禁止ping服务器
1 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
防火墙规则
1 -A INPUT -p tcp --dport 80 -j ACCEPT #开放80端口(Web服务)
2 -A INPUT -p tcp --dport 9000 -j ACCEPT #开放9000端口(FastCGI服务)
3
-A INPUT -p tcp -m multiport -s 192.168.56.0/24 --dports 10880,3306 -j
ACCEPT #为192.168.56.*网段开放10880和3306端口(自定义的SSH端口和MySQL端口)
4 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
5 -A INPUT -p icmp -j DROP #丢弃所有的ICMP包
6 -A INPUT -p tcp --syn -j DROP #禁用所有其他端口
用户账户
编辑配置文件/etc/login.defs,根据需要设置以下属性:
1 PASS_MAX_DAYS 30 #密码存活最长天数,大于该天数会要求重置密码
2 PASS_MIN_DAYS 0 #密码存活最小天数,小于该天数不允许修改密码
3 PASS_MIN_LEN 8 #最短密码长度
4 PASS_WARN_AGE 7 #提前几天给出密码修改警告
Linux提供了很多默认账户,而账户越多,越容易受到攻击,所以需要删除不需要的用户和用户组:
01 userdel adm
02 userdel lp
03 userdel sync
04 userdel shutdown
05 userdel halt
06 userdel news
07 userdel uucp
08 userdel operator
09 userdel games
10 userdel gopher
11 userdel ftp
12
13 groupdel adm
14 groupdel lp
15 groupdel news
16 groupdel uucp
17 groupdel dip
给下面的文件加上不可更改属性,从而防止非授权用户获得权限:
1 chattr +i /etc/passwd
2 chattr +i /etc/shadow
3 chattr +i /etc/group
4 chattr +i /etc/gshadow
其他安全配置
禁止使用Ctrl+Alt+Del快捷键重启服务器,编辑/etc/inittab文件,注释以下命令,使其不生效:
1 # ca::ctrlaltdel:/sbin/shutdown -t3 -r now
禁止非root用户执行/etc/rc.d/init.d/下的系统命令:
1 chmod -R 700 /etc/rc.d/init.d/*