這個主機安全方案怎么配啊？

youxi423

小弟最近才接觸LINUX，公司項目用的是REHL5.2，設計的主機安全方案如下，我不是很清楚該怎么配置，請各位高手指點一下，謝謝。

1、嚴格限制用戶錯誤登錄嘗試次數(shù)。
2、禁止賦予文件或者目錄777或者666的權限。
3、屏蔽TELNET登錄改用SSH登錄。
4、禁止root用戶直接遠程登錄權限。

5、禁止root等系統(tǒng)用戶ftp權限。
6、限制ftp權限用戶必須在自家目錄并規(guī)范使用。
7、不給ftp權限用戶以文件的執(zhí)行權限。

再次感謝。

marsaber

1、嚴格限制用戶錯誤登錄嘗試次數(shù)。
：這個不錯，iptables可以實現(xiàn)；另外還可以使用密鑰登錄。

2、禁止賦予文件或者目錄777或者666的權限。
：這個限制有點嚴格吧？也沒有考慮過。

3、屏蔽TELNET登錄改用SSH登錄。
：RHEL5.2默認是不支持telnet的，只有ssh。

4、禁止root用戶直接遠程登錄權限。
：這個很簡單，修改/etc/ssh/sshd_config中關于root登錄的那行（具體哪行自己查去）；

5、禁止root等系統(tǒng)用戶ftp權限。
：vsftpd默認是不允許root用戶登錄的，至于你后面的那個"等"字該如何理解？

6、限制ftp權限用戶必須在自家目錄并規(guī)范使用。
：這個也可以實現(xiàn)；具體的請man vsftpd.conf

7、不給ftp權限用戶以文件的執(zhí)行權限。
：這個也可以實現(xiàn)；具體的請man vsftpd.conf

emmoblin

lz可以研究一下SElinux，可以幫你一部分忙

4℃華客

原帖由 marsaber 于 2009-10-12 22:32 發(fā)表
1、嚴格限制用戶錯誤登錄嘗試次數(shù)。
：這個不錯，iptables可以實現(xiàn)；另外還可以使用密鑰登錄。

2、禁止賦予文件或者目錄777或者666的權限。
：這個限制有點嚴格吧？也沒有考慮過。

3、屏蔽TELNET登錄改 ...

===================================
方案不錯。

限制用戶錯誤登陸的嘗試次數(shù)，沒有必要用iptables，系統(tǒng)本身可以。具體查一下。

限制文件及目錄的權限，是相當必要的。這個是不可小看的。

另外。要看自己的服務器跑什么。

比較變態(tài)的iptables幫你解決了一切安全上的問題。

rainbow

方案挺好，慢慢配吧。

freemongolia

1、嚴格限制用戶錯誤登錄嘗試次數(shù)。
編輯sshd.conf禁止密碼方式登陸(PasswordAuthenticationno)

2、禁止賦予文件或者目錄777或者666的權限。
用戶umask?

3、屏蔽TELNET登錄改用SSH登錄。
本來就不能telnet

4、禁止root用戶直接遠程登錄權限。
編輯sshd.conf,禁止root登陸（PermitRootLogin no）

5、禁止root等系統(tǒng)用戶ftp權限。
編輯vsftpd.conf，設定哪里用戶可以登陸（默認/etc/vsftpd/ftpuser中的用戶都不可以登陸包括root）

6、限制ftp權限用戶必須在自家目錄并規(guī)范使用。
編輯vsftpd.conf，設定chroot并寫上具體用戶

7、不給ftp權限用戶以文件的執(zhí)行權限。
編輯vsftpd.conf，設定umask

marsaber

原帖由 freemongolia 于 2009-10-13 18:01 發(fā)表
5、禁止root等系統(tǒng)用戶ftp權限。
編輯vsftpd.conf，設定哪里用戶可以登陸（默認/etc/vsftpd/ftpuser中的用戶都不可以登陸包括root）

默認就是不允許root登錄的，/etc/vsftpd/下有兩個文件控制著呢（具體哪兩個文件我忘了）。

原帖由 freemongolia 于 2009-10-13 18:01 發(fā)表
6、限制ftp權限用戶必須在自家目錄并規(guī)范使用。
編輯vsftpd.conf，設定chroot并寫上具體用戶

應該不是吧？
添加這么一句：chroot_local_user=yes    //只允許系統(tǒng)用戶登錄后在自己的home目錄內(nèi)活動。