系统管理员安全措施2

#外向syn握手重试次数，默认5
net.ipv4.tcp_syn_retries = 2
# TCP 内存，最大系统发送缓存(wmem)、接收缓存(rmem)
net.core.rmem_max = 8388608
net.core.rmem_default = 8388608
net.core.wmem_max = 8388608
net.core.wmem_default = 8388608
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 262144
#＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝保存退出＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

2 其它优化
vi /etc/nsswitch.conf
#编辑文件
#找到并修改成如下样子
hosts: dns files
bootparams: files
automount: files
aliases: files
#保存退出
用ulimit -a查看
vi /root/.bashrc
#编辑文件
#增加文件描述符
#ulimit -HSn 65535
#最大用户进程数无限制
ulimit -u unlimited
#将每个进程可以打开的文件数目加大到4096，缺省为1024
ulimit -n 4096
#限制每个进程使用的内存数
ulimit -m 4096
#保存退出
#文件系统调整
vi /etc/fstab
#default加上",noatime"
#调整块设备的READAHEAD，调大RA值
#查看：blockdev --report
blockdev --setra 2048 /dev/sdb1

十一、iptables（参考本站iptables文章）
十二、/etc/securetty
注释掉除tty1之外的其它tty设备
十三、删除系统中预置且不必要的用户和组
userdel adm
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games #不用xwindow再删除
userdel gopher
userdel ftp
groupdel adm
groupdel news
groupdel uucp
groupdel games
groupdel dip
十四、给passwd shadow group gshadow加“i”标志
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
十五、限制只能管理员组的用户才能使用su切换到root
vi /etc/pam.d/su
#在顶部加入两行
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
usermod -G10 admin #将admin用户加入到wheel管理员组，G表示用户所在的“其他组”
十六、将历史纪录改小
vi /etc/profile
#将以下两个值改小到20
HISTFILESIZE=20
HISTSIZE=20
十七、禁止ctrl+alt+del
vi /etc/inittab
#注释掉ca::ctrlaltdel:/sbin/shutdown -t3 -r now
十八、查找隐藏文件
find / -name ".. " -print -xdev
find / -name ".*" -xdev | cat -v
十九、查找任何人都有写权限的文件、目录
find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg {} ;
find / -type d ( -perm -2 -o -perm -20 ) -exec ls -ldg {} ;
二十、查找没有主人的文件（不用管/dev下的文件）
find / -nouser -o -nogroup
二十一、SUID、SGID与系统的安全
SUID、SGID涉及到系统的安全，是UNIX下关于文件权限的表示方法和解析，SUID：Set User ID；SGID：Set Group ID。
用ls -l 命令来看到文件的权限，结果的格式是类似这样的：-rwxr-xr-x
这种表示方法一共有十位：
9 8 7 6 5 4 3 2 1 0
- r w x r - x r - x
第9位表示文件类型，可以为p、d、l、s、c、b和-：p表示命名管道文件；d表示目录文件；l表示符号连接文件；-表示普通文件；s表示socket文件；c表示字符设备文件；b表示块设备文件
第8-6位、5-3位、2-0位分别表示文件所有者的权限，同组用户的权限，其他用户的权限
其形式为rwx：r表示可读，w表示可写，x表示可执行，-表示没有权限
如果一个文件被设置了SUID或SGID位，会分别表现在所有者或同组用户的权限的可执行位上。
例如：
1、-rwsr-xr-x 表示SUID和所有者权限中可执行位被设置
2、-rwSr--r-- 表示SUID被设置，但所有者权限中可执行位没有被设置
3、-rwxr-sr-x 表示SGID和同组用户权限中可执行位被设置
4、-rw-r-Sr-- 表示SGID被设置，但同组用户权限中可执行位没有被设置
给文件加SUID和SUID的命令如下：
chmod u+s filename 设置SUID位
chmod u-s filename 去掉SUID设置
chmod g+s filename 设置SGID位
chmod g-s filename 去掉SGID设置
chmod 4755 filename 设置SUID“s”非"S"
SUID、SGID的作用：让本来没有相应权限的用户/组运行这个程序时，可以访问他没有权限访问的资源。 passwd、ping就是如此，你可以用ls-l来查看这两个文件，你会发现文件宿主是root，但被设置了SUID，所以普通用户也可以执行。 UNIX的内核是根据euid/egid来确定一个进程对资源的访问权限的：uid(用户id)，gid(组id)，euid(有效 uid)，egid(有效gid)，当test1用户去执行ping时，进程会认为euid是root的uid，而不是test1的，所以允许执行。
SUID虽然很好了解决了一些问题，但是同时也会带来一些安全隐患。因为设置了SUID位的程序如果被攻击(通过缓冲区溢出等方面)，那么hacker就可以拿到root权限，因此在安全方面特别要注意那些设置了SUID的程序。
#把下面命令放入cron job并邮递文件suid-guid-resuilts给管理员邮箱帐号
find / -type f ( -perm -04000 -o -perm -02000 )
-exec ls -lg {} ; >suid-sguid-results
#列出根下所有拥有SUID的文件
find / -perm -04000 -type f -ls
[/td][/tr][/table]