記著要在BIOS設(shè)置中設(shè)定一個(gè)BIOS密碼�����,不接收軟盤啟動(dòng)����。這樣可以阻止不懷好意的人用專門的啟動(dòng)盤啟動(dòng)你的Linux系統(tǒng)����,并避免別人更改BIOS設(shè)置�����,如更改軟盤啟動(dòng)設(shè)置或不彈出密碼框直接啟動(dòng)服務(wù)器等���。
LILO安全
在“/etc/lilo.conf”文件中添加3個(gè)參數(shù):time-out��、restricted 和 password���。這些選項(xiàng)會(huì)在啟動(dòng)時(shí)間(如“linux single”)轉(zhuǎn)到啟動(dòng)轉(zhuǎn)載程序過程中,要求提供密碼��。
步驟1
編輯lilo.conf文件(/etc/lilo.conf)�����,添加和更改這三個(gè)選項(xiàng):
QUOTE:
boot=http://www.3lian.com/dev/hda
map=http://www.3lian.com/boot/map
install=http://www.3lian.com/boot/boot.b
time-out=00 #change this line to 00
prompt
Default=linux
restricted #add this line
password= #add this line and put your password
image=http://www.3lian.com/boot/vmlinuz-2.2.14-12
label=linux
initrd=http://www.3lian.com/boot/initrd-2.2.14-12.img
root=http://www.3lian.com/dev/hda6
read-only
步驟2
由于其中的密碼未加密����,“/etc/lilo.conf”文件只對(duì)根用戶為可讀���。
[root@kapil /]# chmod 600 /etc/lilo.conf (不再為全局可讀)
步驟3
作了上述修改后,更新配置文件“/etc/lilo.conf”��。
[Root@kapil /]# /sbin/lilo -v (更新lilo.conf文件)
步驟4
還有一個(gè)方法使“/etc/lilo.conf”更安全��,那就是用chattr命令將其設(shè)為不可改:
[root@kapil /]# chattr i /etc/lilo.conf
它將阻止任何對(duì)“lilo.conf”文件的更改��,無論是否故意����。
關(guān)于lilo安全的更多信息�,請參考LILO。
禁用所有專門帳號(hào)
在lp, sync, shutdown, halt, news, uucp, operator, games, gopher等系統(tǒng)中�,將你不使用的所有默認(rèn)用戶帳號(hào)和群組帳號(hào)刪除。
要?jiǎng)h除用戶帳號(hào):
[root@kapil /]# userdel LP
要?jiǎng)h除群組帳號(hào):
[root@kapil /]# groupdel LP
選擇恰當(dāng)?shù)拿艽a
選擇密碼時(shí)要遵循如下原則:
密碼長度:安裝Linux系統(tǒng)時(shí)默認(rèn)的最短密碼長度為5個(gè)字符��。這個(gè)長度還不夠��,應(yīng)該增為8個(gè)����。要改為8個(gè)字符,必須編輯 login.defs 文件(/etc/login.defs):
PASS_MIN_LEN 5
改為:
PASS_MIN_LEN 8
“login.defs”是登錄程序的配置文件�。
啟用盲區(qū)密碼支持
請啟用盲區(qū)密碼功能�。要實(shí)現(xiàn)這一點(diǎn)�����,使用“/usr/sbin/authconfig”實(shí)用程序����。如果想把系統(tǒng)中現(xiàn)有的密碼和群組改為盲區(qū)密碼和群組,則分別用 pwconv 和 grpconv 命令�����。
