上海臻万信息技术有限公司

根据调查数据显示，目前微软领先于其他系统管理厂商，超过48％的受访者选择系统中心操作管理器（SCOM）和系统中心虚拟机管理器（SCVMM）这样一些软件。虽然厂商捆绑的概念令许多IT专业人士感到厌恶，但专家仍表示，微软可以对那些Windows服务器厂商产生积极的影响，因为一旦安装了这些软件，监测、维护和环境管理就能实现简化。 

　　美国科罗拉多州Kroll Factual Data公司的程序设计技术总监Chris Steffen 表示，“为了将产品整合成监控套件，微软已经做出了巨大的努力”。他说，“我认为，他们完全有理由这么做。”

　　Parker也同意Steffen的观点。他说，“过去，这些产品最大的问题之一是确定你得到信息的重要性。如果你可以信任微软在这方面的努力，那这可能就是这些产品最大的亮点所在了。”

　　如何选择合适的系统管理工具，这本身就已是一个很难的问题，更何况企业通常还需要基于当前的环境、业务需求和技术能力对工具进行评估。根据我们的调查数据，82%的IT专业人士认为特性和功能是最重要的选择标准，而50%的受访者认为价格是最重要的因素。其它的选择标准还有：集成度（22%）、易于安装和使用（19%），与工具供应商（15%）之前的关系也是重要的考虑因素。

　　“对我来说，在互操作性实现之后，系统管理工具用起来非常容易”，Steffen说，“因为我们可以在这个框架上把所需的监控加进去，所以我们正沿着所设定的管理道路向前推进。”

　　然而，仅仅选择一个系统管理工具是不够的。一个公司必须有实施和使用工具的专业技能，这对小公司而言是一个巨大的技术挑战，因此他们通常会选择较为简单的“点解决方案”。但是，这对许多大企业而言也是一个很棘手的成本问题，因为在所选框架内实现所有的监测目标将相当繁琐复杂。

　　“如果你完成了所有伤脑筋的设置，那么这很有希望能管理监控环境中你需要的所有信息”，Steffen说，“如果你为多个不同的产品多次设置它，那么这恐怕会是最坏的情况。”

　　虽然系统管理工具正推动着更强大的一体化和异构性的出现，但在实现过程中您可能需要多种工具，甚至需要为特定的环境提供相应的工具，牢记这一点非常重要。我们的目标不是要展现一个无处不包的工具，而是要选择一个可以完成日常管理工作的工具。例如，系统中心套件上的系统管理工具会覆盖管理员每天都要做的所有基本任务，但对某些无需太多监控和管理的网络交换机而言，使用点工具对其进行管理可能更容易实现。

系统管理的未来

　　专家们希望在未来可以看到更高水平的互操作性，使系统管理产品可以支持数据中心里不断增加的各种设备。微软已经公开了SCOM外部管理包，SCVMM也支持VMware VI3一类的多厂商虚拟化平台，这是两个成功的例子。此外，管理工具最终应提供更多的移动性选择，允许管理员通过移动设备（如iPhone）访问报警系统、仪表及其它细节管理设备。

　　但系统管理工具中最值得注意的一个方向也许是自动化进程的智能改进，即允许系统管理工具做出更好的决策，并在没有管理员监管和默许的情况下采取行动。

　当黑客入侵一台主机后，会想方设法保护自己的“劳动成果”，因此会在肉鸡上留下种种后门来长时间得控制肉鸡,其中使用最多的就是账户隐藏技术。在肉鸡上建立一个隐藏的账户，以备需要的时候使用。账户隐藏技术可谓是最隐蔽的后门，一般用户很难发现系统中隐藏账户的存在，因此危害性很大，本文就对隐藏账户这种黑客常用的技术进行揭密。

　　在隐藏系统账户之前，我们有必要先来了解一下如何才能查看系统中已经存在的账户。在系统中可以进入“命令提示符”，控制面板的“计算机管理”，“注册表”中对存在的账户进行查看，而管理员一般只在“命令提示符”和“计算机管理”中检查是否有异常，因此如何让系统账户在这两者中隐藏将是本文的重点。

　　一、“命令提示符”中的阴谋

　　其实，制作系统隐藏账户并不是十分高深的技术，利用我们平时经常用到的“命令提示符”就可以制作一个简单的隐藏账户。

　　点击“开始”→“运行”，输入“CMD”运行“命令提示符”，输入“net user piao$ 123456 /add”，回车，成功后会显示“命令成功完成”。接着输入“net localgroup administrators piao$ /add”回车，这样我们就利用“命令提示符”成功得建立了一个用户名为“piao$”，密码为“123456”的简单“隐藏账户”,并且把该隐藏账户提升为了管理员权限。

　　我们来看看隐藏账户的建立是否成功。在“命令提示符”中输入查看系统账户的命令“net user”，回车后会显示当前系统中存在的账户。从返回的结果中我们可以看到刚才我们建立的“piao$”这个账户并不存在。接着让我们进入控制面板的“管理工具”，打开其中的“计算机”，查看其中的“本地用户和组”，在“用户”一项中，我们建立的隐藏账户“piao$”暴露无疑。

　　可以总结得出的结论是：这种方法只能将账户在“命令提示符”中进行隐藏，而对于“计算机管理”则无能为力。因此这种隐藏账户的方法并不是很实用，只对那些粗心的管理员有效，是一种入门级的系统账户隐藏技术。

二、在“注册表”中玩转账户隐藏

　　从上文中我们可以看到用命令提示符隐藏账户的方法缺点很明显，很容易暴露自己。那么有没有可以在“命令提示符”和“计算机管理”中同时隐藏账户的技术呢？答案是肯定的，而这一切只需要我们在“注册表”中进行一番小小的设置，就可以让系统账户在两者中完全蒸发。

　　1、峰回路转，给管理员注册表操作权限

　　在注册表中对系统账户的键值进行操作，需要到“HKEY_LOCAL_MACHINE\SAM\SAM”处进行修改，但是当我们来到该处时，会发现无法展开该处所在的键值。这是因为系统默认对系统管理员给予“写入D AC”和“读取控制”权限，没有给予修改权限，因此我们没有办法对“SAM”项下的键值进行查看和修改。不过我们可以借助系统中另一个“注册表编辑器”给管理员赋予修改权限。

　　点击“开始”→“运行”，输入“regedt32.exe”后回车，随后会弹出另一个“注册表编辑器”，和我们平时使用的“注册表编辑器”不同的是它可以修改系统账户操作注册表时的权限(为便于理解，以下简称regedt32.exe)。

　　在regedt32.exe中来到“HKEY_LOCAL_MACHINE\SAM\SAM”处，点击“安全”菜单→“权限”，在弹出的“SAM的权限”编辑窗口中选中“administrators”账户，在下方的权限设置处勾选“完全控制”，完成后点击“确定”即可。然后我们切换回“注册表编辑器”，可以发现“HKEY_LOCAL_MACHINE\SAM\SAM”下面的键值都可以展开了。

　　提示：上文中提到的方法只适用于Windows NT/2000系统。在Windows XP系统中，对于权限的操作可以直接在注册表中进行，方法为选中需要设置权限的项，点击右键，选择“权限”即可。

　　2、偷梁换柱，将隐藏账户替换为管理员

　　成功得到注册表操作权限后，我们就可以正式开始隐藏账户的制作了。来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处，当前系统中所有存在的账户都会在这里显示，当然包括我们的隐藏账户。点击我们的隐藏账户“piao$”，在右边显示的键值中的“类型”一项显示为0x3e9，向上来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\”处，可以找到“000003E9”这一项，这两者是相互对应的，隐藏账户“piao$”的所有信息都在“000003E9”这一项中。同样的，我们可以找到“administrator”账户所对应的项为“000001F4”。

　　将“piao$”的键值导出为piao$.reg，同时将“000003E9”和“000001F4”项的F键值分别导出为user.reg，admin.reg。用“记事本”打开admin.reg，将其中“F”值后面的内容复制下来，替换user.reg中的“F”值内容，完成后保存。接下来进入“命令提示符”，输入“net user piao$ /del”将我们建立的隐藏账户删除。最后，将piao$.reg和user.reg导入注册表，至此，隐藏账户制作完成。

　　3、过河拆桥，切断删除隐藏账户的途径

　　虽然我们的隐藏账户已经在“命令提示符”和“计算机管理”中隐藏了，但是有经验的系统管理员仍可能通过注册表编辑器删除我们的隐藏账户，那么如何才能让我们的隐藏账户坚如磐石呢？

　　打开“regedt32.exe”，来到“HKEY_LOCAL_MACHINE\SAM\SAM”处，设置“SAM”项的权限，将“administrators”所拥有的权限全部取消即可。当真正的管理员想对“HKEY_LOCAL_MACHINE\SAM\SAM”下面的项进行操作的时候将会发生错误，而且无法通过“regedt32.exe”再次赋予权限。这样没有经验的管理员即使发现了系统中的隐藏账户，也是无可奈何的。

三.专用工具，使账户隐藏一步到位

　　虽然按照上面的方法可以很好得隐藏账户，但是操作显得比较麻烦，并不适合新手，而且对注册表进行操作危险性太高，很容易造成系统崩溃。因此我们可以借助专门的账户隐藏工具来进行隐藏工作，使隐藏账户不再困难，只需要一个命令就可以搞定。

　　我们需要利用的这款工具名叫“HideAdmin”，下载下来后解压到c盘。

　　然后运行“命令提示符”，输入“HideAdmin piao$ 123456”即可，如果显示“Create a hiden Administrator piao$ Successed!”，则表示我们已经成功建立一个账户名为piao$，密码为123456的隐藏账户。利用这款工具建立的账户隐藏效果和上文中修改注册表的效果是一样的。

　　四、把“隐藏账户”请出系统

　　隐藏账户的危害可谓十分巨大。因此我们有必要在了解了账户隐藏技术后，再对相应的防范技术作一个了解，把隐藏账户彻底请出系统

　　1、添加“$”符号型隐藏账户

　　对于这类隐藏账户的检测比较简单。一般黑客在利用这种方法建立完隐藏账户后，会把隐藏账户提升为管理员权限。那么我们只需要在“命令提示符”中输入“net localgroup administrators”就可以让所有的隐藏账户现形。如果嫌麻烦，可以直接打开“计算机管理”进行查看，添加“$”符号的账户是无法在这里隐藏的。

　　2、修改注册表型隐藏账户

　　由于使用这种方法隐藏的账户是不会在“命令提示符”和“计算机管理”中看到的，因此可以到注册表中删除隐藏账户。来到“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”，把这里存在的账户和“计算机管理”中存在的账户进行比较，多出来的账户就是隐藏账户了。想要删除它也很简单，直接删除以隐藏账户命名的项即可。

　　3、无法看到名称的隐藏账户

　　如果黑客制作了一个修改注册表型隐藏账户，在此基础上删除了管理员对注册表的操作权限。那么管理员是无法通过注册表删除隐藏账户的，甚至无法知道黑客建立的隐藏账户名称。不过世事没有绝对，我们可以借助“组策略”的帮助，让黑客无法通过隐藏账户登陆。点击“开始”→“运行”，输入“gpedit.msc”运行“组策略”，依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”，双击右边的“审核策略更改”，在弹出的设置窗口中勾选“成功”，然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。

　　4、开启登陆事件审核功能

　　进行登陆审核后，可以对任何账户的登陆操作进行记录，包括隐藏账户，这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称，甚至黑客登陆的时间。即使黑客将所有的登陆日志删除，系统还会记录是哪个账户删除了系统日志，这样黑客的隐藏账户就暴露无疑了。

　　5、通过事件查看器找到隐藏帐户

　　得知隐藏账户的名称后就好办了，但是我们仍然不能删除这个隐藏账户，因为我们没有权限。但是我们可以在“命令提示符”中输入“net user 隐藏账户名称 654321”更改这个隐藏账户的密码。这样这个隐藏账户就会失效，黑客无法再用这个隐藏账户登陆。

假如你想要搭建一个Linux服务器，并且希望可以长期维护的话，就需要考虑安全性能与速度等众多因素。一份正确的linux基本安全配置手册就显得格外重要。在我本文中就向大家介绍在edhat/centos 4,5下的Linux服务器基本安全配置手册。

安装注意

1.删除系统特殊的的用户帐号：

禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上系统时就应该做此检查，Linux提供了各种帐号，你可能不需要，如果你不需要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。

#为删除你系统上的用户，用下面的命令：
[root@c1gstudio]# userdel username
#批量删除方式
#这里删除"adm lp sync shutdown halt mail news uucp operator games gopher ftp "账号
#如果你开着ftp等服务可以把ftp账号保留下来。
for i in adm lp sync shutdown halt mail news uucp ope
rator games gopher ftp ;do userdel $i ;done

2.删除系统特殊的组帐号

[root@c1gstudio]# groupdel groupname
#批量删除方式
for i in adm lp mail news uucp games dip pppusers pop
users slipusers ;do groupdel $i ;done

3.用户密码设置

安装linux时默认的密码最小长度是5个字节，但这并不够，要把它设为8个字节。修改最短密码长度需要编辑login.defs文件#vi /etc/login.defs

PASS_MAX_DAYS   99999    ##密码设置最长有效期（默认值）
PASS_MIN_DAYS   0        ##密码设置最短有效期
PASS_MIN_LEN    5        ##设置密码最小长度，将5改为8
PASS_WARN_AGE   7        ##提前多少天警告用户密码即将过期。
然后修改Root密码
#passwd root
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.

4.修改自动注销帐号时间

自动注销帐号的登录，在Linux系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户，那将会带来很大的安全隐患，应该让系统会自动注销。通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT按秒计算。编辑你的profile文件（vi /etc/profile）,在"HISTSIZE="后面加入下面这行：

TMOUT=300

300，表示300秒，也就是表示5分钟。这样，如果系统中登陆的用户在5分钟内都没有动作，那么系统会自动注销这个账户。

5.限制Shell命令记录大小

默认情况下，bash shell会在文件$HOME/.bash_history中存放多达500条命令记录(根据具体的系统不同，默认记录条数不同)。系统中每个用户的主目录下都有一个这样的文件。在此笔者强烈建议限制该文件的大小。
您可以编辑/etc/profile文件，修改其中的选项如下:

HISTFILESIZE=30或HISTSIZE=30
#vi /etc/profile
HISTSIZE=30

6.注销时删除命令记录

编辑/etc/skel/.bash_logout文件，增加如下行:

rm -f $HOME/.bash_history
这样，系统中的所有用户在注销时都会删除其命令记录。
如果只需要针对某个特定用户，如root用户进行设置，则可只在该用户的主目录下修改/$HOME/.bash_history文件，增加相同的一行即可。

7.用下面的命令加需要的用户组和用户帐号

[root@c1gstudio]# groupadd
例如：增加website 用户组，groupadd website
然后调用vigr命令查看已添加的用户组
用下面的命令加需要的用户帐号
[root@c1gstudio]# useradd username –g website //添加用户到website组（作为webserver的普通管理员，而非root管理员）
然后调用vipw命令查看已添加的用户
用下面的命令改变用户口令（至少输入8位字母和数字组合的密码，并将密码记录于本地机的专门文档中，以防遗忘）
[root@c1gstudio]# passwd username

8.阻止任何人su作为root

如果你不想任何人能够su作为root,你能编辑/etc/pam.d/su加下面的行：

#vi /etc/pam.d/su
auth sufficient /lib/security/$ISA/pam_rootok.so debug
auth required /lib/security/$ISA/pam_wheel.so group=website
意味着仅仅website组的用户可以su作为root.

9.修改ssh服务的root登录权限

修改ssh服务配置文件，使的ssh服务不允许直接使用root用户来登录，这样减少系统被恶意登录攻击的机会。

#vi /etc/ssh/sshd_config
PermitRootLogin yes

将这行前的＃去掉后，修改为：

PermitRootLogin no

10.修改ssh服务的sshd 端口

ssh默认会监听在22端口，你可以修改至6022端口以避过常规的扫描。
注意：修改端口错误可能会导致你下次连不到服务器，可以先同时开着22和6022两个端口，然后再关掉22端口；
重启sshd不会弹掉你当前的连接，可以另外开一个客户端来测试服务;

#vi /etc/ssh/sshd_config
#增加修改
#Port 22 #关闭22端口
Port 6022 #增加6022端口
#重启sshd服务
service sshd restart
检查一下sshd的监听端口对不对
netstat -lnp|grep ssh
#iptables开放sshd的6022端口
vi /etc/sysconfig/iptables
#如果使用redhat默认规则则增加
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6022 -j ACCEPT
#或
iptables -A INPUT -p tcp --dport 6022 -j ACCEPT
iptables -A OUTPUT -p udp --sport 6022 -j ACCEPT

重启iptables 服务

service iptables restart
#测试两个端口是否都能连上，连上后再将22端口删除

详细参考：
Linux操作系统下SSH默认22端口修改方法

11.关闭系统不使用的服务：

cd /etc/init.d #进入到系统init进程启动目录
在这里有两个方法，可以关闭init目录下的服务，

一、将init目录下的文件名mv成*.old类的文件名，即修改文件名，作用就是在系统启动的时候找不到这个服务的启动文件。

二、使用chkconfig系统命令来关闭系统启动等级的服务。

注：在使用以下任何一种方法时，请先检查需要关闭的服务是否是本服务器特别需要启动支持的服务，以防关闭正常使用的服务。

使用chkcofig命令来关闭不使用的系统服务 (level前面为2个减号)要想在修改启动脚本前了解有多少服务正在运行，输入：

ps aux | wc -l

然后修改启动脚本后，重启系统，再次输入上面的命令，就可计算出减少了多少项服务。越少服务在运行，安全性就越好。另外运行以下命令可以了解还有多少服务在运行：

netstat -na --ip

批量方式先停止服务

for i in acpid anacron apmd atd auditd autofs avahi-daemon avahi-dnsconfd bluetooth cpuspeed cups dhcpd firstboot gpm haldaemon hidd ip6tables ipsec isdn kudzu lpd mcstrans messagebus microcode_ctl netfs nfs nfslock nscd pcscd portmap readahead_early restorecond rpcgssd rpcidmapd rstatd sendmai
l setroubleshoot snmpd sysstat xfs xinetd yppasswdd ypserv yum-updatesd ;do service $i stop;done

关闭启动服务

for i in acpid anacron apmd atd auditd autofs avahi-daemon avahi-dnsconfd bluetooth cpuspeed cups dhcpd firstboot gpm haldaemon hidd ip6tables ipsec isdn kudzu lpd mcstrans messagebus microcode_ctl netfs nfs nfslock nscd pcscd portmap readahead_early restorecond rpcgssd rpcidmapd rstatd sendmai
l setroubleshoot snmpd sysstat xfs xinetd yppasswdd ypserv yum-updatesd ;do chkconfig $i off;done

以下为手动方式及解释,执行批量方式后不需再执行了

chkconfig --level 345 apmd off ##笔记本需要
chkconfig --level 345 netfs off ## nfs客户端
chkconfig --level 345 yppasswdd off ## NIS服务器，此服务漏洞很多
chkconfig --level 345 ypserv off ## NIS服务器，此服务漏洞很多
chkconfig --level 345 dhcpd off ## dhcp服务
chkconfig --level 345 portmap off ##运行rpc(111端口)服务必需
chkconfig --level 345 lpd off ##打印服务
chkconfig --level 345 nfs off ## NFS服务器，漏洞极多
chkconfig --level 345 sendmail off ##邮件服务, 漏洞极多
chkconfig --level 345 snmpd off ## SNMP，远程用户能从中获得许多系统信息
chkconfig --level 345 rstatd off ##避免运行r服务，远程用户可以从中获取很多信息
chkconfig --level 345 atd off ##和cron很相似的定时运行程序的服务
注：以上chkcofig 命令中的3和5是系统启动的类型，以下为数字代表意思
0:开机(请不要切换到此等级)
1:单人使用者模式的文字界面
2:多人使用者模式的文字界面,不具有网络档案系统(NFS)功能
3:多人使用者模式的文字界面,具有网络档案系统(NFS)功能
4:某些发行版的linux使用此等级进入x windows system
5:某些发行版的linux使用此等级进入x windows system
6:重新启动

如果不指定--level 单用on和off开关，系统默认只对运行级3，4，5有效

chkconfig cups off #打印机
chkconfig bluetooth off # 蓝牙
chkconfig hidd off # 蓝牙
chkconfig ip6tables off # ipv6
chkconfig ipsec off # vpn
chkconfig auditd off #用户空间监控程序
chkconfig autofs off #光盘软盘硬盘等自动加载服务
chkconfig avahi-daemon off #主要用于Zero Configuration Networking ，一般没什么用建议关闭
chkconfig avahi-dnsconfd off #主要用于Zero Configuration Networking ,同上,建议关闭
chkconfig cpuspeed off #动态调整CPU频率的进程，在服务器系统中这个进程建议关闭
chkconfig isdn off #isdn
chkconfig kudzu off #硬件自动监测服务
chkconfig nfslock off #NFS文档锁定功能。文档共享支持，无需的能够关了
chkconfig nscd off #负责密码和组的查询，在有NIS服务时需要
chkconfig pcscd off #智能卡支持，,如果没有可以关了
chkconfig yum-updatesd off #yum更新
chkconfig acpid off
chkconfig autofs off
chkconfig firstboot off
chkconfig mcstrans off #selinux
chkconfig microcode_ctl off
chkconfig rpcgssd off
chkconfig rpcidmapd off
chkconfig setroubleshoot off
chkconfig xfs off
chkconfig xinetd off
chkconfig messagebus off
chkconfig gpm off #鼠标
chkconfig restorecond off #selinux
chkconfig haldaemon off
chkconfig sysstat off
chkconfig readahead_early off
chkconfig anacron off

需要保留的服务

crond , irqbalance , microcode_ctl ,network , sshd ,syslog

因为有些服务已运行，所以设置完后需重启

chkconfig
/*

语法：chkconfig [--add][--del][--list][系统服务] 或 chkconfig [--level <等级代号>][系统服务][on/off/reset]

补充说明：这是Red Hat公司遵循GPL规则所开发的程序，它可查询操作系统在每一个执行等级中会执行哪些系统服务，其中包括各类常驻服务。

参数：

　--add 　增加所指定的系统服务，让chkconfig指令得以管理它，并同时在系统启动的叙述文件内增加相关数据。
　--del 　删除所指定的系统服务，不再由chkconfig指令管理，并同时在系统启动的叙述文件内删除相关数据。
　--level<等级代号> 　指定读系统服务要在哪一个执行等级中开启或关毕
*/

12.阻止系统响应任何从外部/内部来的ping请求
既然没有人能ping通你的机器并收到响应，你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次启动后自动运行。
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
#这个可以不做哈
13.修改“/etc/host.conf”文件
“/etc/host.conf”说明了如何解析地址。编辑“/etc/host.conf”文件（vi /etc/host.conf），加入下面这行：
# Lookup names via DNS first then fall back to /etc/hosts.
order hosts,bind
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
第一项设置首先通过DNS解析IP地址，然后通过hosts文件解析。第二项设置检测是否“/etc/hosts”文件中的主机是否拥有多个IP地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的电子欺骗。
14.不允许从不同的控制台进行root登陆
"/etc/securetty"文件允许你定义root用户可以从那个TTY设备登陆。你可以编辑"/etc/securetty"文件，再不需要登陆的TTY设备前添加“#”标志，来禁止从该TTY设备进行root登陆。
在/etc/inittab文件中有如下一段话：
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6
系统默认的可以使用6个控制台，即Alt+F1,Alt+F2...，这里在3，4，5，6前面加上“#”，注释该句话，这样现在只有两个控制台可供使用，最好保留两个。然后重新启动init进程，改动即可生效！
15.禁止Control-Alt-Delete键盘关闭命令
在"/etc/inittab" 文件中注释掉下面这行（使用#）：
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改为：
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
为了使这项改动起作用，输入下面这个命令：
# /sbin/init q
16.用chattr命令给下面的文件加上不可更改属性。
[root@c1gstudio]# chattr +i /etc/passwd
[root@c1gstudio]# chattr +i /etc/shadow
[root@c1gstudio]# chattr +i /etc/group
[root@c1gstudio]# chattr +i /etc/gshadow
【注：chattr是改变文件属性的命令，参数i代表不得任意更动文件或目录,此处的i为不可修改位(immutable)。查看方法：lsattr /etc/passwd，撤销为chattr –i /etc/group】
补充说明：这项指令可改变存放在ext2文件系统上的文件或目录属性，这些属性共有以下8种模式：
　a：让文件或目录仅供附加用途。
　b：不更新文件或目录的最后存取时间。
　c：将文件或目录压缩后存放。
　d：将文件或目录排除在倾倒操作之外。
　i：不得任意更动文件或目录。
　s：保密性删除文件或目录。
　S：即时更新文件或目录。
　u：预防以外删除。
参数：
　-R 递归处理，将指定目录下的所有文件及子目录一并处理。
　-v<版本编号> 设置文件或目录版本。
　-V 显示指令执行过程。
　+<属性> 开启文件或目录的该项属性。
　-<属性> 关闭文件或目录的该项属性。
　=<属性> 指定文件或目录的该项属性。
17.给系统服务端口列表文件加锁
主要作用：防止未经许可的删除或添加服务
chattr +i /etc/services
【查看方法：lsattr /etc/ services，撤销为chattr –i /etc/ services】
18.系统文件权限修改
Linux文件系统的安全主要是通过设置文件的权限来实现的。每一个Linux的文件或目录，都有3组属性，分别定义文件或目录的所有者，用户组和其他人的使用权限（只读、可写、可执行、允许SUID、允许SGID等）。特别注意，权限为SUID和SGID的可执行文件，在程序运行过程中，会给进程赋予所有者的权限，如果被黑客发现并利用就会给系统造成危害。
(1)修改init目录文件执行权限：
chmod -R 700 /etc/init.d/* （递归处理，owner具有rwx，group无，others无）
(2)修改部分系统文件的SUID和SGID的权限：
chmod a-s /usr/bin/chage
chmod a-s /usr/bin/gpasswd
chmod a-s /usr/bin/wall
chmod a-s /usr/bin/chfn
chmod a-s /usr/bin/chsh
chmod a-s /usr/bin/newgrp
chmod a-s /usr/bin/write
chmod a-s /usr/sbin/usernetctl
chmod a-s /usr/sbin/traceroute
chmod a-s /bin/mount
chmod a-s /bin/umount
chmod a-s /sbin/netreport
(3)修改系统引导文件
chmod 600 /etc/grub.conf
chattr +i /etc/grub.conf
【查看方法：lsattr /etc/grub.conf，撤销为chattr –i /etc/grub.conf】
19.增加dns
#vi /etc/resolv.conf
nameserver 8.8.8.8 #google dns
nameserver 8.8.4.4
20.hostname 修改
#注意需先把mysql、postfix等服务停了
1.hostname servername
2.vi /etc/sysconfig/network
service network restart
3.vi /etc/hosts
21.selinux 修改
开启selinux可以增加安全性，但装软件时可能会遇到一些奇怪问题
以下是关闭方法
#vi /etc/selinux/config
改成disabled
22.关闭ipv6
echo "alias net-pf-10 off" >> /etc/modprobe.conf
echo "alias ipv6 off" >> /etc/modprobe.conf
#vi /etc/sysconfig/network
NETWORKING_IPV6=no
重启服务
Service ip6tables stop
Service network restart
关闭自动启动
chkconfig --level 235 ip6tables off
23.设置iptables
iptables 默认安全规则脚本
重启系统
以上大部分设置可以运行脚本来完成。linux安全设置快捷脚本
设置完成后重启系统
其它设置项
linux调整系统时区/时间的方法
把/usr/share/zoneinfo里相应的时区与/etc/localtime做个软link.比如使用上海时区的时间:ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime 如果要使用UTC计时方式，则应在/etc/sysconfig/clock文件里改UTC=TRUE 时间的设置: 使用date 命令加s参数修改，注意linux的时间格式为"月日时分年",也可以只修改时间date -s 22:30:20,如果修改的是年月日和时间，格式为"月日时分年.秒",2007-03-18 11:01:56则应写为"date -s 031811012007.56 硬件时间与当前时间更新: hwclock --systohc 如果硬件记时用UTC,则为 hwclock --systohc --utc
linux调整系统时区/时间的方法
1) 找到相应的时区文件
/usr/share/zoneinfo/Asia/Shanghai
用这个文件替换当前的/etc/localtime文件。
步骤： cp –i /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
选择覆盖
2) 修改/etc/sysconfig/clock文件，修改为：
ZONE="Asia/Shanghai"
UTC=false
ARC=false
3)
时间设定成2005年8月30日的命令如下：
#date -s 08/30/2005
将系统时间设定成下午6点40分0秒的命令如下：
#date -s 18:40:00
4)同步BIOS时钟，强制把系统时间写入CMOS，命令如下：
#clock -w
安装ntpd
#yum install ntp
#chkconfig --levels 235 ntpd on
#ntpdate ntp.api.bz #先手动校准下
#service ntpd start
设置语言
英文语言，中文支持
#vi /etc/sysconfig/i18n
LANG="en_US.UTF-8"
SUPPORTED="zh_CN.UTF-8:zh_CN:zh"
SYSFONT="latarcyrheb-sun16"
tmpwatch 定时清除
假设服务器自定义了php的session和upload目录
#vi /etc/cron.daily/tmpwatch
在240 /tmp 前增加
-x /tmp/session -x /tmp/upload
#mkdir /tmp/session
#mkdir /tmp/upload
#chown nobody:nobody /tmp/upload
#chmod 0770 /tmp/upload

　你的服务器上是否存有一些不能随意公开的重要数据呢？当然有吧？而最近，偏偏服务器遭受的风险又特别大，越来越多的病毒、心怀不轨的黑客，以及那些商业间谍都将服务器当作目标。很显然，服务器的安全问题一刻都忽视不得。

　　不可能在一篇文章中谈遍电脑安全问题，毕竟，市面上的已有许多这方面的书籍，不过，我倒是可以告诉你七个维护服务器安全的技巧。

　　技巧一：从基本做起

　　从基本做起是最保险的方式。你必须将服务器上含有机密数据的区域通通转换成NTFS格式;同理，防毒程序也必须按时更新。建议同时在服务器和桌面电脑上安装防毒软件。这些软件还应该设定成每天自动下载最新的病毒定义文件。另外，Exchange Server(邮件服务器)也应该安装防毒软件，这类软件可扫描所有寄进来的电子邮件，寻找被病毒感染的附件，若发现病毒，邮件马上会被隔离，减低使用者被感染的机会。

　　另一个保护网络的好方法是依员工上班时间来限定使用者登录网络的权限。例如，上白天班的员工不该有权限在三更半夜登录网络。

　　最后，存取网络上的任何数据皆须通过密码登录。强迫大家在设定密码时，必须混用大小写字母、数字和特殊字符。在Windows NT Server Resource Kit里就有这样的工具软件。你还应该设定定期更新密码，且密码长度不得少于八个字符。若你已经做了这些措施，但还是担心密码不安全，你可以试试从网络下载一些黑客工具，然后测试一下这些密码到底有多安全。

　　技巧二：保护备份

　　大多数人都没有意识到，备份本身就是一个巨大的安全漏洞，怎么说呢？试想，大多数的备份工作多在晚上10点或11点开始，依数据多寡，备份完成后大概也是夜半时分了。现在，想像一下，现在是凌晨四点，备份工作已经结束。有心人士正好可趁此时偷走备份磁盘，并在自己家中或是你竞争对手办公室里的服务器上恢复。不过，你可以阻止这种事情发生。首先，你可利用密码保护你的磁盘，若你的备份程序支持加密功能，你还可以将数据进行加密。其次，你可以将备份完成的时间定在你早上进办公室的时间，这样的话，即使有人半夜想溜进来偷走磁盘的话也无法了，因为磁盘正在使用中;如果窃贼强行把磁盘拿走，他一样无法读取那些损毁的数据。

　　技巧三：使用RAS的回拨功能

　　Windows NT最酷的功能之一就是支持服务器远端存取(RAS)，不幸的是，RAS服务器对黑客来说实在太方便了，他们只需要一个电话号码、一点耐心，然后就能通过RAS进入主机。不过你可以采取一些方法来保护RAS服务器的安全。

　　你所采用的技术主要端赖于远端存取者的工作方式。如果远端用户经常是从家里或是固定的地方上网，建议你使用回拨功能，它允许远端用户登录后即挂断，然后RAS服务器会拨出预设的电话号码接通用户，因为此一电话号码已经预先在程序中了，黑客也就没有机会指定服务器回拨的号码了。

　　另一个办法是限定远端用户只能存取单一服务器。你可以将用户经常使用到的数据复制到RAS服务器的一个特殊共用点上，再将远端用户的登录限制在一台服务器上，而非整个网络。如此一来，即使黑客入侵主机，他们也只能在单一机器上作怪，间接达到减少破坏的程度。

　　最后还有一个技巧就是在RAS服务器上使用“另类”网络协议。很都以TCP/IP协议当作RAS协议。利用TCP/IP协议本身的性质与接受程度，如此选择相当合理，但是RAS还支持IPX/SPX和NetBEUI协议，如果你使用NetBEUI当作RAS协议，黑客若一时不察铁定会被搞得晕头转向.

技巧四：考虑工作站的安全问题

　　在服务器安全的文章里提及工作站安全感觉似乎不太搭边，但是，工作站正是进入服务器的大门，加强工作站的安全能够提高整体网络的安全性。对于初学者，建议在所有工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统，如果你没有Windows 2000，那至少使用Windows NT。如此你便能将工作站锁定，若没有权限，一般人将很难取得网络配置信息。

　　另一个技巧是限制使用者只能从特定工作站登录。还有一招是将工作站当作简易型的终端机(dumb terminal)或者说，智慧型的简易终端机。换言之，工作站上不会存有任何数据或软件，当你将电脑当作dumb terminal使用时，服务器必须执行Windows NT 终端服务程序，而且所有应用程序都只在服务器上运作，工作站只能被动接收并显示数据而已。这意味着工作站上只有安装最少的Windows版本，和一份微软Terminal Server Client。这种方法应该是最安全的网络设计方案。

　　技巧五：执行最新修补程序

　　微软内部有一组人力专门检查并修补安全漏洞，这些修补程序(补丁)有时会被收集成service pack(服务包)发布。服务包通常有两种不同版本：一个任何人都可以使用的40位的版本，另一个是只能在美国和加拿大发行的128位版本。128位的版本使用128位的加密算法，比40位的版本要安全得多。

　　一个服务包有时得等上好几个月才发行一次，但要是有严重点的漏洞被发现，你当然希望立即进行修补，不想苦等姗姗来迟的服务包。好在你并不需要等待，微软会定期将重要的修补程序发布在它的FTP站上，这些最新修补程序都尚未收录到最新一版的服务包里，我建议你经常去看看最新修补程序，记住，修补程序一定要按时间顺序来使用，若使用错乱的话，可能导致一些文件的版本错误，也可能造成Windows当机。

　　技巧六：颁布严格的安全政策

　　另一个提高安全性的方式就是制定一强有力的安全策略，确保每一个人都了解，并强制执行。若你使用Windows 2000 Server，你可以将部分权限授权给特定代理人，而无须将全部的网管权利交出。即使你核定代理人某些权限，你依然可县制其权限大小，例如无法开设新的使用者帐号，或改变权限等。

　　技巧七：防火墙，检查，再检查

　　最后一个技巧是仔细检查防火墙的设置。防火墙是网络规划中很重要的一部份，因为它能使公司电脑不受外界恶意破坏。

　　首先，不要公布非必要的IP地址。你至少要有一个对外的IP地址，所有的网络通讯都必须经由此地址。如果你还有DNS注册的Web服务器或是电子邮件服务器，这些IP地址也要穿过防火墙对外公布。但是，工作站和其他服务器的IP地址则必须隐藏。

　　你还可以查看所有的通讯端口，确定不常用的已经全数关闭。例如，TCP/IP port 80是用于HTTP流量，因此不能堵掉这个端口，也许port 81应该永远都用不着吧，所以就应该关掉。你可以在网络上查到每个端口的详细用途。

　　服务器安全问题是个大议题，你总不希望重要数据遭病毒/黑客损毁，或被人偷走做为不利你的用途，本文介绍了7个重要的安全检查关卡，你不妨试试看。