CentOSの安全性のヒント

1、Bios セキュリティ
Bios でブート順序を変更すると、フロッピー ディスクに起動できる場合、Bios のパスワードを設定するのには必ず。 これ特別な起動ディスクを使用してシステムを起動するしようとしているから他を防ぐため、防ぐことがまた他の Bios の変更を入力してから (フロッピー ディスクにブートして許可など) の設定
Edit/boot/grub/grub.comf し、次のステートメントを追加
パスワード 12345
2、すべての特別なアカウントを削除します。
(LP、同期、シャット ダウン、停止、ニュース、UUCP、オペレーター、ゲーム、Gopher、およびように) など、未使用の既定のユーザーおよびグループのアカウントを削除する必要があります。
ユーザーを削除するには。
[root@kapil/] # userdel LP
グループを削除するには。
[root@kapil/] # groupdel LP
3、パスワードの長さを変更します。
インストールすると、Linux のデフォルトのパスワードの長さは 5 文字です。 しかし、これは十分ではありません、それは 8 に設定します。 Login.defs の場合はファイルを編集するのにはパスワードの最小の長さ必要を変更 (/login.defs の場合は)、次の行を入れて
PASS_MIN_LEN 5
を変更
PASS_MIN_LEN 8
Login.defs の場合はファイル プログラムのログイン構成ファイルです。
4、シャドウ パスワードのサポートを開きます。
パスワードを暗号化するシャドウ パスワード機能を開く必要があります。 「/Usr/sbin/AuthConfig」ツールを使用して、シャドウ機能を開きます。 既存のパスワードとグループの影の書式を変更する場合は、「pwcov、grpconv」コマンドを使用できます。
5、キャンセル正規ユーザー コンソールへのアクセス
シャット ダウン、再起動、コマンドの停止など、コンソールへの通常のユーザーのアクセスを取り消す必要があります。
[root@kapil/] # rm-f/etc/security/console.apps/
ログに記録するプログラム名です。
6、キャンセルおよび未使用のすべてのサービスのアンインストール
削除し、たくさんより少なく心配するので、未使用のすべてのサービスをアンインストールします。 参照してください”/etc/inetd.conf”ファイル、サービス プロジェクトと (「#」) で必要なすべてのサービスをキャンセルするコメント。 「Inetd.conf」ファイルをアップグレードする”SIGHUP”コマンドを使用します。
最初のステップ:
変更”/etc/inetd.conf”600、唯一のルートへのアクセス許可がファイルを読み書きできます。
[Root@kapil/] # chmod を 600/etc/inetd.conf
第 2 ステップ:
決定”/etc/inetd.conf”root としてファイルの所有者。
第 3 ステップ:
The/etc/inetd.conf ファイルを編集 (/inetd.conf)、(必要ない) サービスのキャンセル: FTP、Telnet、シェル、ログイン、EXEC、話、ntalk、IMAP、pop 2、ポップ-3、指、認証、およびように。 サービスはシャット ダウンする必要はありませんダウンが多くシステムのリスクを減らすことができます。
第四ステップ:
Inetd プロセスに HUP シグナルを送信: する
[root@kapil/] # killall-HUP inetd
5 番目のステップ:
誰がそれを変更できるよう、使用 chattr コマンド file/EC/inetd.conf を変更できません。
[root@kapil/] # chattr +/etc/inetd.conf
これは (または以外の他の理由のため)、inetd.conf に変更を防ぎます。 ルートだけは、プロパティのみキャンセルできます。 キャンセルを変更できない場合、まず inetd.conf ファイルを変更する場合は。
[root@kapil/] # chattr-i/etc/inetd.conf
ない変更後に再度それの性質を変更することを忘れないでください。
7、無効化のシステム暴露
ときにリモート ログイン システムのウェルカム メッセージを抑制します。 変更することができます”/etc/inetd.conf”この目標を達成するためにファイル。
The/etc/inetd.conf ファイルを次の行。
telnet ストリーム tcp nowait ルートまたは in.telnetd
読むように修正。
telnet ストリーム tcp nowait ルートまたは in.telnetd -h
追加”-h”誰かがのみ 1 つのログインを上陸したときに: プロンプト、およびウェルカム メッセージを表示しません
8、「/etc/サービス」免疫ファイル
「/Etc/サービス」は、ファイルの不正な削除を防ぐ免疫またはサービスを追加します。
[root@kapil/] # chattr + 私は/etc/サービス
9、別のコンソール ログインからのルートを許可しません。
「/Etc/securetty」ファイルでは、ルートを定義することができますユーザーは、TTY デバイスから土地でした。 「おきた」ファイルを編集することができますは、TTY デバイスは、TTY デバイスから root ログイン無効にする”#”記号を追加する前にログインする必要はありません。
10、ルート ユーザーを変更するのには Su コマンドによって禁止されて
Su (ユーザーの代わりに代理ユーザ) コマンドでは、システムの他の既存のユーザーになることができます。 ルート ユーザーまたは su コマンドを使用してユーザー数制限を変更するのには su コマンドを誰もしない場合ファイル Su を構成できます (“/etc/pam.d/”ディレクトリ) 先頭に次の 2 行を追加。
Su ファイルを編集 (/PAM.d/Su)、先頭に次の 2 行を追加。
auth 十分な/lib/security/pam_rootok.so デバッグ
認証の必要な/lib/security/Pam_wheel.so グループ = ホイール
これは、「ホイール」グループのメンバーのみがルート ユーザーになるに su コマンドを使用することができますを示します。 ルート ユーザーになるに su コマンドを使用することができますように「ホイール」グループにユーザーを追加できます。
11、no の制御 Alt 削除キーボード閉じるコマンド
“/Etc/inittab”(# を使用) 次の行をコメント アウトするファイルします。
ca::ctrlaltdel:/sbin/シャット ダウン-今 t3 – r
記事を読む:
#ca::ctrlaltdel:/sbin/シャット ダウン-今 t3 – r
この変更を機能するのには、次のコマンドを入力します。
[root@kapil/] #/sbin/init q
12、非表示システム情報
既定では、Linux システムにログインするときそれがわかります Linux ディストリビューションの名前、バージョン、カーネルのバージョン、サーバーの名前。 この情報は、ハッカーがシステムに侵入するために十分です。 それでのみ表示する必要がありますが、「ログイン:」プロンプト。
最初のステップ:
編集”/etc/rc.d/rc.local”情報を出力する「#」コメントのコマンドを追加する以下の各行の先頭にファイル。
# これは/etc/問題すべてのブート時に上書きされます。 ので、いずれかを変更します。
# ここでの/etc/問題か作りたいを再起動すると失われます。
#echo””>/etc/問題
#echo”$R”> >/etc/問題
#echo「$a $(uname-m) で $(uname-r) カーネル」> >/etc/問題
#
#cp -f/etc/問題/etc/issue.net
#echo >>/etc/問題
第 2 ステップ:
「等」のディレクトリ”isue.NET”と「発行」ファイルを削除します。
[root@kapil/] # rm-f/etc/問題
[root@kapil/] # rm-f/etc/issue.net
上記の基本設定に基づいて、システム管理者は、安全システムを持っているが。 しかし管理者する必要があります注意して、セキュリティは、いかなる状況下で、継続的な改善の継続的なプロセスが必要です。

Leave a Reply

Your email address will not be published. Required fields are marked *