Linux系统安装完后安全设置

Linux系统安装完后安全设置

1.在安装系统时除了ssh服务外不要安装其它的服务，最好也是文本安装的方法，开启最少的服务对系统的安全性能会更好。在设置root用户密码时必须超过8位(包括数字，字母，符号)以免黑客用密码字典破解。

2.备份系统中几个重要的文件目录和数据目录
[root@208 ~]# tar jcvf back.tar.gz  /etc/ /home/ /boot/ /bin/  /sbin/ /usr/bin/ /usr/sbin/

3.对ssh服务进行控制
[root@208 ~]# vim /etc/hosts.allow    --允许哪个IP可以用ssh连接
sshd    :  你的外网IP地址
[root@208 ~]# vim /etc/hosts.deny      --其它的IP拒绝
sshd    :all

4.对ssh服务器端口进行更改，让黑客无法攻击我的22端口
[root@CentOS ~]# vim /etc/ssh/sshd_config    --打开ssh服务配置文件
Port 222                  --启用，并修改这一行
PermitRootLogin no        --不允许root用户登陆
PermitEmptyPasswords no  --不允许空密码登陆
AllowUsers  tong@外网IP  tong1@外网IP      --只允许这两个用户在指定的IP登陆
[root@centos ~]# /etc/init.d/sshd restart
Stopping sshd:                                            [  OK  ]
Starting sshd:                                            [  OK  ]
[root@centos ~]# vim /etc/services
ssh            222/tcp            --修改这两行，端口与你修改的一至
ssh            222/udp
[root@centos ~]# vim /etc/sysconfig/iptables      --打开包过滤
-A INPUT -m state --state NEW -m tcp -p tcp --dport 222 -j ACCEPT
[root@centos ~]# /etc/init.d/iptables restart
iptables: Applying firewall rules:                        [  OK  ]
[root@centos ~]#

5.安装在Linux系统中文件完全性检查工具，它只是检查文件的增加，修改，删除，访问，不对文件备份和恢复，所以安装软件之前建议先将文件备份一下，以备往后文件恢复。
[root@208 pub]# tar xvf tripwire-2.4.2.2-src.tar.bz2
[root@208 pub]# cd tripwire-2.4.2.2-src
[root@208 tripwire-2.4.2.2-src]# ./configure  --prefix=/usr/local/tripwire/
......................输入accept放行
......................输入y确定
......................输入site密码
......................输入local密码
[root@208 tripwire-2.4.2.2-src]# make
[root@208 tripwire-2.4.2.2-src]# make install
[root@208 tripwire-2.4.2.2-src]# cd /usr/local/tripwire/etc/
[root@208 etc]# ll
total 60
-rw-r-----. 1 root root  931 Jan  6 11:44 208.184.97.119.broad.wh.hb.dynamic.163data.com.cn-local.key
-rw-r-----. 1 root root  931 Jan  6 11:44 site.key
-rw-r-----. 1 root root  4586 Jan  6 11:44 tw.cfg
-rw-r-----. 1 root root  598 Jan  6 11:44 twcfg.txt
-rw-r-----. 1 root root  598 Jan  6 11:44 twcfg.txt.default
-rw-r-----. 1 root root  4159 Jan  6 11:44 tw.pol
-rw-r-----. 1 root root  8679 Jan  6 13:03 twpol.txt
-rw-r-----. 1 root root 13806 Jan  6 11:44 twpol.txt.default
[root@208 etc]# vim twpol.txt
(
rulename = "file",      --定义规则名
)
{
/                  -> $(ReadOnly) ;    --监听根目录的文件
/home              -> $(ReadOnly) ;    --监听home目录的文件
/usr                -> $(ReadOnly) ;    --监听usr目录的文件
/var                -> $(ReadOnly) ;    --监听var目录的文件
}
[root@208 etc]# cd ../sbin/
[root@208 sbin]# ./tripwire --init    --生成基准数据库
[root@208 sbin]# ./tripwire --check    --只要是在定义监听的目录中添加修改文件就会被列出来
[root@208 sbin]# ./tripwire --check --rule-name "file"    --查看指定的规则名
[root@208 sbin]# ./tripwire --check  /home  /usr    --查看指定的目录