在网络上有很多垃圾在扫描root账户，因此有必要做好linux安全防范工作！

以下是一些安全设置，仅当参考：

1、远程5分钟无操作自动注销:
vim /etc/profile
export TMOUT=300   —5分钟自动注销下来
找到
HISTSIZE=1000
修改为:
HISTSIZE=100 –减少日记字节为100KB,太大内容过多容易漏重要信息.

2、修改SSH 端口
vi /etc/ssh/sshd_config
Port 22 修改
PermitEmptyPasswords no 把#注销掉-禁止空密码帐户登入服务器!
MaxAuthTries 2 两次不行就切断重新SSH启动登入

3、修改文件属性
chmod 700 /bin/rpm  ‘只有root权限用户才可以使用rpm命定,安装软件包
chmod 664 /etc/hosts
chmod 644 /etc/passwd
chmod 644 /etc/exports
chmod 644 /etc/issue
chmod 664 /var/log/wtmp
chmod 664 /var/log/btmp
chmod 644 /etc/services
chmod 600 /etc/shadow
chmod 600 /etc/login.defs
chmod 600 /etc/hosts.allow
chmod 600 /etc/hosts.deny
chmod 600 /etc/securetty
chmod 600 /etc/security
chmod 600 /etc/ssh/ssh_host_key
chmod 600 /etc/ssh/sshd_config
chmod 600 /var/log/lastlog
chmod 600 /var/log/messages

4、禁止ping 用户使用ping不做任何反映
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all — 禁止ping
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all — 解除禁止ping操作

5、禁止IP伪装
vi /etc/host.conf
在里面加上：
nospoof on

6、防止DOS攻击:
vi /etc/security/limits.conf
加入以下配置:
*               hard   core            0
*               hard    rss             10000
*               hard    nproc           20

以上根据需求而论！

7、修改root帐户密码越复杂越好:
(1)、含有大小写字母；
(2)、含有数字；
(3)、含有字符；
(4)、不用自己生日等常关联的字母数字及字符。

8、删除部分不需要的用户和组：
# cut -d: -f1 /etc/passwd # 查看系统所有用户
# cut -d: -f1 /etc/group # 查看系统所有组
userdel adm
userdel lp
userdel news
userdel uucp
userdel games
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip

9、垃圾IP封杀
more /var/log/secure

首先通过以上命定观察多次扫描欲远程登入服务器的垃圾IP；
然后在
vi /etc/hosts.deny
增加：(这以61.131.47.157这个垃圾IP为例！)
sshd:61.131.47.157

保存即可！

本文地址：http://www.jwzzsw.com/archives/1122.html