CentOS 4.4及Linux下最常用最有效的安全设置

    CentOS或Red Had Enterprise Linux 4 的用户要首先要打开SElinux，方法是修改/etc/selinux/config文件中的SELINUX="" 为enforcing 。它可以保证你的系统不会非正常的崩溃。有些人认为应该关闭，我强烈不推荐，当然只是将centos用来玩玩，不是用于实际服务器则无所谓了。

    2、启用iptables 防火墙，对增加系统安全有许多好处。设置好防火墙的规则。

    3、执行setup 关闭那些不需要的服务 ,记住少开一个服务，就少一个危险。

    4、禁止Control-Alt-Delete　键盘关闭命令
    在"/etc/inittab"　文件中注释掉下面这行（使用#）：
    ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now　
    改为：
    #ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now　
    为了使这项改动起作用，输入下面这个命令：
    #　/sbin/init　q

    5、给"/etc/rc.d/init.d"　下script文件设置权限
    给执行或关闭启动时执行的程序的script文件设置权限。
    #　chmod　-R　700　/etc/rc.d/init.d/*　
    这表示只有root才允许读、写、执行该目录下的script文件。

    6、修改"/etc/host.conf"文件
    "/etc/host.conf"说明了如何解析地址。编辑"/etc/host.conf"文件（vi　/etc/host.conf），加入下面这行：
    #　Lookup　names　via　DNS　first　then　fall　back　to　/etc/hosts.　
    order　bind,hosts　
    #　We　have　machines　with　multiple　IP　addresses.　
    multi　on　
    #　Check　for　IP　address　spoofing.　
    nospoof　on　
    第一项设置首先通过DNS解析IP地址，然后通过hosts文件解析。第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的电子欺骗。

    7、使"/etc/services"文件免疫
    使"/etc/services"文件免疫，防止未经许可的删除或添加服务：
    #　chattr　+i　/etc/services

    8.阻止你的系统响应任何从外部/内部来的ping请求。
    既然没有人能ping通你的机器并收到响应，你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次启动后自动运行。
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

    9、对你的系统上所有的用户设置资源限制可以防止DoS类型攻击（denial of service attacks）
    如最大进程数，内存数量等。例如，对所有用户的限制象下面这样：
    vi /etc/security/limits.conf

    下面的代码示例中，所有用户每个会话都限制在 10 MB，并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话（对匿名 ftp 帐号尤其实用）；managers 组的成员的进程数目限制为 40 个。developers 有 64 MB 的 memlock 限制，wwwusers 的成员不能创建大于 50 MB 的文件。

    清单 3. 设置配额和限制

    * hard rss 10000
    * hard maxlogins 4
    * hard core 0
    bin -
    ftp hard maxlogins 10
    @managers hard nproc 40
    @developers hard memlock 64000
    @wwwusers hard fsize 50000

    要激活这些限制，您需要在 /etc/pam.d/login 底部添加下面一行： session required /lib/security/pam_limits.so。 

 [2] 下一页