Linux安全配置步骤大全 (4)

root 5576 Apr 17 12:57 /usr/bin/newgrp
    *-rwxr-sr-x 1 root tty 8392 Apr 17 12:57 /usr/bin/write
    -rwsr-x--- 1 root squid 14076 Oct 7 14:48 /usr/lib/squid/pinger
    -rwxr-sr-x 1 root utmp 15587 Jun 9 09:30 /usr/sbin/utempter
    *-rwsr-xr-x 1 root root 5736 Apr 19 15:39 /usr/sbin/usernetctl
    *-rwsr-xr-x 1 root bin 16488 Jul 6 09:35 /usr/sbin/traceroute
    -rwsr-sr-x 1 root root 299364 Apr 19 16:38 /usr/sbin/sendmail
    -rwsr-xr-x 1 root root 34131 Apr 16 18:49 /usr/libexec/pt_chown
    -rwsr-xr-x 1 root root 13208 Apr 13 14:58 /bin/su
    *-rwsr-xr-x 1 root root 52788 Apr 17 15:16 /bin/mount
    *-rwsr-xr-x 1 root root 26508 Apr 17 20:26 /bin/umount
    *-rwsr-xr-x 1 root root 17652 Jul 6 09:33 /bin/ping
    -rwsr-xr-x 1 root root 20164 Apr 17 12:57 /bin/login
    *-rwxr-sr-x 1 root root 3860 Apr 19 15:39 /sbin/netreport
    -r-sr-xr-x 1 root root 46472 Apr 17 16:26 /sbin/pwdb_chkpwd
    [root@deep]# chmod a-s /usr/bin/chage
    [root@deep]# chmod a-s /usr/bin/gpasswd
    [root@deep]# chmod a-s /usr/bin/wall
    [root@deep]# chmod a-s /usr/bin/chfn
    [root@deep]# chmod a-s /usr/bin/chsh
    [root@deep]# chmod a-s /usr/bin/newgrp
    [root@deep]# chmod a-s /usr/bin/write
    [root@deep]# chmod a-s /usr/sbin/usernetctl
    [root@deep]# chmod a-s /usr/sbin/traceroute
    [root@deep]# chmod a-s /bin/mount
    [root@deep]# chmod a-s /bin/umount
    [root@deep]# chmod a-s /bin/ping
    [root@deep]# chmod a-s /sbin/netreport
   
    你可以用下面的命令查找所有带s位标志的程序：
   
    [root@deep]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \;
   
    >; suid-sgid-results
   
    把结果输出到文件suid-sgid-results中。
   
    为了查找所有可写的文件和目录，用下面的命令：
   
    [root@deep]# find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; >; ww-files-results
   
    [root@deep]# find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \; >; ww-directories-results
   
    用下面的命令查找没有拥有者的文件：
   
    [root@deep]# find / -nouser -o -nogroup >; unowed-results
   
    用下面的命令查找所有的.rhosts文件：
   
    [root@deep]# find /home -name .rhosts >; rhost-results
   
    建议替换的常见网络服务应用程序
   
    WuFTPD
   
    WuFTD从1994年就开始就不断地出现安全漏洞，黑客很容易就可以获得远程root访问（Remote Root Access）的权限，而且很多安全漏洞甚至不需要在FTP服务器上有一个有效的帐号。最近，WuFTP也是频频出现安全漏洞。
   
    它的最好的替代程序是ProFTPD。ProFTPD很容易配置，在多数情况下速度也比较快，而且它的源代码也比较干净（缓冲溢出的错误比较少）。有许多重要的站点使用ProFTPD。sourceforge.net就是一个很好的例子（这个站点共有3,000个开放源代码的项目，其负荷并不小啊！）。一些Linux的发行商在它们的主FTP站点上使用的也是ProFTPD，只有两个主要Linux的发行商（SuSE和Caldera）使用WuFTPD。
   
    ProFTPD的另一个优点就是既可以从inetd运行又可以作为单独的daemon运行。这样就可以很容易解决inetd带来的一些问题，如：拒绝服务的攻击（denial of service attack），等等。系统越简单，就越容易保证系统的安全。WuFTPD要么重新审核一遍全部的源代码（非常困难），要么完全重写一遍代码，否则 WuFTPD必然要被ProFTPD代替。
   
    Telnet
   
    Telnet是非常非常不安全的，它用明文来传送密码。它的安全的替代程序是OpenSSH。
   
    OpenSSH在Linux上已经非常成熟和稳定了，而且在Windows平台上也有很多免费的客户端软件。Linux的发行商应该采用OpenBSD的策略：安装OpenSSH并把它设置为默认的，安装Telnet但是不把它设置成默认的。对于不在美国的Linux发行商，很容易就可以在Linux的发行版中加上OpenSSH。美国的Linux发行商就要想一些别的办法了（例如：Red Hat在德国的FTP服务器上（ftp.redhat.de）就有最新的OpenSSH的rpm软件包）。
   
    Telnet是无可救药的程序。要保证系统的安全必须用OpenSSH这样的软件来替代它。
   
    Sendmail
   
    最近这些年，Sendmail的安全性已经提高很多了（以前它通常是黑客重点攻击的程序）。然而，Sendmail还是有一个很严重的问题。一旦出现了安全漏洞（例如：最近出现的Linux内核错误），Sendmail就是被黑客重点攻击的程序，因为Sendmail是以root权限运行而且代码很庞大容易出问题。
   
    几乎所有的Linux发行商都把Sendmail作为默认的配置，只有少数几个把Postfix或Qmail作为可选的软件包。但是，很少有Linux的发行商在自己的邮件服务器上使用Sendmail。SuSE和Red Hat都使用基于Qmail的系统。
   
    Sendmail并不一定会被别的程序完全替代。但是它的两个替代程序Qmail和Postfix都比它安全、速度快，而且特别是Postfix比它容易配置和维护。
   
    su
   
    su是用来改变当前用户的ID，转换成别的用户。你可以以普通用户登录，当需要以root身份做一些事的时候，只要执行“su”命令，然后输入root的密码。su本身是没有问题的，但是它会让人养成不好的习惯。如果一个系统有多个管理员，必须都

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]