分享
 
 
 

从启动开始保障LINUX系统安全

王朝system·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

目前在操作系统业界公认的安全和稳定的还要属linux或UNIX系统了,相比windows操作系统来说linux出现漏洞比较少,一般黑客工具也都是针对windows系统的。但是并不是说我们安装并使用了linux就可以高枕无忧了。在实际工作中我们仍然需要对LINUX系统采取必要的安全防范工作。笔者就自己的经验为各位IT168读者介绍如何有效的提高LINUX的启动安全。

一,卸载LILO防止入侵:

为了便于维护、修复系统,几乎所有的类UNIX系统都提供了在启动时进入单用户模式的方法,而且有些不需要口令就可以直接得到root shell,Linux就是其中之一。对于RedHat Linux,只要在LILO提示符后面输入linux single;对于Turbo Linux,在LILO提示符后面输入linux init1就可以得到root shell。具体方式请参考用户使用的Linux版本的说明。

一般来说,作为服务器,系统应该只存在Linux这个单一的操作系统,也就是说,LILO只要启动Linux就可以了,那么如果我们将LILO删除不就可以防止非法用户通过LILO的单用户模式绕过密码验证的入侵了吗?我们只需要运行下面的命令就可以卸掉LILO。

#/sbin/LILO-u

小提示:

使用该命令是很简单的,但是要确保Linux所在的分区一定是服务器的当前活动分区,如果是用其他的启动工具(如Systerm Command、NTOSLoader)来引导Linux的,多半还要重新设置启动工具。

二,为LILO的单用户模式加密码:

可能有的读者会说卸载LILO会带来一定的不方便,毕竟有一个启动界面还是大家习惯的。那么能否在不卸载LILO的情况下加强LINUX启动安全级别呢?方法是有的,我们可以为Linux的单用户模式加上口令,只要在/etc/LILO.conf文件中加上下面两行:

restricted

password=你设置的口令

另外还需要在/etc/LILO.conf文件中加上:

prompt

通过上面的设置,LILO将一直等待用户选择操作系统,但是,如果有timeout这个选项,则时间到达后,用户没有做出选择,LILO 就会自行引导默认的系统。

这里列举一个LILO.conf的例子:

boot=/dev/sda

map=/boot/map

install=/boot/boot.b

prompt

timeout=50

message=/boot/message

linear

default=linux

image=/boot/vmlinuz-2.4.4-2

label=linux

initrd=/boot/initrd-2.4.2-2.img

read-only

root=/dev/sda5

restricted

password=!#$%^12345

上面的LILO.conf有以下的功能。以/boot/vmlinuz-2.4.2内核来启动系统,它存放在SUSI1硬盘的MBR之后的第1个分区上,如果用参数“linux single”来启动Linux,timeout选项将给出5秒钟的时间用于接受口令。其中,message=/boot/message让LILO以图形模式显示,如果去掉这一行,那么,LILO将以传统的文本模式显示。Linear作用是使LILO生成线性地址,而不使用通常的Sector/Head/Cylinder机制。Linux地址机制可以不依赖磁盘的物理结构。

因为LILO的口令是以明文形式存在的,所以一定要确保LILO.conf变成仅root可以读写,其设置方法是执行:

#chmod 600/etc/LILO.conf

#chattr+i/etc/LILO.conf

然后必须进行下面的执行才能是LILO生效:

#/sbin/LILO

将会显示“Added linux”,表示LILO已经生效。

虽然重新启动并不是必须要做的,但是用户最好还是通过重新启动一次来检查一下对LILO所做的修改是否真的已经生效。

另外为了防止LILO.conf无意或由于其他原因被修改,应该将/etc/LILO.conf设置为不可更改,其设置方法是执行:

#chattr +i/etc/LILO.conf

日后若要修改LILO.conf文件,必须先去掉该文件的不可更改的属性:

#chattr ?i/etc/LILO.conf

小提示:

只有root用户可以对文件设置不可更改的属性。

现在版本的Linux的LILO是图形界面的,要进入单用户模式,只需在LILO界面出现之后,按快捷键Ctrl+X就会进入文本模式,然后输入“linux single”就可以了。

三,给GRUB加一把锁

Linux世界在很长一段时间里一直使用LILO,而且它可以让上百万的Linux用户引导系统。LILO确实很有效。但是LILO的维修率很高,而且很不灵活。从RedHat Linux7.2起,GRUB(Grand Unified Bootloader)就取代LILO成为了默认的启动装载程序,可见GRUB大有过人之处。不过相对于LILO来说,大家对GRUB还是要陌生一些。

在Linux中,当谈到root文件系统时,通常是指主Linux分区。但是,GRUB有它自己的root分区定义。GRUB的root分区是保存Linux内核的分区。这可能是你的正式root文件系统,也可能不是。例如,在Gentoo Linux中,有一个单独的小分区专用于保存Linux内核与引导信息。大多数情况下,我们不安装这个分区,这样在系统以外崩溃或重新引导时,就不会把它弄乱。

在LILO.conf中,最多有16个操作系统选项,它比GRUB有更大的灵活性。LILO.conf配置文件主要分为两部分:一部分是全局配置,另一部分是引导配置,“#”表示注释。与LILO相比,GRUB有更强的交互性。LILO要求用户十分明白每个参数才能很好地掌握;而GRUB则更加看中用户的交互性,两者在bootloader中不分伯仲。和LILO的口令的作用不同,GRUB的口令只用于防止用户修改菜单直接进入Single user mode。

在安装Linux的时候,在选择GRUB作引导程序后需要设置GRUB的口令。当然如果在安装GRUB的时候没有设置口令,可以参照以下方法给GRUB加口令:

第一步:启动系统后出现GRUB的画面,按C键进入命令方式。

第二步:输入命令md5crypt:

grub>md5crypt

Password:********

Encrypted:$1$5R.2$OanRg6GT.Tj3uJZzb.hye0

第三步:然后将加密的密码拷贝到/boot/grub/grub.conf中password的一行。如笔者的grub.conf文件如下:

timeout=25

splashimage=(hd0,5)/grub/splash.xpm.gz

password―md5 $1$5R.2$OanRg6GT.Tj3uJZzb.hye0

#boot=/dev/had

defaule=1

title Red Hat Linux(2.4.20-8)

root(hd0,5)

kernel/vmlinuz-2.4.20-8 ro root=/dev/hda7

initrd/initrd-2.4.20-8.img

title Windows XP

rootnoverify(hd0,0)

chainloader +1

我们可以看到,GRUB 的口令是经过MD5加密的,这一点和LILO所使用的密码是明文有所不同。

四,将Ctrl+Alt+Del“禁”行到底:

为防止用户执行三指敬礼“Ctrl+Alt+Del”来重新启动Linux服务器,这也是攻击。我们可以使用root身份修改/etc/inittab文件,在“ca::ctaaltdel:/sbin/shutdown-t3-r now”一行前面加上#注释掉,然后重新设置/etc/rc.d/init.d目录下所有文件的许可权限:

#chmod-R700/etc.rc.d/init.d/*

这样就只有root超级用户才可以读写并执行上述所有的脚本文件。最后执行:

#/sbin/init q

使上面的设置生效。

设置完毕后一般的用户就无法使用Ctrl+Alt+Del来重新启动linux服务器了,只有你这个网络管理员root才可以做的到。

总结:

提高linux系统安全的手段和措施有很多种,本篇文章只是就启动时刻的lilo和grub安全介绍了几个方法,各位IT168的读者可以根据自己LINUX启动使用情况自行采取行动。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有