linux下的基本的安全措施

如今系统的安全变的越来越重要了，这里我想把我平时比较常使用的一些linux下的基本的安全措施写出来和大家探讨一下，让我们的Linux系统变得可靠。
　　1、BIOS的安全配置

　　这是最基本的了，也是最简单的了。一定要给您的BIOS配置密码，以防止通过在BIOS中改变启动顺序，而能够从软盘启动。这样能够阻止别有用心的试图用特别的引导盘启动您的系统，还能够阻止别人进入BIOS改变其中的配置，使机器的硬件配置不能被别人随意改变。

　　2、LILO的安全配置

　　LILO是LInux

　　LOader的缩写，他是LINUX的启动模块。能够通过修改“/etc/lilo.conf”文档中的内容来进行配置。在/etc/lilo.conf文档中加如下面两个参数：restricted,password。这三个参数能够使您的系统在启动lilo时就需要密码验证。

　　第一步：编辑lilo.conf文档（vi /etc/lilo.comf）,假如或改变这三个参数：
　　boot=/dev/hda
　　map=/boot/map
　　install=/boot/boot.b
　　prompt
　　timeout=00 #把这行该为00，这样系统启动时将不在等待，而直接启动LINUX
　　message=/boot/message
　　linear
　　default=linux
　　restricted #加入这行
　　password= #加入这行并配置自己的密码

　　image=/boot/vmlinuz-2.4.2-2
　　label=linux
　　root=/dev/hda6
　　read-only

　　第二步：因为"/etc/lilo.conf"文档中包含明文密码，所以要把他配置为root权限读取。
　　# chmod 0600 /etc/lilo.conf

　　第三步：更新系统，以便对“/etc/lilo.conf”文档做的修改起作用。
　　# /sbin/lilo -v

　　第四步：使用“chattr”命令使"/etc/lilo.conf"文档变为不可改变。
　　# chattr i /etc/lilo.conf

　　这样能够在一定程度上防止对“/etc/lilo.conf”任何改变（意外或其他原因）

　　3、让口令更加安全

　　口令能够说是系统的第一道防线，现在网上的大部分对系统的攻击都是从截获口令或猜测口令开始的，所以我们应该选择更加安全的口令。

　　首先要杜绝不设口令的帐号存在。这能够通过查看/etc/passwd文档发现。例如，存在的用户名为test的帐号，没有配置口令，则在/etc/passwd文档中就有如下一行：
　　test::100:9::/home/test:/bin/bash

　　其第二项为空，说明test这个帐号没有配置口令，这是很危险的！应将该类帐号删除或配置口令。
其次，在旧版本的linux中，在/etc/passwd文档中是包含有加密的密码的，这就给系统的安全性带来了很大的隐患，最简单的方法就是能够用暴力破解的方法来获得口令。能够使用命令/usr/sbin/pwconv或/usr/sbin/grpconv来建立/etc/shadow或/etc/gshadow文档，这样在/etc/passwd文档中不再包含加密的密码，而是放在/etc/shadow文档中，该文档只有终极用户root可读！

　　第三点是修改一些系统帐号的Shell变量，例如uucp,ftp和news等，更有一些仅仅需要FTP功能的帐号，一定不要给他们配置/bin/bash或/bin/sh等Shell变量。能够在/etc/passwd中将他们的Shell变量置空，例如设为/bin/false或/dev/null等，也能够使用usermod -s /dev/null username命令来更改username的Shell为/dev/null。这样使用这些帐号将无法Telnet远程登录到系统中来！

　　第四点是修改缺省的密码长度：在您安装linux时默认的密码长度是5个字节。但这并不够，要把他设为8。修改最短密码长度需要编辑login.defs文档（vi/etc/login.defs），把下面这行
　　PASS_MIN_LEN 5
　　改为
　　PASS_MIN_LEN 8
　　login.defs文档是login程式的配置文档。

　　4、自动注销帐号的登录


　　在unix系统中root账户是具备最高特权的。假如系统管理员在离开系统之前忘记注销root账户，那将会带来很大的安全隐患，应该让系统会自动注销。通过修改账户中“TMOUT”参数，能够实现此功能。TMOUT按秒计算。编辑您的profile文档（vi /etc/profile）,在"HISTFILESIZE="后面加入下面这行：
　　TMOUT=300

　　300，表示300秒，也就是表示5分钟。这样，假如系统中登陆的用户在5分钟内都没有动作，那么系统会自动注销这个账户。您能够在个别用户的“.bashrc”文档中添加该值，以便系统对该用户实行特别的自动注销时间。

　　改变这项配置后，必须先注销用户，再用该用户登陆才能激活这个功能。

　　5、取消普通用户的控制台访问权限

　　您应该取消普通用户的控制台访问权限，比如shutdown、reboot、halt等命令。
　　# rm -f /etc/security/console.apps/
　　是您要注销的程式名。

　　6、取消并反安装任何不用的服务

　　取消并反安装任何不用的服务，这样您的担心就会少很多。察看“/etc/inetd.conf”文档，通过注释取消任何您无需的服务（在该服务项目之前加一个“#”）。然后用“sighup”命令升级“inetd.conf”文档。

　　第一步：

　　更改“/etc/inetd.conf”权限为600，只允许root来读写该文档。
　　# chmod 600 /etc/inetd.conf

　　第二步：

　　确定“/etc/inetd.conf”文档任何者为root。

　　第三步：

　　编辑 /etc/inetd.conf文档（vi /etc/inetd.conf），取消下列服务（您无需的）：ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等。把无需的服务关闭能够使系统的危险性降低很多。


　　第四步：

　　给inetd进程发送一个HUP信号：
　　# killall -HUP inetd

　　第五步：

　　用chattr命令把/ec/inetd.conf文档设为不可修改，这样就没人能够修改他：
　　# chattr i /etc/inetd.conf

　　 这样能够防止对inetd.conf的任何修改（以外或其他原因）。唯一能够取消这个属性的人只有root。假如要修改inetd.conf文档，首先要是取消不可修改性质：