Linux服务器装机安全快速进阶指南

    ◆三、\\"/etc/exports\\"文件设置

网管u家u.bitscn@com

    如果通过NFS把文件共享出来，那么一定要配置\\"/etc/exports\\"文件，使得访问限制尽可能的严。这就是说，不要用通配符，不允许对根目录有写权限，而且尽可能只给只读权限。编辑exports文件（vi /etc/exports）加入： 网管下载dl.bitscn.com

    例如： 网管论坛bbs_bitsCN_com

    \\"/dir/to/export\\"是你想共享出来的目录，host.mydomain.com是允许访问这个目录的计算机。 网管u家u.bitscn@com

    代表只读，代表不允许对根目录进行写操作。使这些改变生效，你还要运行 \\"/usr/sbin/exportfs -a\\"命令。

中国网管联盟bitsCN.com

    注意：在服务器上装NFS服务是会有安全隐患的，就我个人而言，不建议你使用NFS。

    ◆四、禁止使用控制台程序 网管朋友网www_bitscn_net

    一个最简单而且最常用的保证系统安全的方法就是禁止使用所有的控制台程序，如：shutdown和halt。可以运行下面的命令来实现： 网管有家bitscn.net

    这里servicename是你要禁止的控制台程序名。除非你使用xdm，否则不要把xserver文件删掉，如果这样除了root之外，没有人可以启动 X服务器了。（如果使用xdm启动X服务器，这时root是唯一需要启动X服务器的用户，这才有必要把xserver文件删掉）。例如： 网管有家bitscn.net

    这些命令就可以禁止所有的控制台程序：halt、poweroff、reboot和shutdown。记住，只有装了Xwindow，删除xerver文件才会有效果。

网管网www_bitscn_com

    ◆五、\\"/etc/aliases\\"文件 中国网管论坛bbs.bitsCN.com

    aliases文件可能会造成安全隐患。例如：很多的软件产商都把 \\"decode\\"这个别名放在aliases文件里。这样做的目的是为了方便通过email传送二进制文件。在发送邮件的时候，用户把二进制文件用 \\"uuencode\\"转成ASCII文件，然后把结果发给接收端的\\"decode\\"。由这个别名让邮件信息通过\\"/usr/bin/uuencode\\"程序把二进制文件重新转换成ASCII文件。如果允许\\"decode\\"出现在aliases文件中，可以想象将会有什么样的安全隐患。 网管网www.bitscn.com

    把定义\\"decode\\"这个别名的行从aliases文件中删除。同样地，每一个会运行程序的别名都要好好查看一下，很有可能要把它们删除掉。要使改动生效，还必须运行：

    编辑aliases文件（vi /etc/aliases），删除或注释掉下面这些行： 网管bitscn_com

    最后记得运行\\"/usr/bin/newaliases\\"使改变生效。 网管有家bitscn.net

中国网管联盟bitsCN.com