实验：

一、基本系统安全

1、保护引导过程：

 cp /etc/inittab /etc/inittab.bak

vim /etc/inittab

 

2、关闭不使用的服务：

首先查看开启的服务

 

 关闭邮件服务，使用公司邮件服务器：

 

 关闭nfs服务及客户端：

 3、增强特殊文件权限： 给文件加上不可更改属性，从而防止非授权用户获得权限。

eg：添加只读权限chattr +i

 

 4、强制实行配额和限制： Linux PAM（插入式认证模块，Pluggable Authentication Modules）可以强制实行一些实用的限制，在 /etc/security/limits.conf 文件中对此进行配置。

resource 可以 是下面的关键字之一：

      core - 限制内核文件的大小（KB）

      data - 最大数据大小（KB）

      fsize - 最大文件大小（KB）

      memlock - 最大锁定内存地址空间（KB）

      nofile - 打开文件的最大数目

      rss - 最大持久设置大小（KB）

      stack - 最大栈大小（KB）

      cpu - 以分钟为单位的最多 CPU 时间

      nproc - 进程的最大数目

      as - 地址空间限制

      maxlogins - 此用户允许登录的最大数目

二、用户安全

1. 禁用不使用的用户：（也可以 usermod -L 或 passwd -l user 锁定。）

 

cp /etc/passwd{.bak}修改之前先备份
vi/etc/passwd 编辑用户，在前面加上#注释掉此行

2、ssh登陆安全

 

 3、减少history命令记录：vi /etc/profile

三、网络安全

1、禁用ipv6：禁用IPv6不仅仅会加快网络，还会有助于减少管理开销和提高安全级别

 

 

 在CentOS上完全禁用ipv6步骤：禁止加载IPv6模块，禁用基于IPv6网络，使之不会被触发启动，禁用基于IPv6网络，使之不会被触发启动，关闭ip6tables，重启系统，验证是否生效

 

2、防止一般网络攻击

（1）禁ping（2）防止IP欺骗（3）防止DoS攻击

3、定期做日志检查

分析与思考：

 

1、查询资料了解更多关于linux系统加固的知识。

 

计算机系统评测标准TCSEC，TCSEC将系统分成ABCD四类7个安全级别。D级是安全级别最低的级别，C类为自主保护级别；B类为强制保护级别；A类为验证保护类

D级，最低安全性
C1级，主存取控制
C2级，较完善的自主存取控制（DAC)、审计
B1级，强制存取控制（MAC）
B2级，良好的结构化设计、形式化安全模型
B3级，全面的访问控制、可信恢复
A1级，形式化认证

2、查询资料了解iptables有哪些用途？

 iptables：指的是用来管理linux防火墙的命令程序

iptables可以查看、添加、删除规则