(1)、编辑/etc/security/limits.conf文件,在其中加入或改变下面这些内容:
* hard core 0 //禁止创建core文件
* hard rss 5000 //表示除root用户之外,其他用户都只能最多使用5M内存
* hard nproc 20 //表示系统同时运行的进程限制为20
通过修改limits.conf文件中的上述内容,就可以限制登录到该系统上的用户,对进程、 core文件和内存的过度使用情况。其中,星号“*”表示所有登录到系统中的用户。
(2)、编辑“/etc/pam.d/login”文件,在文件末尾加入下面所示的内容,以便上述设置的内容生效:
session required /lib/security/pam_limits.so
二、如何禁止服务器上的IP原路径路由?
用VI编辑器打/etc/rc.d/rc.local文件,将下列所示的命令加入该文件中,就可以禁止服务器上的原路径路由:
for r in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $r
done
三、如何限制口令的长度?
用vi编译器打开/etc/login.defs文件,找到其中的“PASS_MIN_LEN 5”这一行,将内容改为“PASS_MIN_LEN 8”,就可以将系统默认的最小口令长度为5位,增加到最小为8位。
四、如何减少历史命令列表的数量?
使用过的最近命令列表保存在“~/.bash_history”文件中,要减少命令列表的保存数量,可以通过vi编辑器编辑“/etc/profile”文件,然后修改下面所示两项的值为允许的数值即可:
HISTFILESIZE=<整数值>
HISTSIZE=<整数值>
五、如何设置NFS文件系统的访问权限?
这可以通过在“/etc/exports”文件中设置允许被导出目录的相应权限即可达到目的。例如,如果要设置最严格的访问权限,也就是不允许使用任何通配符,以及不允许root用户的写权限,且只能将目录挂载为只读文件系统,用vi编辑器打开“/etc/exports”文件,加入下列所示的内容即可:
/要被导出的目录(如/home/ly) 允许挂载此目录的主机域名(如liuyuan@nf)(ro, root_squash)
其中ro表示mount为只读文件系统,root_squash表示禁止root对该目录的写权限。重新保存“/etc/exports”文件后,运行下列命令使用修改生效:
/usr/sbin/exportfs –a
六、Liunx系统下如何禁止telnet、FTP等服务?
1.
编辑/etc/inetd.conf文件,在其中就可以禁用包括telnet、FTP、imap、talk及finger等在内的服务。
2.
用chmod 600 /etc/inetd.conf命令修改该文件的权限。
3.
再运行killall –HUP inet使修改生效。
另一种方法就是使用TCP会绕程度来限制对本机上述服务的访问:
1.
修改/etc/hosts.deny为“ALL: ALL”拒绝所有对本机的访问。
2.
然后在/etc/hosts.allow中分别添加允许访问的服务与对应主机的IP行。如:telnet:192.168.1.2/255.255.255.0 liuyuan。
3.
可以用tcpdchk来检查这两个文件设置的正确性。
七、如何限制root帐户允许登录的字符终端?
用vi编辑器打开/etc/securetty文件,然后再不允许登录的字符终端注释掉即可,注释的方式可以在字符终端的前面加入“#”符合即代表这只是一个说明。
八、Linux系统下如何防止IP欺骗?
用vi编辑器编辑host.conf文件,在其中添加下列所示的几行,就可以防止IP欺骗:
order bing, hosts
multi off
nospoof on
九、如何禁止普通用户在字符终端下使用shutdown、reboot和halt等程序?
以root权限,在字符终端下,使用下列命令来删除普通帐户不需要使用的控制台应用程序:
Rm –f /etc/security/<控制台应用程序名>
本文转自 雪源梅香 51CTO博客,原文链接:http://blog.51cto.com/liuyuanljy/382482,如需转载请自行联系原作者