NFS服务
网络文件系统是构成Unix世界文件共享访问的基础。如果希望禁止用户任意的共享目录,可以增加NFS限制,比如锁定/etc/exports文件,并事先定义共享的目录。如果不希望用户共享,只限制用户访问,就需要修改NFS的启动脚本。编辑/etc/init.d/nfs文件,找到守护进程一行并注释掉。
/etc/init.d/nfs
# daemon rpc.nfsd $RPCNFSDCOUNT
|
系统中的很多配置文件和命令是很敏感的,修改权限和增加只读属性可以在一定程度上避免安全问题。
chmod 700 /bin/rpm
#NFS共享目录配置文件
chmod 600 /etc/exports
#主机访问控制文件
chmod 600 /etc/hosts.*
chmod R 751 /var/log
chmod 644 /var/log/messages
#系统日志配置文件
chmod 640 /etc/syslog.conf
chmod 660 /var/log/wtmp
chmod 640 /var/log/lastlog
chmod 600 /etc/ftpusers
#用户口令文件
chmod 644 /etc/passwd
chmod 600 /etc/shadow
#校验模块配置文件目录
chmod R 750 /etc/pam.d
chmod 600 /etc/lilo.conf
#终端配置文件
chmod 600 /etc/securetty
chmod 400 /etc/shutdown.allow
#系统访问安全配置文件
chmod 700 /etc/security
#网络系统配置文件
chmod R 751 /etc/sysconfig
#超级守护进程配置文件
chmod 600 /etc/xinetd.conf
chmod 600 /etc/inetd.conf
chmod R 750 /etc/rc.d/init.d/
chmod 750 /etc/rc.d/init.d/*
#自动运行程序控制文件
chmod 600 /etc/crontab
chmod 400 /etc/cron.*
#SSH配置文件
chmod 750 /etc/ssh
#内核控制配置文件
chmod 400 /etc/sysctl.confg
chattr +i /etc/services
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/hosts.*
chattr +i /etc/xinetd.conf
chattr +i /etc/exports
chattr +i /bin/login
chattr +a /var/log/message
|
