本篇文章給大家分享的是有關(guān)Linux中怎么設(shè)置安全策略，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

創(chuàng)新互聯(lián)公司堅持“要么做到，要么別承諾”的工作理念，服務(wù)領(lǐng)域包括：做網(wǎng)站、網(wǎng)站設(shè)計、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣等服務(wù)，滿足客戶于互聯(lián)網(wǎng)時代的鶴山網(wǎng)站設(shè)計、移動媒體設(shè)計的需求，幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴！

1. 禁止系統(tǒng)響應(yīng)任何從外部/內(nèi)部來的ping請求攻擊者一般首先通過ping命令檢測此主機或者IP是否處于活動狀態(tài)，如果能夠ping通 某個主機或者IP，那么攻擊者就認為此系統(tǒng)處于活動狀態(tài)，繼而進行攻擊或破壞。如果沒有人能ping通機器并收到響應(yīng)，那么就可以大大增強服務(wù)器的安全性，linux下可以執(zhí)行如下設(shè)置，禁止ping請求：

[root@localhost ~]#echo “1”> /proc/sys/net/ipv4/icmp_echo_ignore_all默認情況下“icmp_echo_ignore_all”的值為“0”，表示響應(yīng)ping操作。

可以加上面的一行命令到/etc/rc.d/rc.local文件中，以使每次系統(tǒng)重啟后自動運行。

2．禁止Control-Alt-Delete組合鍵重啟系統(tǒng)

在linux的默認設(shè)置下，同時按下Control-Alt-Delete鍵，系統(tǒng)將自動重啟，這是很不安全的，因此要禁止Control-Alt-Delete組合鍵重啟系統(tǒng)，只需修改/etc/inittab文件：

代碼如下:

[root@localhost ~]#vi /etc/inittab

找到此行：ca::ctrlaltdel:/sbin/shutdown -t3 -r now在之前加上“#”

然后執(zhí)行：

代碼如下:

[root@localhost ~]#telinit q

3．限制Shell記錄歷史命令大小

默認情況下，bash shell會在文件$HOME/.bash_history中存放多達1000條命令記錄(根據(jù)系統(tǒng)不同，默認記錄條數(shù)不同)。系統(tǒng)中每個用戶的主目錄下都有一個這樣的文件。

這么多的歷史命令記錄，肯定是不安全的，因此必須限制該文件的大小。

可以編輯/etc/profile文件，修改其中的選項如下：

HISTSIZE=30

表示在文件$HOME/.bash_history中記錄最近的30條歷史命令。如果將“HISTSIZE”設(shè)置為0，則表示不記錄歷史命令，那么也就不能用鍵盤的上下鍵查找歷史命令了。

　4．刪除系統(tǒng)默認的不必要用戶和組

Linux提供了各種系統(tǒng)賬戶，在系統(tǒng)安裝完畢，如果不需要某些用戶或者組，就要立即刪除它，因為賬戶越多，系統(tǒng)就越不安全，越容易受到攻擊。

刪除系統(tǒng)不必要的用戶用下面命令

代碼如下:

[root@localhost ~]# userdel username

刪除系統(tǒng)不必要的組用如下命令：

代碼如下:

[root@localhost ~]# groupdel  groupname

Linux系統(tǒng)中可以刪除的默認用戶和組有：

刪除的用戶,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。

刪除的組,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。

5. 關(guān)閉selinux

SELinux是 Security-Enhanced Linux的簡稱，是一種內(nèi)核強制訪問控制安全系統(tǒng)，目前SELinux已經(jīng)集成到Linux 2.6內(nèi)核的主線和大多數(shù)Linux發(fā)行版上，由于SELinux與現(xiàn)有Linux應(yīng)用程序和Linux內(nèi)核模塊兼容性還存在一些問題，因此建議初學者先關(guān)閉selinux，等到對linux有了深入的認識后，再對selinux深入研究不遲！

查看linux系統(tǒng)selinux是否啟用，可以使用getenforce命令：

代碼如下:

[root@localhost ~]# getenforce
Disabled

關(guān)閉selinux，在redhat系列發(fā)行版中，可以直接修改如下文件：

代碼如下:

[root@localhost ~]#vi /etc/sysconfig/selinux# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#       enforcing - SELinux security policy is enforced.
#       permissive - SELinux prints warnings instead of enforcing.
#       disabled - SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
#       targeted - Only targeted network daemons are protected.
#       strict - Full SELinux protection.
SELINUXTYPE=targeted

將SELINUX=enforcing修改為SELINUX=disabled, 重啟系統(tǒng)后將會停止SElinux。

6．設(shè)定tcp_wrappers防火墻

Tcp_Wrappers是一個用來分析TCP/IP封包的軟件，類似的IP封包軟件還有iptables，linux默認都安裝了此軟件，作為一個安全的系統(tǒng)，Linux本身有兩層安全防火墻，通過IP過濾機制的iptables實現(xiàn)第一層防護，iptables防火墻通過直觀地監(jiān)視系統(tǒng)的運行狀況，阻擋網(wǎng)絡(luò)中的一些惡意攻擊，保護整個系統(tǒng)正常運行，免遭攻擊和破壞。關(guān)于iptables的實現(xiàn)，將在下個章節(jié)詳細講述。如果通過了第一層防護，那么下一層防護就是tcp_wrappers了，通過Tcp_Wrappers可以實現(xiàn)對系統(tǒng)中提供的某些服務(wù)的開放與關(guān)閉、允許和禁止，從而更有效地保證系統(tǒng)安全運行。

Tcp_Wrappers的使用很簡單，僅僅兩個配置文件：/etc/hosts.allow和/etc/hosts.deny（1） 查看系統(tǒng)是否安裝了Tcp_Wrappers

[root@localhost ~]#rpm -q tcp_wrappers  或者[root@localhost ~]#rpm -qa | grep tcp

tcp_wrappers-7.6-37.2

tcpdump-3.8.2-10.RHEL4

如果有上面的類似輸出，表示系統(tǒng)已經(jīng)安裝了tcp_wrappers模塊。如果沒有顯示，可能是沒有安裝，可以從linux系統(tǒng)安裝盤找到對應(yīng)RPM包進行安裝。

（2）tcp_wrappers防火墻的局限性

系統(tǒng)中的某個服務(wù)是否可以使用tcp_wrappers防火墻，取決于該服務(wù)是否應(yīng)用了libwrapped庫文件，如果應(yīng)用了就可以使用tcp_wrappers防火墻，系統(tǒng)中默認的一些服務(wù)如：sshd、portmap、sendmail、xinetd、vsftpd、tcpd等都可以使用tcp_wrappers防火墻。

(3)  tcp_wrappers設(shè)定的規(guī)則

tcp_wrappers防火墻的實現(xiàn)是通過/etc/hosts.allow和/etc/hosts.deny兩個文件來完成的，首先看一下設(shè)定的格式：

service:host(s) [:action]

l service：代表服務(wù)名，例如sshd、vsftpd、sendmail等。

l host(s)：主機名或者IP地址，可以有多個，例如192.168.60.0、www.ixdba.netl action：動作， 符合條件后所采取的動作。

幾個關(guān)鍵字：

l ALL：所有服務(wù)或者所有IP。

l ALL EXCEPT：所有的服務(wù)或者所有IP除去指定的。

例如：ALL:ALL EXCEPT 192.168.60.132

表示除了192.168.60.132這臺機器，任何機器執(zhí)行所有服務(wù)時或被允許或被拒絕。

了解了設(shè)定語法后，下面就可以對服務(wù)進行訪問限定。

例如互聯(lián)網(wǎng)上一臺linux服務(wù)器，實現(xiàn)的目標是：僅僅允許222.90.66.4、61.185.224.66以及域名softpark.com通過SSH服務(wù)遠程登錄到系統(tǒng)，設(shè)置如下：

首先設(shè)定允許登錄的計算機，即配置/etc/hosts.allow文件，設(shè)置很簡單，只要修改/etc/hosts.allow（如果沒有此文件，請自行建立）這個文件即可。

只需將下面規(guī)則加入/etc/hosts.allow即可。

sshd: 222.90.66.4 61.185.224.66 softpark.com接著設(shè)置不允許登錄的機器，也就是配置/etc/hosts.deny文件了。

一般情況下，linux會首先判斷/etc/hosts.allow這個文件，如果遠程登錄的計算機滿足文件/etc/hosts.allow設(shè)定的話，就不會去使用/etc/hosts.deny文件了，相反，如果不滿足hosts.allow文件設(shè)定的規(guī)則的話，就會去使用hosts.deny文件了，如果滿足hosts.deny的規(guī)則，此主機就被限制為不可訪問linux服務(wù)器，如果也不滿足hosts.deny的設(shè)定，此主機默認是可以訪問linux服務(wù)器的，因此，當設(shè)定好/etc/hosts.allow文件訪問規(guī)則之后，只需設(shè)置/etc/hosts.deny為“所有計算機都不能登錄狀態(tài)”即可。

sshd:ALL

這樣，一個簡單的tcp_wrappers防火墻就設(shè)置完畢了。

以上就是Linux中怎么設(shè)置安全策略，小編相信有部分知識點可能是我們?nèi)粘９ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學到更多知識。更多詳情敬請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

文章題目：Linux中怎么設(shè)置安全策略
當前鏈接：http://www.rwnh.cn/article12/psgsgc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、微信公眾號、虛擬主機、響應(yīng)式網(wǎng)站、小程序開發(fā)、

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)