增强措施

说明

1

禁止访问重要文件

修改系统关键文件属性，防止意外修改和被普通用户查看

如inetd.conf、services和lilo.conf等

改变文件属性为600

# chmod 600 /etc/inetd.conf

保证文件属主为root（不能改变）

# chattr +i /etc/inetd.conf

只有root重新设置复位标志后才能修改

# chattr -i /etc/inetd.conf

2

禁止不必要SUID程序

SUID可使普通用户以root权限执行某程序，应严格控制

禁止不必要的带s位的程序：

# chmod a-s program_name

3

为LILO增加开机口令

LILO（Linux Loader）[ˈlaɪloʊ] ：Linux引导程序，可以引导几个不同的操作系统

在/etc/lilo.conf文件中增加选项，使LILO启动时要求输入口令。由于口令明码，还需设置为仅root可读写（见后文）

4

设置口令最小长度和最短使用时间

①系统默认口令最小长度通常为5，建议至少为8。

②限制口令使用时间

修改文件/etc/login.defs参数PASS MIN LEN和PASS MIN DAYS

5

限制远程访问

①通过/etc/hosts.allow和/etc/hosts.deny允许和禁止远程主机对本地服务访问

②所有服务对所有外部主机禁止，除非由hosts.allow文件指定允许

hosts.deny：ALL:ALL@ALL

③允许主机开放FTP服务。

hosts.deny：ftp:202.XXX.XXX YYY.com

④通过tcpdchk检查设置是否正确

6

用户超时注销

修改/etc/profile文件，保证账户在一段时间没有操作后，自动从系统注销

在“HISTFILESLZE=”行的下一行增加：TMOUT=600 # 10分钟无操作则注销

7

注销时删除命令记录

用户在注销时删除其命令记录

编辑/etc/skel/.bash_logout文件，rm -f $HOME/.bash_history

注：如果只针对某用户，则修改该用户主目录下/$HOME/bash_history文件