Linux安全：步步设防（1）(3)

上一篇 / 下一篇 2008-02-29 10:36:44

限制root登录的终端窗口
修改/etc/securetty文件，用来防止通过登录穷举法突破安全防线。一旦root不能直接登录，只能通过su来切换用户，并且受到pam.d的限制，即将通过该方式的突破几率降低。

/etc/securetty
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11

#屏蔽终端窗口的root登录，并可以限制同时打开终端的个数。

#tty1
#tty2
#tty7
#tty8
#tty9

;另外，还应该限制终端窗口中的历史记录。修改/etc/profile文件，必要时需更改用户目录下的profile文件。

/etc/profile
#限制键入命令的历史记录在20条内，这是类似doskey的功能
HISTSIZE = 20
#限制记录键入命令历史的文件大小
HISTFILESIZE = 20
#设定终端窗口无任何操作时600秒后退出，该设置不适用于所有窗口
TMOUT =600

备份重要的文件
很多木马、蠕虫和后门都会用替换重要文件的办法隐藏自己，将最重要和常用的命令备份是好习惯。准备一套只读介质，光盘或者优盘，甚至放到网上下载都可以。总之是在必要时使用原始的命令而不是系统中可能被感染的命令。需要注意备份的如下：

/bin/su
/bin/ps
/bin/rpm
/usr/bin/top
/sbin/ifconfig
/bin/mount