一、系统安全记录文件

操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到internet，您发现有很多人对您的系统做telnet/ftp登录尝试，可以运行"userdel用户名

或者用以下的命令删除组用户账号。

#groupdelusername

4．口令文件

chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

chmod-r700/etc/rc.d/init.d/*

这样便仅有root可以读、写或执行上述所有脚本文件。

如果您不想任何人能够su作为root，可以编辑/etc/pam.d/su文件，增加如下两行：

authsufficient/lib/security/pam_rootok.sodebug

authrequired/lib/security/pam_wheel.sogroup=isd

这时，仅isd组的用户可以su作为root。此后，如果您希望用户admin能够su作为root，可以运行如下命令：

thiswilloverwrite/etc/issueateveryboot.so，makeanychangesyou

#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.

#echo"$r">>/etc/issue

#echo"kernel$(uname-r)on$a$(uname-m)">>/etc/issue

#cp-f/etc/issue/etc/issue.net

#echo>>/etc/issue

然后，进行如下操作：

#touch/etc/issue.net

三、限制网络访问

如果您使用nfs网络文件系统服务，应该确保您的/etc/exports具有最严格的访问权限设置，也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。

/dir/to/exporthost1.mydomain.com(ro，root_squash)

/dir/to/export是您想输出的目录，host.mydomain.com是登录这个目录的机器名，ro意味着mount成只读系统，root_squash禁止root写入该目录。为了使改动生效，运行如下命令。

chmod600/etc/inetd.conf

然后，编辑/etc/inetd.conf禁止以下服务。

ftptelnetshellloginexectalkntalkimappop-2pop-3fingerauth

如果您安装了ssh/scp，也可以禁止掉telnet/ftp。为了使改变生效，运行如下命令：

tcpdchk　

tcpchk是tcp_wrapper配置检查工具，它检查您的tcpwrapper配置并报告所有发现的潜在/存在的问题。

/etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，您可以编辑/etc/securetty且注释掉如下的行。

#tty6

这时，root仅可在tty1终端登录。

4．避免显示系统和版本信息。

如果您希望远程登录用户看不到系统和版本信息，可以通过一下操作改变/etc/inetd.conf文件：

telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-

加-h表示telnet不显示系统信息，而仅仅显示"login:"。

四、防止攻击

1．阻止ping如果没人能ping通您的系统，安全性自然增加了。为此，可以在/etc/rc.d/rc.local文件中增加如下一行：

echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all

2．防止ip欺骗

编辑host.conf文件并增加如下几行来防止ip欺骗攻击。

nospoofon　

3．防止dos攻击

对系统所有的用户设置资源限制可以防止dos类型攻击。如最大进程数和内存使用数量等。例如，可以在/etc/security/limits.conf中添加如下几行：

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。

sessionrequired/lib/security/pam_limits.so

上面的命令禁止调试文件，限制进程数为50并且限制内存使用为5mb。

以上就是如何增强Linux和Unix服务器的安全性的详细内容，更多请关注主机测评网其它相关文章！