Linux安全配置步驟大全 (4)

root 5576 Apr 17 12:57 /usr/bin/newgrp
    *-rwxr-sr-x 1 root tty 8392 Apr 17 12:57 /usr/bin/write
    -rwsr-x--- 1 root squid 14076 Oct 7 14:48 /usr/lib/squid/pinger
    -rwxr-sr-x 1 root utmp 15587 Jun 9 09:30 /usr/sbin/utempter
    *-rwsr-xr-x 1 root root 5736 Apr 19 15:39 /usr/sbin/usernetctl
    *-rwsr-xr-x 1 root bin 16488 Jul 6 09:35 /usr/sbin/traceroute
    -rwsr-sr-x 1 root root 299364 Apr 19 16:38 /usr/sbin/sendmail
    -rwsr-xr-x 1 root root 34131 Apr 16 18:49 /usr/libexec/pt_chown
    -rwsr-xr-x 1 root root 13208 Apr 13 14:58 /bin/su
    *-rwsr-xr-x 1 root root 52788 Apr 17 15:16 /bin/mount
    *-rwsr-xr-x 1 root root 26508 Apr 17 20:26 /bin/umount
    *-rwsr-xr-x 1 root root 17652 Jul 6 09:33 /bin/ping
    -rwsr-xr-x 1 root root 20164 Apr 17 12:57 /bin/login
    *-rwxr-sr-x 1 root root 3860 Apr 19 15:39 /sbin/netreport
    -r-sr-xr-x 1 root root 46472 Apr 17 16:26 /sbin/pwdb_chkpwd
    [root@deep]# chmod a-s /usr/bin/chage
    [root@deep]# chmod a-s /usr/bin/gpasswd
    [root@deep]# chmod a-s /usr/bin/wall
    [root@deep]# chmod a-s /usr/bin/chfn
    [root@deep]# chmod a-s /usr/bin/chsh
    [root@deep]# chmod a-s /usr/bin/newgrp
    [root@deep]# chmod a-s /usr/bin/write
    [root@deep]# chmod a-s /usr/sbin/usernetctl
    [root@deep]# chmod a-s /usr/sbin/traceroute
    [root@deep]# chmod a-s /bin/mount
    [root@deep]# chmod a-s /bin/umount
    [root@deep]# chmod a-s /bin/ping
    [root@deep]# chmod a-s /sbin/netreport
   
    你可以用下面的命令查找所有帶s位標志的程序：
   
    [root@deep]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;
   
    >; suid-sgid-results
   
    把結果輸出到文件suid-sgid-results中。
   
    為了查找所有可寫的文件和目錄，用下面的命令：
   
    [root@deep]# find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; >; ww-files-results
   
    [root@deep]# find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \; >; ww-directories-results
   
    用下面的命令查找沒有擁有者的文件：
   
    [root@deep]# find / -nouser -o -nogroup >; unowed-results
   
    用下面的命令查找所有的.rhosts文件：
   
    [root@deep]# find /home -name .rhosts >; rhost-results
   
    建議替換的常見網絡服務應用程序
   
    WuFTPD
   
    WuFTD從1994年就開始就不斷地出現安全漏洞，黑客很容易就可以獲得遠程root訪問（Remote Root Access）的權限，而且很多安全漏洞甚至不需要在FTP服務器上有一個有效的帳號。最近，WuFTP也是頻頻出現安全漏洞。
   
    它的最好的替代程序是ProFTPD。ProFTPD很容易配置，在多數情況下速度也比較快，而且它的源代碼也比較干凈（緩沖溢出的錯誤比較少）。有許多重要的站點使用ProFTPD。sourceforge.net就是一個很好的例子（這個站點共有3,000個開放源代碼的項目，其負荷并不小�。。�。一些Linux的發行商在它們的主FTP站點上使用的也是ProFTPD，只有兩個主要Linux的發行商（SuSE和Caldera）使用WuFTPD。
   
    ProFTPD的另一個優點就是既可以從inetd運行又可以作為單獨的daemon運行。這樣就可以很容易解決inetd帶來的一些問題，如：拒絕服務的攻擊（denial of service attack），等等。系統越簡單，就越容易保證系統的安全。WuFTPD要么重新審核一遍全部的源代碼（非常困難），要么完全重寫一遍代碼，否則 WuFTPD必然要被ProFTPD代替。
   
    Telnet
   
    Telnet是非常非常不安全的，它用明文來傳送密碼。它的安全的替代程序是OpenSSH。
   
    OpenSSH在Linux上已經非常成熟和穩定了，而且在Windows平臺上也有很多免費的客戶端軟件。Linux的發行商應該采用OpenBSD的策略：安裝OpenSSH并把它設置為默認的，安裝Telnet但是不把它設置成默認的。對于不在美國的Linux發行商，很容易就可以在Linux的發行版中加上OpenSSH。美國的Linux發行商就要想一些別的辦法了（例如：Red Hat在德國的FTP服務器上（ftp.redhat.de）就有最新的OpenSSH的rpm軟件包）。
   
    Telnet是無可救藥的程序。要保證系統的安全必須用OpenSSH這樣的軟件來替代它。
   
    Sendmail
   
    最近這些年，Sendmail的安全性已經提高很多了（以前它通常是黑客重點攻擊的程序）。然而，Sendmail還是有一個很嚴重的問題。一旦出現了安全漏洞（例如：最近出現的Linux內核錯誤），Sendmail就是被黑客重點攻擊的程序，因為Sendmail是以root權限運行而且代碼很龐大容易出問題。
   
    幾乎所有的Linux發行商都把Sendmail作為默認的配置，只有少數幾個把Postfix或Qmail作為可選的軟件包。但是，很少有Linux的發行商在自己的郵件服務器上使用Sendmail。SuSE和Red Hat都使用基于Qmail的系統。
   
    Sendmail并不一定會被別的程序完全替代。但是它的兩個替代程序Qmail和Postfix都比它安全、速度快，而且特別是Postfix比它容易配置和維護。
   
    su
   
    su是用來改變當前用戶的ID，轉換成別的用戶。你可以以普通用戶登錄，當需要以root身份做一些事的時候，只要執行“su”命令，然后輸入root的密碼。su本身是沒有問題的，但是它會讓人養成不好的習慣。如果一個系統有多個管理員，必須都

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]