[转帖]常见Unix安全设置方案--Linux系列 (2)_VMware, Unix及操作系统讨论区_Weblogic技术|Tuxedo技术|中间件技术|Oracle论坛|JAVA论坛|Linux/Unix技术|hadoop论坛_联动北方技术论坛  
网站首页 | 关于我们 | 服务中心 | 经验交流 | 公司荣誉 | 成功案例 | 合作伙伴 | 联系我们 |
联动北方-国内领先的云技术服务提供商
»  游客             当前位置:  论坛首页 »  自由讨论区 »  VMware, Unix及操作系统讨论区 »
总帖数
1
每页帖数
101/1页1
返回列表
0
发起投票  发起投票 发新帖子
查看: 3415 | 回复: 0   主题: [转帖]常见Unix安全设置方案--Linux系列 (2)        下一篇 
liulin_2
注册用户
等级:少校
经验:1143
发帖:85
精华:5
注册:2012-12-10
状态:离线
发送短消息息给liulin_2 加好友    发送短消息息给liulin_2 发消息
发表于: IP:您无权察看 2012-12-10 17:30:24 | [全部帖] [楼主帖] 楼主

3.2.2.14 防止任何人都可以用su命令成为root
如果不想任何人都可以用“su”命令成为root或只让某些用户有权使用“su”命令,那么在
“/etc/pam.d/su”文件中加入下面两行。我建议尽量限制用户通过“su”命令成为root
第一步:
编辑su文件(vi /etc/pam.d/su)在文件的头部加入下面两行:

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel


加入这两行之后,“/etc/pam.d/su”文件变为:

#%PAM-1.0
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
auth required /lib/security/pam_pwdb.so shadow nullok
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow use_authtok nullok
session required /lib/security/pam_pwdb.so
session optional /lib/security/pam_xauth.so


这两行的意思是只有“wheel”组的成员才能用su命令成为root。注意,“wheel”组是系统
中用于这个目的的特殊帐号。不能用别的组名。把这节介绍的方法和《22. “/etc/securet
ty”文件》中介绍的方法结合起来,可以更好地加强系统的安全性。
第二步:如果在“/etc/pam.d/su”配置文件中定义了“wheel”组,现在介绍一下怎样让一
些用户可以用“su”命令成为“root”。下面是一个例子,让admin用户成为“wheel”组的
成员,这样就可以用“su”命令成为“root”[root@cnns]# usermod -G10 admin
“G”是表示用户所在的其它组。“10”“wheel”组的ID值,“admin”是我们加到“whe
el”组的用户。用同样的命令可以让其他的用户可以用su命令成为root
3.2.2.15 资源限制
限制用户对系统资源的使用���可以避免拒绝服务(如:创建很多进程、消耗系统的内存,等等
)这种攻击方式。这些限制必须在用户登录之前设定。例如,可以用下面的方法对系统中用户
加以。
第一步:
编辑limits.conf文件(vi /etc/security/limits.conf),加入或改变下面这些行:

* hard core 0
* hard rss 5000
* hard nproc 20


这些行的的意思是:“core 0”表示禁止创?ore文件;“nproc 20”把最多进程数限制到20
“rss 5000”表示除了root之外,其他用户都最多只能用5M内存。上面这些都只对登录到
系统中的用户有效。通过上面这些限制,就能更好地控制系统中的用户对进程、core文件和
内存的使用情况。星号“*”表示的是所有登录到系统中的用户。
第二步
必须编辑“/etc/pam.d/login”文件,在文件末尾加入下面这一行:

session required /lib/security/pam_limits.so


加入这一行后“/etc/pam.d/login”文件是这样的:

#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_pwdb.so shadow nullok
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so nullok use_authtok md5 shadow
session required /lib/security/pam_pwdb.so
session required /lib/security/pam_limits.so
#session optional /lib/security/pam_console.so


3.2.2.16 更好地控制mount上的文件系统
可以用一些选项,如:noexecnodevnosuid,更好地控制mount上的文件系统,如:“/h
ome”“/tmp”。这些都在“/etc/fstab”文件中设定。fstab文件包含了各个文件系统的
描述信息。如果想知道在这个文件中可以设定哪些选项,请用man命令查看关于mount的帮助

编辑fstab文件(vi /etc/fstab),并根据需要把这两行:

/dev/sda11 /tmp ext2 defaults 1 2
/dev/sda6 /home ext2 defaults 1 2


改变成:

/dev/sda11 /tmp ext2 nosuid,nodev,noexec 1 2
/dev/sda6 /home ext2 nosuid,nodev 1 2


“nodev”表示不允许在这个文件系统上有字符或特殊的块设备。“nosuid”表示不允许设定
文件的suid(set-user-identifier)sgid(set-group-identifier)许可位。“noexec”表示
不允许文件系统上有任何可执行的二进制文件。
注意:上面的例子中,“/dev/sda11”mount“/tmp”目录上,而“/dev/sd6”mount
/home”目录上。当然这和你的实际情况会有所不同,这些取决于你是怎么分区的以及用什么
样的硬盘,例如:IDE硬盘是hdahdb,等等,而SCSI硬盘是sdasdb,等等。
3.2.2.17 rpm程序转移到一个安全的地方,并改变默认的访问许可
一旦在Linux服务器上用rpm命令安装完所有需要的软件,最好把rpm程序转移到一个安��的地
方,如:软盘或其它你认为安全的地方。因为如果有人入侵了你的服务器,他就不能用rpm
令安装那些有害的软件。当然,如果将来要用rpm安装新的软件,你就要把rpm程序拷回原来
的目录。
rpm程序移到软盘上,用下面的命令:

[root@cnns]# mount /dev/fd0 /mnt/floppy/
[root@cnns]# mv /bin/rpm /mnt/floppy/
[root@cnns]# umount /mnt/floppy


注意:千万不要把rpm程序从系统中卸载掉,否则以后就不能重新安装它,因为安装rpm程序
或其它软件包本身就要用rpm命令。
还有一点要注意的是,把rpm命令的访问许可从默认的755改成700。这样非root用户就不能使
rpm命令了。特别是考虑到万一在安装完新软件之后忘了把rpm程序移到一个安全的地方,
这样做就更有必要了。
改变“/bin/rpm”默认的访问权限,用下面这个命令:

[root@cnns]# chmod 700 /bin/rpm


3.2.2.18 登录shell
为了方便重复输入很长的命令,bash shell可以在“~/.bash_history”文件(“~/”是家目
录,每个用户都是不一样的)中存500个曾经输入过的命令。每一个有自己帐号的用户,在自
己的家目录中,都会有“.bash_history”文件。可能会有这种情况,用户在不该输入口令的
地方输入了口令,而输入的口令会在“.bash_history”文件中保存下来。而且“.bash_his
tory”文件越大这种可能性也越大。
“/etc/profile”文件中HISTFILESIZEHISTSIZE这两行决定了系统中所有用户的“.bas
h_history”文件可以保存多少命令。我建议把“/etc/profile”文件中的HISTFILESIZEH
ISTSIZE都设成一个比较小的值,如:20
编辑profile文件(vi /etc/profile),把这些行改成:

HISTFILESIZE=20
HISTSIZE=20


这样每个用户家目录下的“.bash_history”就最多只能存20个命令。如果黑客试图在用户的
“~/.bash_history”文件中发现一些口令,他就没有什么机会了。
3.2.2.19 “/etc/lilo.conf”文件
LILOLinux上一个多功能的引导程序。它可以用于多种文件系统,也可以从软盘或硬盘上引
Linux并装入内核,还可以做为其它操作系统的引导管理器。根(/)文件系统对LILO
说很重要,有下面这两个原因:第一:LILO要告诉内核到那里去找根文件系统;第二:LILO
要用到的一些东西,如:引导扇区、“/boot”目录和内核就存放在根文件系统中。引导扇区
包括LILO引导程序的第一部分,这个部分在引导阶段的后半部分还要装入更大的引导程序。
这两个引导程序通常存在“/boot/boot.b”文件中。内核是由引导程序装入并启动的。在Re
dHat Linux系统中,内核通常在根目录或“/boot”目录下。

因为LILOLinux系统非常重要,所以我们要尽可能地保护好它。LILO最重要的配置文件是
/etc”目录下的“lilo.conf”文件。用这个文件我们可以配置或提高LILO程序以及Linux
统的安全性。下面是LILO程序的三个重要的选项设置。
1)加入:timeout=00
这项设置设定LILO在引导默认的系统之前,等候用户输入的时间。C2安全等级规定这个时间
间隔必须设成0,因为多重引导会使系统的安全措施形同虚设。除非想用多重引导,否则最好
把这项设成0
2)加入:restricted
LILO引导的时候,输入参数linux single,进入单用户(single)模式。因为单用户模式没
有口令验证,所以可以在LILO引导时,加上口令保护。“restricted”选项��能和“passwo
rd”合起来用。注意要给每个内核都要加上口令保护。
3)加入:password=<password>
用单用户模式启动Linux系统的时候,系统要求用户输入这个口令。口令是大小写敏感的,而
且要注意,要让“/etc/lilo.conf”文件,除了root之外,其他用户没有读的权限,这样也
就看不到口令了。下面是用“lilo.conf”文件保护LILO的一个具体例子。
第一步:
编辑lilo.conf文件(vi /etc/lilo.conf),加上或改变下面介绍的三个设置:

boot=/dev/sda
map=/boot/map
install=/boot/boot.b
prompt
timeout=00 ? change this line to 00.
Default=linux
restricted ? add this line.
password=<password> ? add this line and put your password.
image=/boot/vmlinuz-2.2.12-20
label=linux
initrd=/boot/initrd-2.2.12-10.img
root=/dev/sda6
read-only


第二步
因为“/etc/lilo.conf”配置文件里,存在没有经过加密的口令,所以只有root才能有读的
权限。用下面的命令改变文件的权限:

[root@cnns]# chmod 600 /etc/lilo.conf (will be no longer world readable).


第三步
使改变后的“/etc/lilo.conf”配置文件生效:

[root@cnns]# /sbin/lilo -v (to update the lilo.conf file).


第四步
为了更安全一点,可以用chattr命令给“lilo.conf”文件加上不可改变的权限。让文件不可
改变用下面的命令:

[root@cnns]# chattr +i /etc/lilo.conf


这样可以避免“lilo.conf”文件因为意外或其它原因而被改变。如果想要改变“lilo.conf
文件,必须先清除它的不可改变标志。
清除不可改变的标记用下面的命令:

[root@cnns]# chattr -i /etc/lilo.conf


3.2.2.20 使Control-Alt-Delete关机键无效
“/etc/inittab”文件中的一行注释掉可以禁止用Control-Alt-Delete关闭计算机。如果
服务器不是放在一个安全的地方,这非常重要。
编辑inittab文件(vi /etc/inittab)把这一行:

ca::ctrlaltdel:/sbin/shutdown -t3 -r now


改为:

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now


用下面的命令使改变生效:

[root@cnns]# /sbin/init q


3.2.2.21 改变“/etc/rc.d/init.d/”目录下的脚本文件的访问许可
改变启动和停止daemon的脚本文件的权限。

[root@cnns]# chmod -R 700 /etc/rc.d/init.d/*


这样只有root可以读、写和执行这个目录下的脚本。我想一般用户没有什么必要知道脚本文
件的内容。
注意:如果你安装或升级了一个程序,要用到“/etc/rc.d/init.d/”system V脚本,不要
忘记再检查一下改变和检查这个脚本文件的许可。
3.2.2.22 “/etc/rc.d/rc.local”文件
在默认情况下,当登录装有Linux系统的计算机时,系统会告诉你Linux发行版的名字、版本
号、内核版本和服务器名称。这泄露了太多的系统信息。最好只显示一个“Login:”的提示
信息。
第一步
编辑“/ect/rc.d/rc.local”文件,在下面这些行的前面加上“#”

--
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
--


第二步
删除“/etc”目录下的“issue.net”“issue”文件:

[root@cnns]# rm -f /etc/issue
[root@cnns]# rm -f /etc/issue.net


注意:“/etc/issue.net”文件是用户从网络登录计算机时(例如:telnetSSH),看到的登
录提示。同样在“/etc”目录下还有一个“issue”文件,是用户从本地登录时看到的提示。
这两个文件都是文本文件,可以根据需要改变。但是,如果想删掉这两个文件,必须向上面
介绍的那样把“/etc/rc.d/rc.local”脚本中的那些行注释掉,否则每次重新启动的时候,
系统又会重新创建这两个文件。
3.2.2.23 “s”位的程序
ls -l命令列出来的文件,如果文件的权限位中出现“s”,则这些文件的SUID(-rwsr-xr-
x)SGID(-r-xr-sr-x)位被设定了。因为这些程序给执行它的用户一些特权,所以如果不需
要用到这些特权,最好把这些程序的“s”位移去。可以用下面这个命令“chmod a-s <文件
>”移去相应文件的“s”位。
可以清除“s”位的程序包括但不限于:
1)从来不用的程序
2)不希望非root用户运行的程序
3)偶尔用用,但是不介意先用su命令变为root后再运行。
下面加了星号(*)的程序,我个人认为有必要移去“s”位。注意,系统可能需要一些SUID
程序才能正常运行,所以要千万小心。
用下面的命令查找所有带“s”位的程序:

[root@cnns]#find / -type f ( -perm -04000 -o -perm -02000 ) -exec
ls -lg {} ;
*-rwsr-xr-x 1 root root 35168 Sep 22 23:35 /usr/bin/chage
*-rwsr-xr-x 1 root root 36756 Sep 22 23:35 /usr/bin/gpasswd
*-r-xr-sr-x 1 root tty 6788 Sep 6 18:17 /usr/bin/wall
-rwsr-xr-x 1 root root 33152 Aug 16 16:35 /usr/bin/at
-rwxr-sr-x 1 root man 34656 Sep 13 20:26 /usr/bin/man
-r-s--x--x 1 root root 22312 Sep 25 11:52 /usr/bin/passwd
-rws--x--x 2 root root 518140 Aug 30 23:12 /usr/bin/suidperl
-rws--x--x 2 root root 518140 Aug 30 23:12 /usr/bin/sperl5.0050
3
-rwxr-sr-x 1 root slocate 24744 Sep 20 10:29 /usr/bin/slocate
*-rws--x--x 1 root root 14024 Sep 9 01:01 /usr/bin/chfn
*-rws--x--x 1 root root 13768 Sep 9 01:01 /usr/bin/chsh
*-rws--x--x 1 root root 5576 Sep 9 01:01 /usr/bin/newgrp
*-rwxr-sr-x 1 root tty 8328 Sep 9 01:01 /usr/bin/write
-rwsr-xr-x 1 root root 21816 Sep 10 16:03 /usr/bin/crontab
*-rwsr-xr-x 1 root root 5896 Nov 23 21:59 /usr/sbin/usernetctl
*-rwsr-xr-x 1 root bin 16488 Jul 2 10:21 /usr/sbin/traceroute
-rwxr-sr-x 1 root utmp 6096 Sep 13 20:11 /usr/sbin/utempter
-rwsr-xr-x 1 root root 14124 Aug 17 22:31 /bin/su
*-rwsr-xr-x 1 root root 53620 Sep 13 20:26 /bin/mount
*-rwsr-xr-x 1 root root 26700 Sep 13 20:26 /bin/umount
*-rwsr-xr-x 1 root root 18228 Sep 10 16:04 /bin/ping
*-rwxr-sr-x 1 root root 3860 Nov 23 21:59 /sbin/netreport
-r-sr-xr-x 1 root root 26309 Oct 11 20:48 /sbin/pwdb_chkpwd


用下面的命令禁止上面选出来的SUID的程序:

[root@cnns]# chmod a-s /usr/bin/chage
[root@cnns]# chmod a-s /usr/bin/gpasswd
[root@cnns]# chmod a-s /usr/bin/wall
[root@cnns]# chmod a-s /usr/bin/chfn
[root@cnns]# chmod a-s /usr/bin/chsh
[root@cnns]# chmod a-s /usr/bin/newgrp
[root@cnns]# chmod a-s /usr/bin/write
[root@cnns]# chmod a-s /usr/sbin/usernetctl
[root@cnns]# chmod a-s /usr/sbin/traceroute
[root@cnns]# chmod a-s /bin/mount
[root@cnns]# chmod a-s /bin/umount
[root@cnns]# chmod a-s /bin/ping
[root@cnns]# chmod a-s /sbin/netreport


如果你想知道这些程序到底有什么用,可以用man命令查看帮助。
例如:[root@cnns]# man netreport
3.2.3 高级安全
3.2.3.1 使系统对ping没有反应
防止你的系统对ping请求做出反应,对于网络安全很有好处,因为没人能够ping你的服务器
并得到任何反应。TCP/IP协议本身有很多的弱点,黑客可以利用一些技术,把传输正常数据
包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应可以把这个危险减到最小。
用下面的命令:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all


运行完这个命令后,系统对ping就没有反应了。可以把这一行加到“/etc/rc.d/rc.local”
文件中去,这样当系统重新启动的时候,该命令就会自动运行。对ping命令没有反应,至少
可以把绝大多数的黑客排除到系统之外,因为黑客不可能知道你的服务器在哪里。重新恢复
ping的响应,可以用下面的命令:

echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all"


3.2.3.2 禁止使用控制台程序
一个最简单而且最常用的保证系统安全的方法就是禁止使用所有的控制台程序,如:shutdo
wnhalt。可以运行下面的命令来实现:

[root@cnns]# rm -f /etc/security/console.apps/servicename


这里servicename是你要禁止的控制台程序名。除非你使用xdm,否则不要把xserver文件删掉
,如果这样除了root之外,没有人可以启动X服务器了。(如果使用xdm启动X服务器,这时ro
ot是唯一需要启动X服务器的用户,这才有必要把xserver文件删掉)。例如:

[root@cnns]# rm -f /etc/security/console.apps/halt
[root@cnns]# rm -f /etc/security/console.apps/poweroff
[root@cnns]# rm -f /etc/security/console.apps/reboot
[root@cnns]# rm -f /etc/security/console.apps/shutdown
[root@cnns]# rm -f /etc/security/console.apps/xserver (如果删除��只有root可以启动
X).


这些命令就可以禁止所有的控制台程序:haltpoweroffrebootshutdown。记住,只有
装了Xwindow,删除xerver文件才会有效果。
注意:根据我们前一章的介绍安装服务器,Xwindow是没有安装上的,上面说的那些文件可能
不会出现在“/etc/security”目录下的,如果这样就可以不管这一节介绍的方法。
3.2.3.3 禁止控制台的访问
为了禁止所有的控制台访问,包括程序和文件,请在“/etc/pam.d/”目录下的所有文件中,
给那些包含pam_console.so的行加上注释。这一步是上一节《禁止使用控制台程序》的延续
。下面的脚本可以自动完成这项工作。转成root身份,创建disabling.sh脚本文件(touch d
isabling.sh),接着加入下面这些行:

# !/bin/sh
cd /etc/pam.d
for i in * ; do
sed '/[^#].*pam_console.so/s/^/#/' < $i > foo && mv foo $I
done


用下面的命令使脚本有可执行的权限,并执行它:

[root@cnns]# chmod 700 disabling.sh
[root@cnns]# ./disabling.sh


这样“/etc/pam.d”目录下所有文件中包含“pam_console.so”的行都被加上注释。这个脚
本运行完之后,可以把它从系统中删掉。

3.2.3.4 创建所有重要的日志文件的硬拷贝
保证在/var/log目录下的不同日志文件的完整性是保证系统安全所要考虑的非常重的
一个方面。如果我们在服务器上已经加上了很多安全措施,黑客还是能够成功入侵,那么日
志文件就是我们最后的防范措施。因此,很有必要考虑一下用什么方法才能保证日志文件的
完整性。如果服务器上或网络中的其它服务器上已经安装了打印机,就可以把重要的日志文
件打印出来。这要求有一个可以连续打印的打印机,并用syslog把所有重要的日志文件传到
/dev/lp0(打印设备)。黑客可以改变服务器上的文件、程序,等等,但是,把重要的日
志文件打印出来之后,他就无能为力了。
例如:记录下服务器上所有的telnetmail、引导信息和ssh连接,并打印到连接在这台服务
器上的打印机。需要在/etc/syslog.conf文件中加入一行。
编辑syslog.conf文件(vi /etc/syslog.conf),在文件末尾加入下面这一行:

authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0


重新启动syslog daemon使改动生效:

[root@cnns]# /etc/rc.d/init.d/syslog restart


又例如:
记录下服务器上所有的telnetmail、引导信息和ssh连接,并打印到本地网络中其它服务器
上连接的打印机,要在这台接收日志文件的服务器的/etc/syslog.conf文件中加入一行
。如果本地网中没有打印机,可以把所有的日志文件拷贝到别的服务器上,只要忽略下面第
一步,把/dev/lp0加到其它服务器的syslog.conf文件中,直接跳到在其它服务器上
设置-r参数那一步。把所有日志文件拷贝到其它计算机上,使你可以在一台计算机上管
理多台计算机的日志文件,从而简化管理工作。
编辑接收日志文件的服务器(例如:mail.openarch.com)上的syslog.conf文件(vi /etc/sys
log.conf),在文件的末尾加入下面这一行:

authpriv.*;mail.*;local7.*;auth.*;daemon.info/dev/lp0


因为syslog daemon的默认配置是拒绝接收来自网络上的信息,我们必须使它能够接收来自网
络上的信息,在syslog daemon的脚本文件(指的是接收日志文件的服务器上的脚本文件)中加
入下面的-r参数。
编辑syslog脚本文件(vi +24 /etc/rc.d/init.d/syslog),把这一行:

daemon syslogd -m 0


改为:

daemon syslogd -r -m 0


重新启动syslog daemon使改动生效:

[root@mail]# /etc/rc.d/init.d/syslog restart


如果接收日志文件的服务器上有防火墙,你可以检查一下防火墙的脚本文件中有没有下面几
(没有就加上)

ipchains -A input -i $EXTERNAL_INTERFACE -p udp
-s $SYSLOG_CLIENT
-d $IPADDR 514 -j ACCEPT


在这个例子中防火墙的脚本文件中定义了EXTERNAL_INTERFACE="eth0"

IPADDR="208.164.186.2";
SYSLOG_CLIENT=”208.164.168.0/24"


重新启动接收日志文件的服务器上的防火墙,使改动生效:

[root@mail]# /etc/rc.d/init.d/firewall restart


这个防火墙规则允许接收日志文件的服务器接收来自端口514(syslog的端口)UDP包。
最后,编辑一下发送日志文件的服务器上的syslog.conf文件(vi /etc/syslog.conf)
在末尾加上这一行:

authpriv.*;mail.*;local7.*;auth.*;daemon.info @mail


mail是接收日志文件的计算机主机名。如果有人试图黑你的计算机并且威胁把所有重要
的系统日志文件都删掉,你就不用怕了,因为你已经打印出来或者在别的地方还有一个拷贝
。这样就可以根据这些日志文件分析出黑客在什么地方,然后出理这次入侵事件。
重新启动syslog daemon,使改变生效:

[root@cnns]# /etc/rc.d/init.d/syslog restart


同样也要看看发送日志文件的服务器的防火墙的脚本文件中有没有这几行(没有加上)

ipchains -A output -i $EXTERNAL_INTERFACE -p udp
-s $IPADDR 514
-d $SYSLOG_SERVER 514 -j ACCEPT


这里防火墙的脚本文件中定义了:

EXTERNAL_INTERFACE="eth0"
IPADDR="208.164.186.1"
SYSLOG_SERVER="mail.openarch.com"


重新启动防火墙,使改变生效:

[root@cnns]# /etc/rc.d/init.d/firewall restart


这个防火墙的规则允许发送日志文件的服务器通过端口514(syslog端口)发送UDP包。
注意:千万不要用网关服务器来收集和管理所有的系统日志信息。有关syslogd程序的其它一
些参数和策略,可以用man命令查看帮助:syslogd(8)syslog(2)syslog.conf(5)
3.2.4 系统补丁
http://www.redhat.com网站提供了最新的内核和应用程序的升级或补丁包。可以把.rpm包下
载到服务器的/var/tmp里面然后用命令 rpm ivh soft.pkg.rpm来升级软件包,或者用rpm ?CUvh soft.pkg.rpm 来修补系统里面带有漏洞的软件。
3.2.5 附录 Linux上面各种常用软件的下载网址
1FTP:

ftp://ftp.wu-ftpd.org/pub/wu-ftpd/
2)SSH:
ftp://ftp.ssh.com/pub/ssh/
3)DNS:
ftp://ftp.isc.org/isc/bind/
4)dhcp:
ftp://ftp.isc.org/isc/dhcp/dhcp-3.0b2pl18-solaris-2.6.tar.gz
5)SMTP:
ftp://ftp.sendmail.org/pub/sendmail/
6)SSL:
ftp://ftp.openssl.org/source/
7)IMAP/POP:
ftp://ftp.cac.washington.edu/imap/
8)inn:
ftp://ftp.isc.org/isc/inn/inn-2.3.1.tar.gz
9)Linux MM:
http://www.engelschall.com/sw/mm/
10)pine:
ftp://ftp.cac.washington.edu/pine/
11)samba:
http://us1.samba.org/samba/download.html
12)openLDAP:
http://www.openldap.org/software/download/
13)PostgreSQL Db:
ftp://ftp.postgresql.org/pub/
14)Squid Proxy:
http://www.squid-cache.org/Versions/
15)Apache:
http://httpd.apache.org/dist/
16)Mod_ssl:
http://www.modssl.org/source/
17)Perl:
http://perl.apache.org/dist/
18)PHP:
http://www.php.net/downloads.php
19)MySQL
http://www.mysql.com/Downloads/M ... nux-gnu-i686.tar.gz
20)SXID
ftp://marcus.seva.net/pub/sxid/
21)tripwire:
http://www.tripwiresecurity.com/downloads/index.cfml?dl=asr&
22)GUN PG
http://www.gnupg.org/download.html




赞(0)    操作        顶端 
总帖数
1
每页帖数
101/1页1
返回列表
发新帖子
请输入验证码: 点击刷新验证码
您需要登录后才可以回帖 登录 | 注册
技术讨论