最近加入了不少极具吸引力
新成员比如SELinux、AppArmor以及各种形式虚拟化技术
给你自己30分钟来学着运行Bastille吧
不用担心:我们想法就是边学边做刚开始
系列提示会问你是否想对某些特定命令禁用SUID root bit(该选项能让普通用户运行需要root权限命令)乍看你可能会想“我当然不需要SUID root命令!这是个多么明显安全漏洞啊!”但不要急着说yes比如说你真需要进行root登录才能使用mount或ping命令?如果这样未经授权用户就无法安装像CD这种可卸载媒介;而ping其实也不会带来什么大危害如果你回答“Yes”但随后改变了主意可以使用下面chmod命令来重置SUID bit:以下是引用片段:
# chmod u+s ping=Apple-converted-space>
无论如何你都应该定期检查启用了SUID
文件只需要注意下系统受到潜在破坏或忘掉了尝试性修改可以使用下面命令查看这些文件列表:以下是引用片段:
# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -l {} \;=Apple-converted-space>
下面是你会遇到
些提示问题:Bastille是否应该禁用基于IP进行用户认证
明文r-协议?(Should Bastille disable clear-text r-protocols that use IP-based authentication?)回答Yes
这个选项针对rsh、rlogin、rcp和rdist它们在所有数据传输中都使用明文你无论如何都不应该使用它们
它们早就被ssh和scp替代了你是否想用密码保护单用户模式?(Would you like to password protect single-user mode?)
回答Yes
如果没有密码任何人就都能通过重启进入单用户模式来获得root权限Bastille是否应该确保telnet服务不在本系统上运行?(Should Bastille ensure the telnet service does not run _disibledevent=>
你可以在/etc/security/limits.conf中修改这些限制
你是否想添加额外
日志?(Would you like to add additional logging?)回答Yes
你应该这么做尽管防火墙脚本相当不错
但它没有提供足够信息来告诉你对每个端口应该如何做看下这个危险TCP/IP端口列表你需要自己确定是否要在防火墙中为某些服务打开相应端口例如为SSH、DNS或Web服务器等等Bastille可以接受端口号或者服务名称依据是/etc/services文件这个网页列出了ICMP类型在你想监视它们或想了解它们是什么时候可以参考你不能阻止所有ICMP消息否则就可能搞乱基本网络功能;Bastille默认设置就挺不错ICMP攻击详解这个链接是
个很好ICMP隐患指南到最后
你既可以激活所做更改又能返回进行修改Bastille会告诉你如何开始、停止和测试你防火墙脚本可以在/etc/Bastille目录下看到新脚本并在/var/log/Bastille目录下看到所有活动份记录在区别
服务器和台式电脑上照这样多做几次你就能很好地学会基本Linux系统安全强化知识
最新评论