| 网管联盟 | 网管论坛 | 网管u家 | 网管博客 | 网管软件 | 网管求职 | 小游戏 | 网管搜索 | 网管原创 | 网管聚合 | 网管读摘 | 网管焦点 | 世界素材 | 会员投稿 | 会员中心 |
|
| Windows Linux Cisco 网络技术 数据库 黑客攻防 DotNet Java PHP 认证 新闻资讯 服务器 存储资讯 网络设备 网管学堂 技术专题 焦点 网吧频道 |
◆九、防止源路由
路由和路由协议会导致一些问题。IP源路径路由(IP source routing),也就是IP包包含到达底目的地址的详细路径信息,是非常危险的,因为根据RFC 1122规定目的主机必须按原路径返回这样的IP包。如果黑客能够伪造原路径路由的信息包,那么它就能截取返回的信息包,并且欺骗你的计算机,让它觉得正在和它交换信息的是可以信任的主机。我强烈建议你禁止IP原路径路由以避免这个安全漏洞。
网管u家bitscn.net
用下面的命令在你的服务器上禁止IP原路径路由: 网管网www_bitscn_com
| for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do echo 0 > $f done |
把上面的命令加到\\"/etc/rc.d/rc.local\\"文件中去,你就不用在系统重新启动之后再把这些命令敲一遍。注意,上面的命令将禁止所有的网络界面(lo、ethN、pppN,等等)的源路径路由包。
网管网www_bitscn_com
◆十、使TCP SYN Cookie保护生效
网管u家bitscn.net
\\"SYN Attack\\"是一种拒绝服务(DoS)的攻击方式,会消耗掉系统中的所有资源,迫使服务器重新启动。拒绝服务(这种攻击方式用巨大的信息流来消耗系统的资源,以至于服务器不能够响应正常的连接请求)是很容易被黑客利用的。在2.1系列的内核中,\\"syn cookie\\"只是一个可选项,并没有使其生效。想要使其生效必须用下面的命令:
网管朋友网www_bitscn_net
| [root@aid /]# echo 1 > /proc/sys/net/ipv4/tcp_syncookies |
把这个命令加入\\"/etc/rc.d/rc.local\\"文件中,等下次系统重新启动的时候就不必重新敲一遍了。如果打算安装IPCHAINS防火墙,你就没有必要用这个命令,因为它已经包含在防火墙的脚本文件里了。
网管bitscn_com
◆十一、特殊的帐号
禁止操作系统中不必要的预置帐号(每次升级或安装完都要检查一下)。Linux系统中就提供这样一些你可能不需要的预置帐号。如果确实不需要这些帐号,就把它们删掉。系统中有越多的帐号,就越容易受到攻击。
我们假定你已经在系统中使用shadow口令。如果不是这样,最好在系统中加上shadow口令的支持,因为这样系统会更安全。如果你是按照上一章介绍的方法安装服务器,那么在\\"安全验证配置\\"这一步就已经选上\\"Enable Shaow Passwords\\"这个选项了。 中国网管论坛bbs.bitsCN.com
在系统中删除一个用户可以用这个命令:
| [root@deep]# userdel username |
网管u家www.bitscn.net
在系统中删除一个组可以用这个命令: 网管下载dl.bitscn.com
| [root@deep]# groupdel username |
网管联盟bitsCN@com
第一步 用下面的命令删除一些不必要的用户: 网管bitscn_com
| [root@deep]# userdel adm [root@deep]# userdel lp [root@deep]# userdel sync [root@deep]# userdel shutdown [root@deep]# userdel halt [root@deep]# userdel news [root@deep]# userdel uucp [root@deep]# userdel operator [root@deep]# userdel games (如果不用X Window服务器,可以删除这个用户) [root@deep]# userdel gopher [root@deep]# userdel ftp (如果没安装匿名ftp服务器,可以删除这个用户) |
第二步 输入下面的命令删除一些不必要的组: 网管u家u.bitscn@com
| [root@deep]# groupdel adm [root@deep]# groupdel lp [root@deep]# groupdel news [root@deep]# groupdel uucp [root@deep]# groupdel games (delete this group if you don use X Window Server). [root@deep]# groupdel dip [root@deep]# groupdel pppusers [root@deep]# groupdel popusers (delete this group if you don use pop server for email). [root@deep]# groupdel slipusers |
第三步
\\"不允许改变\\"位可以用来保护文件使其不被意外地删除或重写,也可以防止有些人创建这个文件的符号连接。删除\\"/etc/passwd\\"、\\"/etc/shadow\\"、\\"/etc/group\\"或\\"/etc/gshadow\\"都是黑客的攻击方法。给口令文件和组文件设置不可改变位,可以用下面的命令:
| [root@deep]# chattr +i /etc/passwd [root@deep]# chattr +i /etc/shadow [root@deep]# chattr +i /etc/group [root@deep]# chattr +i /etc/gshadow |
注意:如果将来要在口令或组文件中增加或删除用户,就必须先清除这些文件的不可改变位,否则就不能做任何改变。如果没有清除这些文件的不可改变位,安装那些会自动在口令文件和组文件中加入新用户的rpm软件包的时候,在安装过程中就会出现出错的提示。 网管u家u.bitsCN.com
网管网www_bitscn_com
|
0
|
评论加载中…