debian system securing

wheat

摘自：http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html

让你的DEBIAN系统更加的安全

一：securing ssh

vi /etc/ssh

说明：编辑配置文件

listenaddress 192.168.0.1

说明：监听本机指定的ip地址

PermitRootLogin no

说明：不允许任何时候root登录。如果有人想要通过ssh变为root用户。

port 666 or listenaddress 192.168.0.1:666

说明：端口监听

permitemptypasswords no

说明：是否允许空密码登录

allowusers alex ref me@somewhere

说明：允许通过ssh登录的用户.alex, ref .后面的是对只允许通过somewhere这台机器登录的me用户使用ssh.

passwordautherntications yes

说明：这更加的安全，它仅仅允许放在~/.ssh/authorized_keyswen文件中通过ssh-keys登录的用户。

protocol 2

说明：强制使用协议2.

banner /etc/some_file

说明：选择banner的文件

vi /etc/pam.d/ssh

说明：通过pam认证

auth  requeied pam_listfile.so sense=allow onerr=fail item=user file=/etc/loginusers

说明：你可以通过pam_listfile或者pam_wheel限制访问ssh服务器。你可以添加上面的到/etc/pam.d/ssh。其中file=/etc/loginusers为可以访问的用户。

1.1 chrooting ssh

现在openssh并不提供任何方式使得当前连接的用户自动的chroot。但是这里有一个项目你可以看看。 http://chrootssh.sourceforge.net。你可以使用pam_chroot模块。

1.2 ssh clients

如果你使用ssh客户端登录ssh服务器请确保两者协议一致。

1.3 仅仅允许传输文件而不允许和shell交互

1.3.1 不允许用户登录ssh服务器

1.3.2 使用scponly或rssh给用户一个限制的shell。


二.安全的ftp

如果你使用的ftp没有通过ssl或者ssh隧道封装。你应该chroot ftp 到你的ftp家目录，这样ftp客户只能自己家目录的文件。

vi /etc/proftpd.conf

defaultRoot ~

denyfilter \*.*/

/etc/init.d/proftpd restart

三：x windows 系统的安全

3.1 最安全的办法。如果你不需要通过别的电脑使用x.关掉绑定它的tcp端口6000.

#startx --nolisten tcp

如果你运行的是xfree3.3.6

vi /etc/X11/xinit/xserverrc

#!bin/sh
exec /usr/bin/X11/X -dpi 100 --nolisten tcp

如果你使用的是XDM

vi /etc/X11/xdm/Xserver

：0 local /user/bin/X11/X vt7 --dpi 100 --nolisten tcp

如果你使用的是Gdm

vi /etc/gdm/gdm.conf

DisallowTCP=ture

设置锁屏幕的timeout

vi /etc/X11/app-defaults/XScreenserver

*lock: False

默认是ture

3.1.1 检查你的显示管理

如果你希望仅仅本地鸡的管理显示管理，请确保XDMCP(x dispaly maneger control protocol)选项是关闭的。

在XDM

vi /etc/X11/xdm/xdm-config

displaymanager.requestport:0

FOR GDM

[xdmcp]
enable=false

..