Linux系统深度安全加固(2)

　　　4.文件系统权限
　　
　　　　找出系统中所有含s"位的程序,把不必要的"s"位去掉,或者把根本不用的直接删除,这样可以防止用户滥用及提升权限的可能性,其命令如下:
　　　　　javascript:window.open(this.src);" style="CURSOR: pointer" onload="return imgzoom(this,550)">
　　　　 把重要文件加上不可改变属性:
　　　　　
　　　　具体视需要而定,有些exploit溢出后会向inetd.conf写一条语句绑定shell在一个端口监听,此时这条命令就起作用,浅薄的入侵者会以为溢出不成功.
　　　　找出系统中没有属主的文件:
　　　　　
　　　　找出任何都有写权限的文件和目录:
　　　　　
　　　　防止入侵者向其中写入木马语句(诸如一个shell的拷贝)或继承属主权限而非法访问;找出并加固那些历来被入侵者利用的文件.比如.rhosts.
　　　　ftp的上传目录不能给与执行权限,如提供可运行CGI的虚拟主机服务,应该做额外安全配置.编etc/security/limits.conf,加入或改变如下行:
　　　　　
　　
　　　　 5.Banner伪装
　　
　　　　入侵者通常通过操作系统、服务及应用程序版本来攻击，漏油列表和攻击程也是按此来分类，所以我们有必要作点手脚来加大入侵的难度。
　　　　更改／etc/issue,因为reboot后重新加载，所以编辑/etc/rc.d/rc.local如下：
　　　　　
　　　　对于Apache的配置文件，找到ServerTokens和ServerSignature两个directive，修改其默认属性如下，使用不回显版本号：
　　　　　
　　　　同时修改uname文件，搜索uname.c的源码，找到如下行：
　　　　　
　　
　　　　　
　　　　将其修改为:
　　　　
　　　　其他服务及程序的修改可以查看其配置文件或者源码，不要改太多，否则会给系统管理带来大麻烦。
　　　　（未完待续）

原文转自：http://www.ltesting.net