下面的這段Linux系統(tǒng)平安Shell劇本用于Linux系統(tǒng)的平安初始化劇本，可以在效勞器系統(tǒng)裝置終了之后立刻執(zhí)行以疾速樹立起效勞器的平安防護(hù)。開始的劇本由曉輝撰寫，在數(shù)次修正之后曾經(jīng)很多使用在某大型媒體網(wǎng)站系統(tǒng)中。修正了一些bug，曾經(jīng)在CentOS5.5x86_64下經(jīng)過，當(dāng)前在一些沒有硬件防火墻的效勞器上運(yùn)用。

　　運(yùn)用辦法：將其復(fù)制，保管為一個shell文件，比方security.sh。將其上傳到linux效勞器上，執(zhí)行shsecurity.sh，就可以運(yùn)用該劇本了。建議人人在系統(tǒng)初始化后立刻執(zhí)行，然后創(chuàng)立了用戶帳號和暗碼后就不要再改動了，以免影響主要文件的初始md5值。

　　劇本內(nèi)容(以下內(nèi)容為了便利閱讀，對注釋進(jìn)行了翻譯)：

　　#!binh

　　#desc:setuplinuxsystemsecurity

　　#author:coralzd

　　#poweredbywww.baidu.org.tw

　　#version0.1.2writtenby2011.05.03

　　#設(shè)置賬號

　　passwd-lxfs

　　passwd-lnews

　　passwd-lnscd

　　passwd-ldbus

　　passwd-lvcsa

　　passwd-lgames

　　passwd-lnobody

　　passwd-lavahi

　　passwd-lhaldaemon

　　passwd-lgopher

　　passwd-lftp

　　passwd-lmailnull

　　passwd-lpcap

　　passwd-lmail

　　passwd-lshutdown

　　passwd-lhalt

　　passwd-luucp

　　passwd-loperator

　　passwd-lsync

　　passwd-ladm

　　passwd-llp

　　#用chattr給用戶途徑更改屬性。chattr敕令用法參考文末闡明[1]

　　chattr+ietcpasswd

　　chattr+ietchadow

　　chattr+ietcgroup

　　chattr+ietcgshadow

　　#設(shè)置暗碼延續(xù)輸錯3次后鎖定5分鐘【　Linux公社www.Linuxidc.com　】

　　sed-i‘s#authrequiredpam_env.so#authrequiredpam_env.so authrequiredpam_tally.soonerr=faildeny=3unlock_time=300 authrequiredlibecurity$ISApam_tally.soonerr=faildeny=3unlock_time=300#’etcpam.dystem-auth

　　#5分鐘后主動登出，緣由參考文末闡明[2]

　　echoTMOUT=300″etcprofile

　　#前史敕令記載數(shù)設(shè)定為10條

　　sed-isHISTSIZE=1000HISTSIZE=10etcprofile

　　#讓以上針對etcprofile的改動立刻生效

　　sourceetcprofile

　　#在etcysctl.conf中啟用syncookie

　　echonet.ipv4.tcp_syncookies=1″etcysctl.conf

　　sysctl-p#execsysctl.confenable

　　#優(yōu)化sshd_config

　　sed-is#MaxAuthTries6MaxAuthTries6etchhd_config

　　sed-is#UseDNSyesUseDNSnoetchhd_config

　　#限制主要敕令的權(quán)限

　　chmod700binping

　　chmod700usrbinfinger

　　chmod700usrbinwho

　　chmod700usrbinw

　　chmod700usrbinlocate

　　chmod700usrbinwhereis

　　chmod700binifconfig

　　chmod700usrbinpico

　　chmod700binvi

　　chmod700usrbinwhich

　　chmod700usrbingcc

　　chmod700usrbinmake

　　chmod700binrpm

　　#前史平安

　　chattr+aroot.bash_history

　　chattr+iroot.bash_history

　　#給主要敕令寫md5

　　catlistEOF

　　binping

　　usrbinfinger

　　usrbinwho

　　usrbinw

　　usrbinlocate

　　usrbinwhereis

　　binifconfig

　　binvi

　　usrbinvim

　　usrbinwhich

　　usrbingcc

　　usrbinmake

　　binrpm

　　EOF

　　foriin`catlist`

　　do

　　if[!-x$i];then

　　echo$inotfound,nomd5sum!

　　else

　　md5sum$ivarlog`hostname`.log

　　fi

　　done

　　rm-flist

　　常識點(diǎn)[1]：有關(guān)chattr敕令

　　chattr敕令可以修正文件屬性，到達(dá)維護(hù)文件和目次的效果。比擬改動文件讀寫、執(zhí)行權(quán)限的chmod敕令，chattr敕令可以節(jié)制更底層的文件屬性。該敕令非常強(qiáng)壯，個中一些功用是由Linux內(nèi)核版原本支撐的，假如Linux內(nèi)核版本低于2.2，那么很多功用不克不及完成。相同-D反省緊縮文件中的錯誤的功用，需求2.5.19以上內(nèi)核才干支撐。別的，經(jīng)過chattr敕令修正屬功能夠進(jìn)步系統(tǒng)的平安性，然則它并不合適一切的目次。chattr敕令不克不及維護(hù)、dev、tmp、var目次。

　　此類屬性的檢查可以經(jīng)過lsattr敕令完成。

　　chattr敕令的用法：chattr[-RV][-vversion][mode]files…

　　最要害的是在[mode]局部，，即文件屬性局部。[mode]局部是由+-=和[ASacDdIijsTtu]這些字符組合的。

　　+：在原有參數(shù)設(shè)定根底上，追加參數(shù)。

　　-：在原有參數(shù)設(shè)定根底上，移除參數(shù)。

　　=：更新為指定參數(shù)設(shè)定。

　　A：文件或目次的atime(accesstime)不成被修正(modified),可以有用預(yù)防例如手提電腦磁盤IO錯誤的發(fā)作。

　　S：硬盤IO同步選項，功用相似sync。

　　a：即append，設(shè)定該參數(shù)后，只能向文件中添加數(shù)據(jù)，而不克不及刪除，多用于效勞器日記文件平安，只要root才干設(shè)定這個屬性。

　　c：即compresse，設(shè)定文件能否經(jīng)緊縮后再存儲。讀取時需求經(jīng)由主動解壓操作。

　　d：即nodump，設(shè)定文件不克不及成為dump順序的備份目的。

　　i：設(shè)定文件不克不及被刪除、更名、設(shè)定鏈接關(guān)系，還不克不及寫入或新增內(nèi)容。i參數(shù)關(guān)于文件系統(tǒng)的平安設(shè)置有很大協(xié)助。

　　j：即journal，設(shè)定此參數(shù)使妥當(dāng)經(jīng)過mount參數(shù)：data=ordered或許data=writeback掛載的文件系統(tǒng)，文件在寫入時會先被記載(在journal中)。假如filesystem被設(shè)定參數(shù)為data=journal，則該參數(shù)主動掉效。

　　s：保護(hù)秘密性地刪除文件或目次，即硬盤空間被悉數(shù)回收。

　　u：與s相反，當(dāng)設(shè)定為u時，數(shù)據(jù)內(nèi)容其實(shí)還存在磁盤中，可以用于undeletion.

　　各參數(shù)選項中常用到的是a和i。a選項強(qiáng)迫只可添加不成刪除，多用于日記系統(tǒng)的平安設(shè)定。而i是更為嚴(yán)厲的平安設(shè)定，只要superuser(root)或具有CAP_LINUX_IMMUTABLE處置才能(標(biāo)識)的歷程可以施加該選項。

　　使用實(shí)例：

　　1、用chattr敕令避免系統(tǒng)中某個要害文件被修正

spanstyle=COLOR:rgb(0,128,0)　　#chattr+ietcfstab

　　然后試一下rmmvrename等敕令操作于該文件，都是獲得Operationnotpermitted的后果

　　2、讓某個文件只能往里面追加內(nèi)容，不克不及刪除，一些日記文件合用于這種操作

spanstyle=COLOR:rgb(0,128,0)　　#chattr+adata1user_act.log

　　常識點(diǎn)[2]：為何要設(shè)置5分鐘后主動登出

　　因為客戶的維護(hù)人員經(jīng)常上岸上去后經(jīng)過直接封閉TERM端口不合法退出telnet，形成系統(tǒng)的pts歷程越來越多，一個月下來居然近百，當(dāng)歷程過多的時分系統(tǒng)就會發(fā)生報警。標(biāo)準(zhǔn)操作應(yīng)該是用exit或許ctrl+D，然則其別人并不如許操作，所以我們界說了echoTMOUT=300″gt;etcprofile這一項內(nèi)容，是讓效勞器主動剔除300秒沒有任何舉措的客戶端。當(dāng)然了這一項人人可以依據(jù)實(shí)踐需求而決議能否添加。