1、Bios　Security

     一定要給Bios設置密碼，以防通過在Bios中改變啟動順序，而可以從軟盤啟動。這樣可以阻止別人試圖用特殊的啟動盤啟動你的系統，還可以阻止別人進入Bios改動其中的設置(比如允許通過軟盤啟動等)

     編輯/boot/grub/grub.comf,加入以下語句，

     password 12345

2，刪除所有的特殊賬戶

   你應該刪除所有不用的缺省用戶和組賬戶(比如lp,　sync,　shutdown,　halt,　news,　uucp,　operator,　games,　gopher等)。

    刪除用戶：

　　[root@kapil　/]#　userdel　LP

　　刪除組：

       [root@kapil　/]#　groupdel　LP

3，修改密碼長度

      在你安裝linux時默認的密碼長度是5個字節。但這并不夠，要把它設為8。修改最短密碼長度需要編輯login.defs文件(vi　/etc/login.defs)，把下面這行

　　PASS_MIN_LEN　　　　5

　　改為

　　PASS_MIN_LEN　　　　8

　　login.defs文件是login程序的配置文件。

4、打開密碼的shadow支持功能：

   你應該打開密碼的shadow功能，來對password加密。使用"/usr/sbin/authconfig"工具打開shadow功能。如果你想把已有的密碼和組轉變為shadow格式，可以分別使用"pwcov,grpconv"命令。

5，取消普通用戶的控制臺訪問權限

   你應該取消普通用戶的控制臺訪問權限，比如shutdown、reboot、halt等命令。

　　[root@kapil　/]#　rm　-f　/etc/security/console.apps/

　　是你要注銷的程序名

6，取消并卸載所有不用的服務

   取消并卸載所有不用的服務，這樣你的擔心就會少很多。察看"/etc/inetd.conf"文件，通過注釋取消所有你不需要的服務(在該服務項目之前加一個"#")。然后用"sighup"命令升級"inetd.conf"文件。

　　第一步：

　　更改"/etc/inetd.conf"權限為600，只允許root來讀寫該文件。

[Root@kapil　/]#　chmod　600　/etc/inetd.conf

　　第二步：

　　確定"/etc/inetd.conf"文件所有者為root。

　　第三步：

　　編輯　/etc/inetd.conf文件(vi　/etc/inetd.conf)，取消下列服務(你不需要的)：ftp,　telnet,　shell,　login,　exec,　talk,　ntalk,　imap,　pop-2,　pop-3,　finger,　auth等等。把不需要的服務關閉可以使系統的危險性降低很多。

　　第四步：

　　給inetd進程發送一個HUP信號：

　　[root@kapil　/]#　killall　-HUP　inetd

　　第五步：

　　用chattr命令把/ec/inetd.conf文件設為不可修改，這樣就沒人可以修改它：

　　[root@kapil　/]#　chattr　+i　/etc/inetd.conf

　　這樣可以防止對inetd.conf的任何修改(以外或其他原因)。唯一可以取消這個屬性的人只有root。如果要修改inetd.conf文件，首先要是取消不可修改性質：

　　[root@kapil　/]#　chattr　-i　/etc/inetd.conf

　　別忘了該后再把它的性質改為不可修改的。

7，禁止系統信息暴露

   當有人遠程登陸時，禁止顯示系統歡迎信息。你可以通過修改"/etc/inetd.conf"文件來達到這個目的。

　　把/etc/inetd.conf文件下面這行：

　　telnet　　stream　　tcp　　　　　nowait　root　　　　/usr/sbin/tcpd　　in.telnetd

修改為:

　　telnet　　stream　　tcp　　　　　nowait　　root　　　　/usr/sbin/tcpd　　in.telnetd　-h

　　在最后加"-h"可以使當有人登陸時只顯示一個login:提示，而不顯示系統歡迎信息

8，"/etc/services"文件免疫

   使"/etc/services"文件免疫，防止未經許可的刪除或添加服務：

　　[root@kapil　/]#　chattr　+i　/etc/services

9，不允許從不同的控制臺進行root登陸

   "/etc/securetty"文件允許你定義root用戶可以從那個TTY設備登陸。你可以編輯"/etc/securetty"文件，再不需要登陸的TTY設備前添加"#"標志，來禁止從該TTY設備進行root登陸。

10，禁止通過su命令改變為root用戶

   su(Substitute　User替代用戶)命令允許你成為系統中其他已存在的用戶。如果你不希望任何人通過su命令改變為root用戶或對某些用戶限制使用su命令，你可以在su配置文件(在"/etc/pam.d/"目錄下)的開頭添加下面兩行：

　　編輯su文件(vi　/etc/pam.d/su)，在開頭添加下面兩行：

　　auth　sufficient　/lib/security/pam_rootok.so　debug

　　auth　required　/lib/security/Pam_wheel.so　group=wheel

　　這表明只有"wheel"組的成員可以使用su命令成為root用戶。你可以把用戶添加到"wheel"組，以使它可以使用su命令成為root用戶。

11，禁止Control-Alt-Delete　鍵盤關閉命令

   在"/etc/inittab"　文件中注釋掉下面這行(使用#)：

　　ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now

　　改為：

　　#ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now

　　為了使這項改動起作用，輸入下面這個命令：

　　[root@kapil　/]#　/sbin/init　q

12，隱藏系統信息

    在缺省情況下，當你登陸到linux系統，它會告訴你該linux發行版的名稱、版本、內核版本、服務器的名稱。對于黑客來說這些信息足夠它入侵你的系統了。你應該只給它顯示一個"login:"提示符。

　　第一步：

　　編輯"/etc/rc.d/rc.local"　文件，在下面顯示的這些行前加一個"#"，把輸出信息的命令注釋掉。

#　This　will　overwrite　/etc/issue　at　every　boot.　　So,　make　any　changes　you

　　#　want　to　make　to　/etc/issue　here　or　you　will　lose　them　when　you　reboot.

　　#echo　""　>　/etc/issue

　　#echo　"$R"　>>　/etc/issue

　　#echo　"Kernel　$(uname　-r)　on　$a　$(uname　-m)"　>>　/etc/issue

　　#

　　#cp　-f　/etc/issue　/etc/issue.net

　　#echo　>>　/etc/issue

　　第二步：

　　刪除"/etc"目錄下的"isue.net"和"issue"文件：

　　[root@kapil　/]#　rm　-f　/etc/issue

　　[root@kapil　/]#　rm　-f　/etc/issue.net

根據以上基本設置后，系統管理員會擁有一個相對安全的系統。但管理員必須清楚，安全不是一時的，任何情況下都需要一個持續的過程和不斷的改進。