【正文】 p=website 意味著僅僅 website組的用戶可以 su作為 root. ssh 服務(wù)的 root 登錄權(quán)限 修改 ssh 服務(wù)配置文件，使的 ssh 服務(wù)不允許直接使用 root 用戶來(lái)登錄，這樣減少系統(tǒng)被惡意登錄攻擊的機(jī)會(huì)。系統(tǒng)中每個(gè)用戶的主目錄下都有一個(gè)這樣的文件。 TMOUT 按秒計(jì)算。修改最短密碼長(zhǎng)度需要編輯 文件 vi /etc/ PASS_MAX_DAYS 99999 密碼設(shè)置最長(zhǎng)有效期（默認(rèn)值） PASS_MIN_DAYS 0 密碼設(shè)置最短有效期 PASS_MIN_LEN 5 設(shè)置密碼最小長(zhǎng)度，將 5改為 8 PASS_WARN_AGE 7 提前多少天警告用戶密碼即將過期。do userdel $i 。一份正確的 linux 基本安全配置手冊(cè)就顯得格外重要。 上傳、下載、刪除需要的設(shè)置： anon_world_readable_only=NOwrite_enable=YESanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=YESlocal_root=/usr//kjcroot/yangliudi 只能上傳不能刪除的配置為： anon_world_readable_only=NOwrite_enable=YESanon_upload_enable=YESanon_mkdir_write_enable=YESanon_other_write_enable=NOlocal_root=/usr//kjcroot/yangliudi 只能下載的： anon_world_readable_only=YESwrite_enable=NOanon_upload_enable=NOanon_mkdir_write_enable=NOanon_other_write_enable=NOlocal_root=/usr//kjcroot/yangliudi Squid Server 的安全配置 限制內(nèi)網(wǎng)某些 IP 使用代理服務(wù)器 . 要使用地址范圍 來(lái)為局域網(wǎng)的系統(tǒng)定義 oak acl條目 ,可使用下面的方法 : acl oak src 一旦定義地址范圍以后 ,就可以使用 SQUID SERVER 選項(xiàng)中 ACL 定義對(duì)系統(tǒng)進(jìn)行控制 .例如 ,為了允許局域網(wǎng)系統(tǒng)中的 OAK組通過代理訪問 WEB,可以用帶 ALLOW動(dòng)作的 _access 命令把 oak 指定為 ACL 定義 .如下 _access allow oak 下面的例子是只允許局域網(wǎng)的 oak組通過代理訪問 WEB站點(diǎn) ,而拒絕其它主機(jī)的訪問 ,這里設(shè)置了兩個(gè) ACL 條目 :一個(gè)用于本地系統(tǒng) ,允許局域網(wǎng)的 OAK 訪問 ,另一個(gè)用于拒絕其它主機(jī)的訪問 .如下 : acl oak src acl all src _access allow oak _access deny all 限制內(nèi)網(wǎng)某些 MAC 地址使用代理服務(wù)器 . 例如下面 : acl advance arp 00:01:02:1f:2c:3e 00:01:02:3c:1a:8b... 限制內(nèi)網(wǎng)用戶訪問某些網(wǎng)站 下面的例子是拒絕任何使用代理的用戶訪問主機(jī) 網(wǎng)計(jì)算機(jī)通過代理訪問該主機(jī) ,則可以使用這樣的命令限制訪問 . acl nic dst _access deny nic 下面的是限制訪問站點(diǎn) [url][/url]以及其它一切 域中的主機(jī) . acl center dstdomain . _access deny center 下面的例子是限制訪問 . 和 . acl xxk dstdomain . . _access deny xxk 如果要限制的網(wǎng)站很多 ,可以使用文件的方式 :如 acl sexip dst /etc/squid/acl/sexip acl sexweb dstdomain /etc/squid/acl/sexweb _access deny sexip _access deny sexweb 然后把要控制的站點(diǎn)的 IP 地址和域名存放在相應(yīng)的文件中 ,例如 gedit 編輯/etc/squid/acl/sexweb 文件 ,把下面的一些站點(diǎn)添加進(jìn)去 : . . ... 限制內(nèi)網(wǎng)用戶訪問某些格式的文件 .如下 : acd xfile urlpath_regex \.mp3$ \.avi$ \.exe$ _access deny xfile 當(dāng)然 ,我們也可以指定有些特定用戶可以訪問這些文件類型 ,方法如下 : acl myhost src acl xfile urlpath_regex \.mp3$ \.avi$ \.exe$ _access allow myhost xfile _access deny xfile 限制內(nèi)網(wǎng)用戶使用代理服務(wù)器的時(shí)間 axcl myhost src acl all src acl worktime time MTWHF 8:0012:00 14:0018:00 acl alltime time SMTWHFA 0:0024:00 _access allow myhost alltime _access allow all worktime _access deny worktime 控制內(nèi)網(wǎng)用戶使用代理服務(wù)器的并發(fā)連接數(shù) . acl conncount maxconn 3 _access deny conncount normal _access allow normal SSH 的 安全配置 ssh 是一 個(gè)好的 LInux、 Solairs、 Unix、 FreeBSD、等 Unix 系列操作系統(tǒng)的遠(yuǎn)程登錄方式，當(dāng)然任何東西都是好漏洞的，為了指定一個(gè)安全的 SSH 登錄，我們可以用以下方法去制定一個(gè)安全的 SSH，提高系統(tǒng)的安全性 限制 ssh 遠(yuǎn)程登錄的時(shí)候直接以 root 帳號(hào)登錄： 修改配置文件 /etc/ssh/sshd_config，加上一個(gè) record: PermitRootLogin no 這樣設(shè)置后重啟 ssh service， /etc/，生效后我們就不能直接以 root 的方式登錄了，我們需要用一個(gè)普通的帳號(hào)來(lái)登錄，然后用 su來(lái)切換到 root帳號(hào)，注意 su 和 su 是有一點(diǎn)小小區(qū)別的。 vsftpd 的安全配置 主要配置 使用虛擬用戶，這些用戶在系統(tǒng)上都以一個(gè)用戶名存在，可以設(shè)置不同的 HOME DIR， 創(chuàng)建 guest 用戶 groupadd virtualuseradd d /home/ftpsite m virtual 可以 check 一下/etc/passwd 文件，確保 virtual 用戶的 shell 是 /bin/false，這樣做是禁止通過 ssh或 tel 以及本地 login 生成虛擬用戶 aptget install libdb3util 注意這里一定要用 db3_load 生成 hash 文件，不是系統(tǒng)默認(rèn)的 cat T t hash f /etc/ 600 /，只能 ROOT 讀取。39。39。 輸入以下命令： mysqluse mysql。這是 MySQL 的默認(rèn)監(jiān)聽端口。 MaxClients 值： 256 或更少 Iptables 的 安全 配置 原則上只開放 80 端口，而且 22 端口只對(duì)管理員的 IP 開放，另外使服務(wù)器禁 PING 將 22 端口只對(duì)管理員 IP 開放： A RHFirewall1INPUT m state state NEW m tcp p tcp dport 22 s 管理員 IP j ACCEPT 將 80 端口對(duì)所有人開放： A RHFirewall1INPUT m state state NEW m tcp p tcp dport 80 j ACCEPT 防止同步包洪水 limit 1/s 限制 syn 并發(fā)數(shù)每秒 1 次，可以根據(jù)自己的需要修改 A FORWARD p tcp syn m limit limit 1/s j ACCEPT 防止各種端口掃描 A FORWARD p tcp tcpflags SYN,ACK,FIN,RST RST m limit limit 1/s j ACCEPT Ping 洪水攻擊（ Ping of Death） A FORWARD p icmp icmptype echorequest m limit limit 1/s j ACCEPT DDOS A INPUT p icmp m limit limit 3/s j LOG loglevel INFO logprefix ICMP packet IN: A INPUT p icmp m limit limit 6/m j ACCEPT A INPUT p icmp j DROP MYSQL 的安全配置 打開 /etc/ 文件，修改以下配置，如果沒有，可手動(dòng)添加。 MinSpareServers 值：介于 5 和 10 Timeout 值：設(shè)置成 300 或更少 如果使用 Linux 在 ~ 時(shí)，那么可以直接使用命令“ rpm –qa|grep mod_ssl”檢查，如果沒有安裝，那么可以以 root 的身份登錄，輸入命令： Systemconfigpackages 利用 GUI 套件管理工具的網(wǎng)頁(yè)服務(wù)器，點(diǎn)擊“詳細(xì)信息”，然后勾選“ mod_ssl”，提示放入適當(dāng)?shù)墓獗P，便可以完成安裝工作。 SSL 使用加密方法來(lái)保護(hù) web 服務(wù)器和瀏覽器之間的信息流。這樣，父進(jìn)程監(jiān)聽 80 端口的 TCP 數(shù)據(jù)流，然后根據(jù)內(nèi)部算法將這個(gè)請(qǐng)求分配給某個(gè)子進(jìn)程來(lái)處理，這樣 Apache 子進(jìn)程所處的目錄繼承父進(jìn)程。 讓 Apache 在“監(jiān)獄”中運(yùn)行 所謂監(jiān)獄，是指通過 chroot 機(jī)制來(lái)更改某個(gè)軟件運(yùn)行時(shí)所看到的根目錄的權(quán)限。 通過安裝使用 suEXEC 的應(yīng)用程序，可以為 Apache 服務(wù)提供 CGI 程序的控制支持，可以把 suEXEC 看做一個(gè)包裝器，在 Apache 接到對(duì) CGI 程序的調(diào)用請(qǐng)求后，它將這個(gè)嗲用請(qǐng)求交給 suEXEC 來(lái)負(fù)責(zé)完成具體的調(diào)用，并且其從 suEXEC 獲得返回結(jié)果。利用 .htaccess 文件 實(shí)現(xiàn)密碼保護(hù)，一般是很難被破解的。 （ 4） 建立允許訪問的組 組的設(shè)置方法是建立一個(gè)名為 .htgroup 的文本文件，內(nèi)容如下： Groupname1: username1 username2 username3 Groupname2: username1 username3 username4 并在 .htaccess 文件中加上“ authgroupfile/absolute/path/.htgroup”以 ASCII 模式上傳所有文件后，該目錄下的文件都會(huì)被保護(hù)起來(lái)。 （ 3） 增加新的許可用戶 進(jìn)入 htdocs 目錄，在命令行狀態(tài)下輸入 以下 命令 ： Echo .abame1 /var//bin/ abc 這樣就可以生成 .abame1 文件 Abc 代表要增加的用戶名。 .abame1 和 .abame2 可以是任意文件名，如 .htpasswd，但不可以是 .htaccess。 （ 1） 建立 .htaccess 文件 首先在設(shè)置存取控制的目錄（如 htdocs）下建立一個(gè)文件，文件名可以自定。注意， .htaccess 文件是一個(gè)完整的文件名。 服務(wù)器的密碼保護(hù) .htaccess 文件是 Apache 服務(wù)器上一個(gè)配置文件。這樣就大大加強(qiáng)了對(duì)日志文件的處理能力。該程序是由運(yùn)行程序的服務(wù) crond 每天凌晨 4： 02 運(yùn)行的。對(duì)于大型web 服務(wù)器來(lái)說(shuō)，往往使用負(fù)載均衡技術(shù)提高 web 站點(diǎn)的 服務(wù)能力，這樣后臺(tái)有多個(gè)服務(wù)器提供 web 服務(wù)，大大方便了服務(wù)器的分布規(guī)劃和擴(kuò)展。對(duì)于不配置虛擬主機(jī)的服務(wù)器來(lái)說(shuō)，只要直接在 中查找 customlog 配置進(jìn)行修改即可。如果允許 到 的主機(jī)訪問，可以這樣設(shè)置： Order deny， allow Deny from all Allow from pair 配置 Apache 服務(wù)器訪問日志 （ 1） 相關(guān)配置文件說(shuō)明 一個(gè)好的 Linux 管理員會(huì)密切關(guān)注服務(wù)器的日志系統(tǒng)，這些日志可以提供異常訪問的線索。 修改配置文件 ： Options –indexes followsymlinks Options 指令通知 Apache 禁止使用目錄索引。所以，如果希望“ A”用戶在 web 站點(diǎn)發(fā)布內(nèi)容，并且可以以 d 身份