歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux綜合 >> Linux資訊 >> 更多Linux

從啟動開始保障LINUX系統安全

  目前在操作系統業界公認的安全和穩定的還要屬Linux或UNIX系統了,相比windows操作系統來說linux出現漏洞比較少,一般黑客工具也都是針對windows系統的。但是並不是說我們安裝並使用了linux就可以高枕無憂了。在實際工作中我們仍然需要對LINUX系統采取必要的安全防范工作。筆者就自己的經驗為各位IT168讀者介紹如何有效的提高LINUX的啟動安全。    一,卸載LILO防止入侵:    為了便於維護、修復系統,幾乎所有的類UNIX系統都提供了在啟動時進入單用戶模式的方法,而且有些不需要口令就可以直接得到root shell,Linux就是其中之一。對於RedHat Linux,只要在LILO提示符後面輸入linux single;對於Turbo Linux,在LILO提示符後面輸入linux init1就可以得到root shell。具體方式請參考用戶使用的Linux版本的說明。

    一般來說,作為服務器,系統應該只存在Linux這個單一的操作系統,也就是說,LILO只要啟動Linux就可以了,那麼如果我們將LILO刪除不就可以防止非法用戶通過LILO的單用戶模式繞過密碼驗證的入侵了嗎?我們只需要運行下面的命令就可以卸掉LILO。    #/sbin/LILO-u

    小提示:    使用該命令是很簡單的,但是要確保Linux所在的分區一定是服務器的當前活動分區,如果是用其他的啟動工具(如Systerm Command、NTOSLoader)來引導Linux的,多半還要重新設置啟動工具。     二,為LILO的單用戶模式加密碼:    可能有的讀者會說卸載LILO會帶來一定的不方便,畢竟有一個啟動界面還是大家習慣的。那麼能否在不卸載LILO的情況下加強LINUX啟動安全級別呢?方法是有的,我們可以為Linux的單用戶模式加上口令,只要在/etc/LILO.conf文件中加上下面兩行:

    restricted    passWord=你設置的口令    另外還需要在/etc/LILO.conf文件中加上:    prompt

    通過上面的設置,LILO將一直等待用戶選擇操作系統,但是,如果有timeout這個選項,則時間到達後,用戶沒有做出選擇,LILO 就會自行引導默認的系統。

    這裡列舉一個LILO.conf的例子:    boot=/dev/sda    map=/boot/map    install=/boot/boot.b    prompt    timeout=50    message=/boot/message    linear    default=linux    image=/boot/vmlinuz-2.4.4-2    label=linux    initrd=/boot/initrd-2.4.2-2.img    read-only    root=/dev/sda5    restricted    password=!#$%^12345

    上面的LILO.conf有以下的功能。以/boot/vmlinuz-2.4.2內核來啟動系統,它存放在SUSI1硬盤的MBR之後的第1個分區上,如果用參數“linux single”來啟動Linux,timeout選項將給出5秒鐘的時間用於接受口令。其中,message=/boot/message讓LILO以圖形模式顯示,如果去掉這一行,那麼,LILO將以傳統的文本模式顯示。Linear作用是使LILO生成線性地址,而不使用通常的Sector/Head/Cylinder機制。Linux地址機制可以不依賴磁盤的物理結構。




    因為LILO的口令是以明文形式存在的,所以一定要確保LILO.conf變成僅root可以讀寫,其設置方法是執行:    #chmod 600/etc/LILO.conf    #chattr+i/etc/LILO.conf    然後必須進行下面的執行才能是LILO生效:    #/sbin/LILO    將會顯示“Added linux”,表示LILO已經生效。

    雖然重新啟動並不是必須要做的,但是用戶最好還是通過重新啟動一次來檢查一下對LILO所做的修改是否真的已經生效。

    另外為了防止LILO.conf無意或由於其他原因被修改,應該將/etc/LILO.conf設置為不可更改,其設置方法是執行:    #chattr +i/etc/LILO.conf    日後若要修改LILO.conf文件,必須先去掉該文件的不可更改的屬性:    #chattr ?i/etc/LILO.conf

    小提示:    只有root用戶可以對文件設置不可更改的屬性。

    現在版本的Linux的LILO是圖形界面的,要進入單用戶模式,只需在LILO界面出現之後,按快捷鍵Ctrl+X就會進入文本模式,然後輸入“linux single”就可以了。    三,給GRUB加一把鎖    Linux世界在很長一段時間裡一直使用LILO,而且它可以讓上百萬的Linux用戶引導系統。LILO確實很有效。但是LILO的維修率很高,而且很不靈活。從RedHat Linux7.2起,GRUB(Grand Unified Bootloader)就取代LILO成為了默認的啟動裝載程序,可見GRUB大有過人之處。不過相對於LILO來說,大家對GRUB還是要陌生一些。

    在Linux中,當談到root文件系統時,通常是指主Linux分區。但是,GRUB有它自己的root分區定義。GRUB的root分區是保存Linux內核的分區。這可能是你的正式root文件系統,也可能不是。例如,在Gentoo Linux中,有一個單獨的小分區專用於保存Linux內核與引導信息。大多數情況下,我們不安裝這個分區,這樣在系統以外崩潰或重新引導時,就不會把它弄亂。

    在LILO.conf中,最多有16個操作系統選項,它比GRUB有更大的靈活性。LILO.conf配置文件主要分為兩部分:一部分是全局配置,另一部分是引導配置,“#”表示注釋。與LILO相比,GRUB有更強的交互性。LILO要求用戶十分明白每個參數才能很好地掌握;而GRUB則更加看中用戶的交互性,兩者在bootloader中不分伯仲。和LILO的口令的作用不同,GRUB的口令只用於防止用戶修改菜單直接進入Single user mode。

    在安裝Linux的時候,在選擇GRUB作引導程序後需要設置GRUB的口令。當然如果在安裝GRUB的時候沒有設置口令,可以參照以下方法給GRUB加口令:

    第一步:啟動系統後出現GRUB的畫面,按C鍵進入命令方式。

    第二步:輸入命令md5crypt:    grub>md5crypt    Password:********    Encrypted:$1$5R.2$OanRg6GT.Tj3uJZzb.hye0

    第三步:然後將加密的密碼拷貝到/boot/grub/grub.conf中password的一行。如筆者的grub.conf文件如下:    timeout=25    splashimage=(hd0,5)/grub/splash.XPm.gz    password―md5  $1$5R.2$OanRg6GT.Tj3uJZzb.hye0    #boot=/dev/had    defaule=1    title Red Hat Linux(2.4.20-8)    root(hd0,5)    kernel/vmlinuz-2.4.20-8 ro root=/dev/hda7    initrd/initrd-2.4.20-8.img    title Windows XP    rootnoverify(hd0,0)    chainloader +1    我們可以看到,GRUB 的口令是經過MD5加密的,這一點和LILO所使用的密碼是明文有所不同。

    四,將Ctrl+Alt+Del“禁”行到底:    為防止用戶執行三指敬禮“Ctrl+Alt+Del”來重新啟動Linux服務器,這也是攻擊。我們可以使用root身份修改/etc/inittab文件,在“ca::ctaaltdel:/sbin/shutdown-t3-r now”一行前面加上#注釋掉,然後重新設置/etc/rc.d/init.d目錄下所有文件的許可權限:    #chmod-R700/etc.rc.d/init.d/*    這樣就只有root超級用戶才可以讀寫並執行上述所有的腳本文件。最後執行:    #/sbin/init q    使上面的設置生效。



    設置完畢後一般的用戶就無法使用Ctrl+Alt+Del來重新啟動linux服務器了,只有你這個網絡管理員root才可以做的到。    總結:    提高linux系統安全的手段和措施有很多種,本篇文章只是就啟動時刻的lilo和grub安全介紹了幾個方法,各位IT168的讀者可以根據自己LINUX啟動使用情況自行采取行動。



    設置完畢後一般的用戶就無法使用Ctrl+Alt+Del來重新啟動linux服務器了,只有你這個網絡管理員root才可以做的到。    總結:    提高linux系統安全的手段和措施有很多種,本篇文章只是就啟動時刻的lilo和grub安全介紹了幾個方法,各位IT168的讀者可以根據自己LINUX啟動使用情況自行采取行動。



Copyright © Linux教程網 All Rights Reserved