“/etc”目錄下的“isue.nte”,“issue.net”文件。
5.2 加強文件免疫功能,在文件配置屬性中,設置如下:
5.3 禁止多控制臺的登陸模式,設置如下:
編輯“securetty”文件,在不需要的登陸設備前加“?!奔纯?。
5.4 加強對root根目錄用戶的管理,禁止通過su命令設置為root根目錄用戶,在“su”文件的開頭添加設置如下:
檢測主機是否擁有多個的IP地址,加強對域名解析的分析與管理。禁止對主機未經許可的欺騙,設置如下:
通過以上計算機系統屬性參數的修改與安全方面的優化設置,用戶可以較好地保護Linux操作系統并提高計算機的安全性。為了更好地保護好計算機系統的安全,用戶需要經常對系統進行維護和清理,修改必要的系統安全設置,以符合自己的安全要求,同時還要加強對病毒和木馬的防護和查殺,防止計算機系統被修改,安全上出現漏洞。
[1] 孫瓊.嵌入式linux應用程序開發詳解[M].北京:人民郵電出版社,2006.
[2] 紅旗Linux桌面應用教程[M].北京:電子工業出版社,2004.
[3] (美)韋爾斯.Linux網絡與安全指南[M].張震宇,劉偉,譯.北京:科學出版社,2006.
TP316.85
A
1671-8275(2012)01-0121-02
2011-11-28
李黎(1963-),男,安徽全椒人,滁州職業技術學院實驗師。
訾興建