此文编号:HB498
没能绝对安全,但是我们可以尽量做到安全
安全跟方便是对立的,对系统限制越多越安全

一、必须要设置的安全配置

1.1 SSH连接设置

修改为其它端口
# vim /etc/ssh/sshd_config
Port 1234

#禁用root直接登录(只能通过普通用户登录后再转root,或者用sudo)
PermitRootLogin no

只限制某些用户能登录
AllowUsers oracle admin

1.2 利用tcp_wrappers功能限制登录

对于支持tcp_wrappers功能的服务,我们可以做一些安全限制。
比较常用的就是hosts.allow、hosts.deny

比如只允许192.168.0.10和172.28.6网段的IP能通过SSH访问本机,其它的IP都拒绝
# cat /etc/hosts.allow
sshd: 192.168.0.10 172.28.6.*

# cat /etc/hosts.deny
sshd: ALL

1.3 限制修改或者篡改某些文件

主要是限制一些重要命令、重要文件,防止执行、修改等操作。
如分区、格式化命令等,一般很少用到,但又是非常危险的命令。
一可以防止人为操作,二也可以防病毒篡改。

方法可以用很多种