• 系统换换换

    前些天由于中毒等原因换上了Fedora12,然而本已打定主意要投奔Linux的我却又再次改变了主意,又开始玩WIN7了,哈~~ 这里写写最近换系统的这些感受(多为个人感受,无具体实测数据)

    1、系统反应及内存占用等

    Fedora12我记得刚开机后不久是180多M,不到200M的样子,而WIN7则达到了400多M,这个实在是有点吓人,稍微一不留神1G的内存占用率就达到了80%以上,虽然关掉了不少服务,开机启动也就1个小软件,但是仍然没有多少起色。

    反应速度上面没有太大差别,当然我也没有运行什么大的程序,这样看来也不奇怪。

    2、稳定性易用性等

    Fedora12我开始装的是64位,不知道是我有次关机前改了啥东西还是什么,重启后竟然进不去系统了,用Fedora系统盘recovery也不行。。。但是我还是不死心,又重新下了32位的,刻盘,重装,玩起来比64位好像要爽点,libfetion和QQ也安装成功(在64位下装了几次也不行,也许我太菜了),但是腾讯官方给的那个Linux QQ实在寒碜人,而且在我这机器上随便一个操作,发个消息,打开个群信息都能让QQ死掉。。。

    关键还是日常应用上,Linux还是敌不过windows,支付宝那个Linux安全控件我装了又装还是不行,装个软件还得编译,听个歌还得把MP3插件装上,还得转换下MP3的标签编码,不然中文就显示成乱码。。。其实这些我都解决了,都不是最主要的,问题是还有多少这样的问题,要知道我必须用到的东西很多在Linux下面是没有解决方法的。。。

    WIN7这也是新装上的,暂时没遇到兼容性等问题,由于之前长时间的用XP,上手很快,就是内存使用率高,一开始很多东西变的和XP不一样,使用不习惯。

  • 用好还原(保护)软件 让系统远离垃圾文件与病毒

    现在的软件是一个比一个大,而且产生的垃圾文件也是越来越多,注册表越来越臃肿,系统越来越慢,有没有好的方法吗?有!用还原(保护)软件就可以,而且很多病毒也在很大程度上会失效。

    rvs 2008

    首先还原(保护)软件的作用是在系统重启之后,用户及系统对C分区(有的也可以设置对其他分区)的所有操作不予保存,就像是对系统穿了金钟罩一样,这样做的好处是注册表中不会随意产生垃圾项,不会因为你的操作而让注册表慢慢变臃肿,另外有的软件在安装后会在C盘留下垃圾文件,使用还原(保护)软件便可以防止这样的行为发生,即每次你访问C盘,C盘中的内容都像你刚装完系统一样干净。

    当然使用还原(保护)软件也有一定的限制,他主要的用户群是那些不经常装软件(因为并不是所有的软件都是绿色的,有的软件必须在注册表中写内容,这样就需要重新设置,重启系统,显的很麻烦,反而不如不装),系统配置低以及网吧等,还有使用还原(保护)软件也不能100%的杜绝病毒。

    下面介绍下我的使用还原(保护)软件的一些经验。

    首先还原(保护)软件的选择,现在主要有影子系统(国产的),RVS,冰点(以前网吧用的多,现在少见了)等,我向大家推荐的是RVS(Returnil Virtual System)。这款软件比较小巧,有多个版本,如免费版,高级收费版,还有多分区保护版等,我用的是高级收费版,网上有破解过的,大家可以下载下来试用下。 

    他的安装很简单,一步步按照说明安装就可以了。

    安装完后做的并不是马上使用这个软件,而是对系统进行优化,删除垃圾文件,IE缓存等,如果你喜欢将文件存在桌面上,那么你最好在非C分区上创建个文件夹,把这个文件夹的快捷方式放到桌面上,以后把文件拖进这个文件夹就等于保存到了非C分区上。还有迅雷的安装目录以及下载文件的存放目录也不能放到C盘,不然每次重启后你的东西就全没了。还有其他软件也尽量装在非C分区上。还有淘宝的浏览器插件等等都装上,不然每次登陆淘宝就要安装一次,这样也是麻烦的。还有我的文档也设置在非C分区。基本上做的就这些了。

    下一步是重启系统后,运行RVS,将系统设置为保护模式(之后需要重启),就可以了。

    如果某些软件需要安装在C分区或是需要重启,那么在重启之前将RVS打开,将高级保护设置为保存修改,这样你的操作就可以被保存下来了(针对RVS高级版,在这些操作之前尽量不要有其他操作产生垃圾文件,最大程度的保持系统的纯净,防止系统以后越来越慢),另外你也可以将RVS设置为开放模式后进行这些操作,操作完成后再将系统设置为保护模式,这时你的系统和没装RVS时是一样的,没有任何保护,这时你要格外注意系统的安全及纯净。

    RVS还能在一定程度上的预防病毒及木马,因为绝大多数的病毒及木马都要对系统分区进行操作,将自己加入启动项,而一旦你的C分区被保护,这些启动项以及在C盘中病毒及木马都会在重启后被除掉,这时病毒及木马就无计可施了。当然还有有些病毒会感染非C分区的文件,这时你在系统重启后就不要点击C分区之外的文件,用杀毒软件对整盘进行查杀(其实只要你的C分区没中毒,只要查杀其他盘就可以了)。

    RVS也不是万能的,系统的安全及纯净性都要大家使用系统的时候多注意,不下载安、装可疑软件,尽量去大的软件站下载,希望这篇文章能让大家的系统不再臃肿,远离病毒!

  • LINUX安全设置-让你的Linux系统更顽强

    LILO安全

    在“/etc/lilo.conf”文件中添加3个参数:time-out、restricted 和 password。这些选项会在启动时间(如“linux single”)转到启动转载程序过程中,要求提供密码。

    步骤1

    编辑lilo.conf文件(/etc/lilo.conf),添加和更改这三个选项:

    QUOTE:

    boot=/dev/hda

    map=/boot/map

    install=/boot/boot.b

    time-out=00 #change this line to 00

    prompt

    Default=linux

    restricted #add this line

    password= #add this line and put your password

    image=/boot/vmlinuz-2.2.14-12

    label=linux

    initrd=/boot/initrd-2.2.14-12.img

    root=/dev/hda6

    read-only

    步骤2

    由于其中的密码未加密,“/etc/lilo.conf”文件只对根用户为可读。

    [root@kapil /]# chmod 600 /etc/lilo.conf (不再为全局可读)

    步骤3

    作了上述修改后,更新配置文件“/etc/lilo.conf”。

    [Root@kapil /]# /sbin/lilo -v (更新lilo.conf文件)

    步骤4

    还有一个方法使“/etc/lilo.conf”更安全,那就是用chattr命令将其设为不可改:

    [root@kapil /]# chattr i /etc/lilo.conf

    它将阻止任何对“lilo.conf”文件的更改,无论是否故意。

    关于lilo安全的更多信息,请参考LILO。

    禁用所有专门帐号

    在lp, sync, shutdown, halt, news, uucp, operator, games, gopher等系统中,将你不使用的所有默认用户帐号和群组帐号删除。

    要删除用户帐号:

    [root@kapil /]# userdel LP

    要删除群组帐号:

    [root@kapil /]# groupdel LP

    选择恰当的密码

    选择密码时要遵循如下原则:

    密码长度:安装Linux系统时默认的最短密码长度为5个字符。这个长度还不够,应该增为8个。要改为8个字符,必须编辑 login.defs 文件(/etc/login.defs):

    PASS_MIN_LEN 5

    改为:

    PASS_MIN_LEN 8

    “login.defs”是登录程序的配置文件。

    启用盲区密码支持

    请启用盲区密码功能。要实现这一点,使用“/usr/sbin/authconfig”实用程序。如果想把系统中现有的密码和群组改为盲区密码和群组,则分别用 pwconv 和 grpconv 命令。

    根帐户

    在UNIX系统中,根帐户具有最高权限。如果系统管理员在离开系统时忘了从根系统注销,系统应该能够自动从shell中注销。那么,你就需要设置一个特殊的 Linux 变量“TMOUT”,用以设定时间。

    编辑“/etc/profile”文件在

    “HISTFILESIZE=”

    之后添加:

    TMOUT=3600

    为“TMOUT=”输入的值代表1小时的妙数(60 * 60 = 3600妙)。

    在“/etc/profile”文件中加了这一行后,任何用户使用该系统时有1小时的休止状态,将自动执行注销操作。而如果用户要对该变量进行分别设定,可以在“.bashrc”文件中定义自动注销的时间。

    修改了该参数后,必须退出并重新登录(为根帐户),更改才能生效。

    禁止普通用户对控制台的所有访问

    应该禁止服务器上的普通用户对关闭、重启、挂起等控制台级别程序的访问。运行如下命令:

    [root@kapil /]# rm -f /etc/security/console.apps其中为禁止访问的程序名称。

    禁用&卸载所有不使用的服务

    对所有不使用的服务,应该禁用并卸载,这样可以少些麻烦。查看“/etc/inetd.conf”文件,在不需要的项目行前加“#”号,即改为注释语句,就可以禁用它们了。然后给 inetd 过程发送一个 SIGHUP 命令,对“inetd.conf”文件进行更新。步骤如下:

    步骤1

    将“/etc/inetd.conf”文件许可改为600,使其只对根用户为可读写。

    [Root@kapil /]# chmod 600 /etc/inetd.conf

    步骤2

    确保“/etc/inetd.conf”文件的所有者为根用户。

    步骤3

    编辑 inetd.conf 文件(/etc/inetd.conf),禁用如下服务:

    ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等。

    如果不打算用,禁用了这些服务可以减少风险。

    步骤4

    给inetd过程发送HUP信号:

    [root@kapil /]# killall -HUP inetd

    步骤5

    将“/etc/inetd.conf”文件设为不可更改,chattr 命令可以使任何人都无法对其进行修改:

    [root@kapil /]# chattr i /etc/inetd.conf

    唯一可以设置或清除该属性的用户只有根用户。要修改inetd.conf文件,必须去掉不可更改标记:

    [root@kapil /]# chattr -i /etc/inetd.conf

    TCP_WRAPPERS

    通过 TCP_WRAPPERS,可以使服务器更好地抵制外部侵入。最好的办法是拒绝所有主机:在“/etc/hosts.deny”文件中加入“ALL: ALL@ALL, PARANOID”,然后在“/etc/hosts.allow”列出允许访问的主机。TCP_WRAPPERS 受控于两个文件,搜索时停在第一个匹配的地方。

    /etc/hosts.allow

    /etc/hosts.deny

    步骤1

    编辑 hosts.deny 文件(/etc/hosts.deny),加入如下行:

    # Deny access to everyone.

    ALL: ALL@ALL, PARANOID

    语句的意思是,除非在 allow 文件中说明允许访问,所有服务、所有主机都被拒绝。

    步骤2

    编辑 hosts.allow 文件(/etc/hosts.allow),例如在文件中添加如下行:

    ftp: 202.54.15.99 foo.com

    对于你的客户机来说:202.54.15.99为IP地址,foo.com为允许使用ftp的一个客户机。

    步骤3

    tcpdchk 程序是tcpd wrapper配置的检查程序。它对tcpd wrapper的配置进行检查,并报告所发现的潜在的和实际存在的问题。配置完成后,运行tcpdchk 程序:

    [Root@kapil /]# tcpdchk

    不要显示系统发行文件

    当别人远程登录时,不应该显示系统发行文件。做法是在“/etc/inetd.conf”文件中更改telnet选项:

    telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

    改为:

    telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

    在末尾加“-h”标记使后台程序不显示任何系统信息,而只给用户提供一个 login: 提示符。

    更改“/etc/host.conf”文件

    “/etc/host.conf”文件用来指定如何解析名称的方法。编辑 host.conf 文件(/etc/host.conf),添加如下各行:

    # Lookup names via DNS first then fall back to /etc/hosts.

    order bind,hosts

    # We have machines with multiple IP addresses.

    multi on

    # Check for IP address spoofing.

    nospoof on

    第一个选项首先通过DNS解析主机名称,然后解析主机文件。multi 选项用于确定“/etc/hosts”文件中的主机是否有多个IP地址(多接口以太网)。

    nospoof 选项指明该机器不允许假信息。

    为“/etc/services”文件免疫

    必须为“/etc/services”文件进行磁盘免疫,以避免对文件未经授权的删除或添加。使用如下命令:

    [root@kapil /]# chattr i /etc/services

    不接受从不同控制台的根用户登录

    “/etc/securetty”文件可以指定“root”用户允许从哪个TTY设备登录。编辑“/etc/securetty”文件,在不需要的tty前面加“#”,禁用这些设备。

    禁止任何人使用su命令

    su命令(Substitute User,替代用户)可以使你成为系统的现有用户。如果不希望别人使用su进入根帐户,或者对某些用户限制使用“su”命令,则在“/etc/pam.d/”目录的“su”配置文件顶部加上下文中给出的两行代码。

    编辑su文件(/etc/pam.d/su),在文件顶部添加如下两行:

    auth sufficient /lib/security/pam_rootok.so debug

    auth required /lib/security/Pam_wheel.so group=wheel

    意思是,只有“wheel”组的成员可以用su命令;其中还包括了日志。你可以在wheel组中添加允许使用该命令的用户。

    shell日志

    shell可存储500个旧命令在“~/.bash_history”文件中(其中“~/”代表主目录),这样可以便于重复前面的长命令。系统中的每个帐号用户在各自的主目录中都有这个“.bash_history”文件。为安全起见,应使shell存储较少的命令,并在注销用户时将其删除。

    步骤1

    “/etc/profile”文件中的 HISTFILESIZE 和 HISTSIZE 行决定了系统中所有用户的“.bash_history”文件可容纳的旧命令个数。建议将“/etc/profile”文件中的 HISTFILESIZE 和 HISTSIZE 设为比较小的数,比如30。

    编辑 profile 文件(/etc/profile),并更改:

    HISTFILESIZE=30

    HISTSIZE=30

    步骤2

    系统管理员还应在“/etc/skel/.bash_logout”文件中加进“rm -f $HOME/.bash_history”行,这样就可以在每次用户退出时删除“.bash_history”文件。

    编辑 .bash_logout 文件(/etc/skel/.bash_logout),并添加如下行:

    rm -f $HOME/.bash_history

    禁用Control-Alt-Delete键盘关机命令

    只要在该行前面加“#”,改为注释行。在“/etc/inittab”文件中找到:

    ca::ctrlaltdel:/sbin/shutdown -t3 -r now

    改为:

    #ca::ctrlaltdel:/sbin/shutdown -t3 -r now

    然后,为使更改生效,在提示符下输入:

    [root@kapil /]# /sbin/init q

    修正脚本文件在“/etc/rc.d/init.d”目录下的权限

    对脚本文件的权限进行修正,脚本文件用以决定启动时需要运行的所有正常过程的开启和停止。添加:

    [root@kapil/]# chmod -R 700 /etc/rc.d/init.d/*

    这句指的是,只有根用户允许在该目录下使用 Read、Write,和 Execute 脚本文件。

    隐藏系统信息

    默认情况下,当用户登录到 Linux 中时,会显示 Linux 发行名称、版本、内核版本,以及服务器名称。这些已经足够让黑客获取服务器的信息了。正确的做法是只为用户显示“Login: ”提示符。

    步骤1

    编辑“/etc/rc.d/rc.local” 文件,并将“#”标在下列行的前面:

    QUOTE:

    # This will overwrite /etc/issue at every boot. So, make any changes you

    # want to make to /etc/issue here or you will lose them when you reboot.

    #echo “” > /etc/issue

    #echo “$R” >> /etc/issue

    #echo “Kernel $(uname -r) on $a $(uname -m)” >> /etc/issue

    #

    #cp -f /etc/issue /etc/issue.net

    #echo >> /etc/issue

    步骤2

    然后在“/etc”目录下删除“issue.net”和“issue”文件:

    [root@kapil /]# rm -f /etc/issue

    [root@kapil /]# rm -f /etc/issue.net

    禁用通常不用的SUID/SGID程序

    如果设为 SUID 根用户,普通用户也可以作为根用户运行程序。系统管理员应该减少 SUID/GUID 程序的使用,并禁用那些不需要的程序。

    步骤1

    要从根用户的程序中搜索所有包含“s”字符的文件,使用命令:

    [root@kapil]# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} ;

    要在搜索到的程序中禁用 suid 程序,键入如下命令:

    [root@kapil /]# chmod a-s [program]

    按照上述的一些安全指南,系统管理员就可以达到基本的系统安全要求。上述的一些操作是一个连续的过程。系统管理员必须保持它们的连续性,才能使系统真正安全。