作者: FOX 因由:51CTO论坛清算
◆三、"/etc/exports"文件设置
如果经由过程NFS把文件共享出来,那么必定要创建"/etc/exports"文件,使得会面限制尽概略的严。这便是说,不要用通配符,不批准对根目次有写权限,并且尽概略只给只读权限。编辑exports文件(vi /etc/exports)参加:
比方:
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
"/dir/to/export"是你想共享出来的目次,host.mydomain.com是批准会面这个目次的较劲争论机。
代表只读,代表不批准对根目次间断写把持。使这些篡改失落效,你还要运转 "/usr/sbin/exportfs -a"号令。
注重:在效能器上装NFS效能是会有平安隐患的,就我全体而言,不发起你利用NFS。
◆四、胁制利用控制台法度
一个最庞年夜并且最常用的保证体系平安的方式便是胁制利用全数的控制台法度,如:shutdown和halt。可以运转下面的号令来完成:
[root@aid /]# rm -f /etc/security/console.apps/servicename
这里servicename是你要胁制的控制台法度名。除非你利用xdm,不然不要把xserver文件删失落,如果多么除了root之外,没有人可以启动 X效能器了。(如果利用xdm启动X效能器,这时root是唯一需要启动X效能器的用户,这才有需要把xserver文件删失落)。比方:
[root@deep]# rm -f /etc/security/console.apps/halt
[root@deep]# rm -f /etc/security/console.apps/poweroff
[root@deep]# rm -f /etc/security/console.apps/reboot
[root@deep]# rm -f /etc/security/console.apps/shutdown
[root@deep]# rm -f /etc/security/console.apps/xserver (如果删除,只要root可以启动X).
这些号令就可以胁制全数的控制台法度:halt、poweroff、reboot和shutdown。记着,只要装了Xwindow,删除xerver文件才会有结果。
◆五、"/etc/aliases"文件
aliases文件概略会形成平安隐患。比方:很多的软件产商都把 "decode"这个别名放在aliases文件里。多么做的目的是为了容易经由过程email传送二进制文件。在发送邮件的时候,用户把二进制文件用 "uuencode"转成ASCII文件,然后把成就发给接收端的"decode"。由这个别名让邮件信息经由过程"/usr/bin/uuencode"法度把二进制文件从新转换成ASCII文件。如果批准"decode"出如今aliases文件中,可以想象将会有什么样的平安隐患。
把定义"decode"这个别名的行从aliases文件中删除。异样地,每一个会运转法度的别名都要好好审查一下,很有概略要把它们删除失落。要使篡改失落效,还必须运转:
[root@deep]# /usr/bin/newaliases
编辑aliases文件(vi /etc/aliases),删除或注释失落下面这些行:
# Basic system aliases -- these MUST be present.
MAILER-DAEMON: postmaster
postmaster: root
# General redirections for pseudo accounts.
bin: root
daemon: root
#games: root
#ingres: root
nobody: root
#system: root
#toor: root
#uucp: root
# Well-known aliases.
#manager: root
#dumper: root
#operator: root
# trap decode to catch security attacks
#decode: root
# Person who should get roots mail
#root: marc
着末记得运转"/usr/bin/newaliases"使篡改失落效。
版权声明:
原创作品,批准转载,转载时请务必以超链接方式标明文章 原始因由 、作者信息和本声明。不然将究查功令责任。