李 黎

（滁州職業(yè)技術(shù)學(xué)院，安徽滁州 239000）

個人電腦Linux系統(tǒng)下的安全設(shè)置與防護

李 黎

（滁州職業(yè)技術(shù)學(xué)院，安徽滁州 239000）

LinuX操作系統(tǒng)的安全設(shè)置與防護，設(shè)置了bios密碼，使用shadow的遮蔽加密功能，從提高密碼設(shè)置的科學(xué)性等方面強化解密的難度和強度。對根目錄的保密性的設(shè)置，禁止普通用戶訪問控制臺及刪除特殊帳戶強化使用權(quán)限。設(shè)定根用戶“root”的獨享權(quán)限，修改編輯inetd.conf文件，關(guān)閉不需要的服務(wù)，修改inetd屬性為不可修改，取消原系統(tǒng)中的默認安裝的不常用及根本用不到的服務(wù)。加強對訪問用戶的甄別及確認。減少系統(tǒng)不必要的歡迎信息加強系統(tǒng)免疫及多控制臺登陸模式。修改“host.conf”文件，加強“DNS”解析IP地址。

Linux系統(tǒng)；密碼安全；權(quán)限的安全設(shè)置

隨著正版計算機操作系統(tǒng)的推廣，很多用戶也越來越多地使用起國產(chǎn)的紅旗linux操作系統(tǒng)等一些linux操作系統(tǒng)軟件，同時一些軟件開發(fā)愛好者也更多的關(guān)注linux操作系統(tǒng)的使用。為保護計算機及數(shù)據(jù)信息安全。下面從密碼安全、權(quán)限控制、默認服務(wù)、系統(tǒng)信息等方面來闡述對linux操作系統(tǒng)安全的認識和設(shè)置。

1 加強密碼設(shè)置安全

1.1 置bios密碼

設(shè)置計算機開機引導(dǎo)的bios密碼，以防止bios中被改變了啟動順序，可以通過用其它方式啟動電腦，進入系統(tǒng)。主要是防止非法用戶進入LinuX操作系統(tǒng)。

1.2 科學(xué)設(shè)置密碼

為加強密碼設(shè)置的科學(xué)性及復(fù)雜程度，以設(shè)置數(shù)字、字母、符號相混合的密碼較好。修改默認密碼的長度也可以增加解密難度。Linux密碼默認的長度是5個字節(jié)，可以改設(shè)為8個字節(jié)。打開logindefs文件：把pass＿min＿len 5修改為pass＿min＿len 8保存文件即可。

1.2.1 使用shadow的遮蔽加密功能

使用shadow的遮蔽加密功能，對名為password項目口令進行加密。操作方法可以從文件名為usr用戶目錄路徑下的sbin目錄下的authconfig配置工具打開shadow隱藏功能實現(xiàn)之。

1.2.2 設(shè)定使用lilo.conf的密碼驗證

修改并重新編輯lilo.conf配置文件，修改參數(shù)如下：

通過以上設(shè)置，在啟動時要求密碼驗證。并把lilo.conf文件置于root根目錄的管理之下。

從以上幾個方面加強對密碼修改和設(shè)置是為了增加密碼破解的強度和難度，以此來提高的密碼的安全性。

2 加強使用權(quán)限的設(shè)置安全

2.1 對root根帳戶的保護性設(shè)置

在vi目錄etc路徑下profile目錄下編輯profile文件，在“histfilesize＝”項目下設(shè)置tmout＝3600。即用戶在一小時內(nèi)沒有操作，系統(tǒng)自動注銷帳戶。

2.2 禁止普通用戶訪問控制臺

取消普通用戶使用shutdown、reboot、halt等命令的訪問控制臺的訪問權(quán)限。設(shè)置如下。通過以下路徑找到并填寫禁止的命令。

注銷的程序名＞。

2.3 刪除特殊帳戶

刪除sync，shutdown，halt，news，uucp，operator，games，gopher等不用的缺省的用戶和組帳戶。

對以上不用的用戶和組刪除的方法操作如下：

刪除用戶寫入方法：［root＠kapil／］＃user1del LP。照此例寫入就可刪除名為user1的用戶。其它的用戶的刪除方法可以照此，在下一行再重新寫入。

刪除組的寫入方法：［root＠kapi1／］＃group1del LP。照此例寫入就可刪除名為group1的組。其它組的刪除方法也可以照此，在下一行再重新寫入。通過這些設(shè)置就可以很好地避免這些帳戶和組賬戶被人利用。

3 取消默認安裝并不使用的服務(wù)

有些服務(wù)是被默認安裝但并不使用，因此最好取消這些服務(wù)。這樣也可避免被木馬程序所利用同時也減少對計算機資源的占用。提高計算機運行速度。

查找“etc目錄下的inetd.conf”文件，在該項目前加“＃”取消你不用的服務(wù)。并利用“sighup”命令升級“inetd.conf”文件。編輯方法如下：

3.1 設(shè)定根用戶“root”的獨享權(quán)限：［root＠kapi1／］＃chmod 600／etc／inetd.conf，這樣只有root用戶可讀寫inetd.conf文件。

3.2 修改編輯inetd.conf文件，關(guān)閉不需要的服務(wù)項目。如：ftp，telnet，shell，login，pop3等服務(wù)項目如果不使用，可以將其并閉，以減少對外的聯(lián)系通道，增加系統(tǒng)的安全性。

3.3 修改inetd屬性［root＠kapil／］＃killall－HUP inetd。用chattr命令設(shè)定inetd為不可修改。［root＠kapil／］＃chatr＋i／etc／inetd.conf。這樣就可避免非法用戶利用服務(wù)項目侵擾系統(tǒng)。

4 加強對訪問用戶的確認

根據(jù)TCP＿WRAPPERS的協(xié)議功能，只允許所有允許訪問的主機訪問。編輯設(shè)置如下：

首先在hosts.deny文件加入：

禁止所有的主機訪問。下面再加入允許訪問的主機：

在hosts.allow文件中允許訪問的主機列表中加入ip地址和主機名稱并檢查之，如：ftp：192.168.12.18foo.com

運行tcpdchk程序：［root＠kapil／］＃tcpdchk

這樣就可以讓具有訪問權(quán)限的主機進入訪問，做到有效控制并加以管理。

5 防止和減少系統(tǒng)信息暴露的可能

5.1 隱藏系統(tǒng)中的一些不常用的信息和一些不必要的歡迎信息，設(shè)置如下：

修改設(shè)置如：telnet stream tcp nowait這些遠程傳輸?shù)墓δ芸梢噪[藏。按以下文件路徑打開：

打開并編輯“rc.local”文件，去掉文件中命令注釋用的“?！碧?。

刪除“／etc”目錄下的“isue.nte”，“issue.net”文件。

5.2 加強文件免疫功能，在文件配置屬性中，設(shè)置如下：

5.3 禁止多控制臺的登陸模式，設(shè)置如下：

編輯“securetty”文件，在不需要的登陸設(shè)備前加“?！奔纯伞?/p>

5.4 加強對root根目錄用戶的管理，禁止通過su命令設(shè)置為root根目錄用戶，在“su”文件的開頭添加設(shè)置如下：

6修改“host.conf”文件加入以下設(shè)置，加強“DNS”解析IP地址

檢測主機是否擁有多個的IP地址，加強對域名解析的分析與管理。禁止對主機未經(jīng)許可的欺騙，設(shè)置如下：

通過以上計算機系統(tǒng)屬性參數(shù)的修改與安全方面的優(yōu)化設(shè)置，用戶可以較好地保護Linux操作系統(tǒng)并提高計算機的安全性。為了更好地保護好計算機系統(tǒng)的安全，用戶需要經(jīng)常對系統(tǒng)進行維護和清理，修改必要的系統(tǒng)安全設(shè)置，以符合自己的安全要求，同時還要加強對病毒和木馬的防護和查殺，防止計算機系統(tǒng)被修改，安全上出現(xiàn)漏洞。

［1］ 孫瓊.嵌入式linux應(yīng)用程序開發(fā)詳解［M］.北京：人民郵電出版社，2006.

［2］ 紅旗Linux桌面應(yīng)用教程［M］.北京：電子工業(yè)出版社，2004.

［3］ （美）韋爾斯.Linux網(wǎng)絡(luò)與安全指南［M］.張震宇，劉偉，譯.北京：科學(xué)出版社，2006.

TP316.85

A

1671-8275（2012）01-0121-02

2011-11-28

李黎（1963-），男，安徽全椒人，滁州職業(yè)技術(shù)學(xué)院實驗師。

訾興建