LINUX安全實行手冊

2023年8月6日

目錄

1概述.................................................................錯誤!未定義書簽。

2安裝.................................................................借誤!未定義書簽。

3顧客帳號安全Passwordandaccountsecurity............................................................錯誤!未定義書簽。

3.1密碼安全方略..................................................錯誤!未定義書簽。

3.2檢查密碼與否安全.............................................錯誤!未定義書簽。

3.3PasswordShadowing........................................................................................錯誤!未定義書簽。

3.4管理密碼......................................................錯誤!未定義書簽。

3.5其他...........................................................錯誤!未定義書簽。

4網(wǎng)絡服務安全(NetworkServiceSecurity)..................................................................錯誤!未定義書簽。

4.1服務過濾Filtering.............................................................................................錯誤!未定義書簽。

4.2/etc/inetd.conf.....................................................................................................錯誤!未定義書簽。

4.3R服務........................................................錯誤!未定義書簽。

4.4Tcp.wrapper.......................................................................................................錯誤!未定義書簽。

4.5/etc/hosts.equiv文獻............................................錯誤！未定義書簽。

4.6/etc/scnuces........................................................................................................錯誤!未定義書簽。

4.7/etc/aliases..........................................................................................................錯誤!未定義書簽。

4.8NFS.....................................................................................................................錯誤!未定義書簽。

4.9Trivialftp(tftp)..................................................................................................錯誤!未定義書簽。

4.10Sendmail..........................................................................................................錯誤!未定義書簽。

4.11finger.................................................................................................................錯誤!未定義書簽。

4.12UUCP................................................................................................................錯誤!未定義書簽。

4.13WorldWideWeb()一d......................................................................錯誤!未定義書簽。

4.14FTP安全問題.................................................錯誤!未定義書簽。

5系統(tǒng)設置安全(SystemSettingSecurity).................................................................錯誤!未定義書簽。

5.1限制控制臺的使用..............................................錯誤!未定義書簽。

5.2系統(tǒng)關閉Ping...................................................................................................錯誤!未定義書簽。

5.3關閉或更改系統(tǒng)信息............................................錯誤!未定義書簽。

5.4/ctc/sccurctty文獻..............................................錯誤!未定義書簽。

5.5Zetc/host.conf文獻..............................................錯誤!未定義書簽。

5.6嚴禁IP源途徑路由............................................錯誤!未定義書簽。

5.7資源限制......................................................錯誤!未定義書簽。

5.8LILO安全.....................................................錯誤!未定義書簽.

5.9Control-AIl-Deleie鍵盤美機命令................................錯誤!未定義書簽。

5.10日志系統(tǒng)安全.................................................錯誤!未定義書簽。

5.11修正腳本文獻在“/etc/rc.d/init.d”目錄下的權(quán)限...................錯誤!未定義書簽。

6文獻系統(tǒng)安全(FileSystemSecurity)......................................................................錯誤!未定義書簽。

6.1文獻權(quán)限......................................................錯誤!未定義書簽。

6.2控制mount上的文獻系統(tǒng).......................................錯誤!未定義書簽。

6.3備份與恢復....................................................錯誤!未定義書簽。

7其他................................................................錯誤!未定義書簽。

7.1使用防火墻....................................................錯誤!未定義書簽。

7.2使用第三方安全工具...........................................錯誤!未定義書簽。

1概述

近幾年來Internet變得愈加不安全了。網(wǎng)絡的通信量日益加大，越來越多日勺重要交易正在通過網(wǎng)

絡完畢，與此同步數(shù)據(jù)被損壞、載取和修改的風險也在增長。

只要有值得盜竊的東西就會有想措施竊取它的人。Internet口勺今天比過去任何時候都更真實地體現(xiàn)

出這一點，基于LinuxH勺系統(tǒng)也不能掙脫這個“普遍規(guī)律”而獨善其身。因此，優(yōu)秀的系統(tǒng)應當擁

有完善的安全措施，應當足夠結(jié)實、可以抵御來自InierneiH勺侵襲，這正是Linux之因此流行并且

成為Internet骨干力量的重要原因。不過，假如你不合適地運用Linux的安全工具，它們反而會埋

下隱患。配置拙劣H勺安全系統(tǒng)會產(chǎn)生許多問題，本文將為你解釋必須掌握H勺Linux安全知識。本

文講述了怎樣通過基本的安全措施，使Linux系統(tǒng)變得可靠。

2安裝

使系統(tǒng)處在單獨（或隔離）的網(wǎng)洛中。以防止未受保護的系統(tǒng)連接到其他網(wǎng)絡或互聯(lián)網(wǎng)中受到也

許H勺襲擊

安裝完畢后將下面軟件卸載

pumpapmdIsapnptoolsredhat-logos

mt-stkernel-pcmcia-csSetserialredhat-relese

ejectlinuxconfkudzugd

begetty.psraidtoolspciutils

mailcapsetconsolegnupg

用下面I燈命令卸載這些軟件：

[root@deep]#rpm-esoftwarename

卸載它們之前最佳停掉三個進程：

[root@dccp|#/ctc/rc.d/init.d/apmdstop

|root@deep|#/etc/rc.d/init.d/sendmailstop

[rooi@deep|#/etc/rc.d/init.d/kudzustop

3.顧客帳號安全Passwordandaccount

security

3.1密碼安全方略

?口令至少為6位，并且包括特殊字符

?口令不要太簡樸，不要以你或者有關人的有關信息構(gòu)成的密碼，例如生日、、姓

名的拼音或者縮寫、單位的拼音或者英文簡稱等等。

?口令必須有有效期

?發(fā)既有人長時間猜測口令，需要更換口令

3.2檢查密碼與否安全

可以使用如下幾種工具檢查自己的密碼與否安全：

?JOHN,crack等暴力猜測密碼工具

?在線窮舉工具，包括Emailcrk、流光等

3.3PasswordShadowing

?使用shadow來隱藏密文（目前已經(jīng)是默認配置）

?定期檢查shadow文獻，如口令長度與否為空。

#awk-F:length（$2）==O{print$1}/etc/shadow

?設置文獻屬性和屬主

3.4管理密碼

?設置口令有效最長時限（編輯/etc/login.defs文獻）

?口令最短字符（如linux默認為5,可以通過編輯/etc/login.defs修改）

?只容許特定顧客使用SU命令成為rooto

編輯/elc/pamdsu文獻，在文獻頭部加上：

authsufficient/lib/security/pam_rootok.sodebug

authrequired/lib/securi（y/pam_wheel.sogroup=wheel

Redhat7.0中su文獻已做了修改，直接去掉頭兩行的注釋符就可以了

|root@dccp|#uscnntxl-GIOadmin來將顧客加入wheel組

3.5其他

?清除不必要口勺系統(tǒng)帳戶

|root@de€p|#userdeladm

|root@deep]#userdelIp

|root@deep|#userdelsync

|root@deep|#userdelshutdown

[root@deep]#userdelhilt

|root@dccp|#userdeln:ws

|root@deep]#userdeluucp

|root@deep]#userdeloperator

|root@dccp|#userdelgames（假如不使用XWindow,則刪除）

（root@deep]#userdelgapher

|root@deep|#userdelftp（假如不使用即服務則刪除）

?盡量不要在passwd文獻中包括個人信息，防止被finger之類程序泄露。

?修改shadow,pass“d,gshadow文獻不可變化位

|root@de€p|#chaltr+i/ctc/passwd

|roo（@deep|#chaltr+i/etc/shadow

|root@decp|#chaltr+i/etc/group

|root@deep|#chatlr+i/etc/gshadow

不要使用metre文獻，可以預先生成$HOME/.netrc。設置為0000。

touch/.rhosts；chinod0/.rhosts

?使用ssh來替代telneld,ftpd.pop等通用服務。老式H勺網(wǎng)絡服務程序，如：flp、pop

和telnet在本質(zhì)上都是不安全的，由于它們在網(wǎng)絡二用明文傳送口令和數(shù)據(jù)。

4網(wǎng)絡服務安全(NetworkServiceSecurity)

Linux系統(tǒng)對外提供強大、多樣的服務，由于服務的多樣性及其復雜性，在配置和管理這

些服務時尤其輕易出錯誤，比外，提供這些服務的軟件自身也存在多種漏洞，因此，在決定

系統(tǒng)對外開放服務時，必須牢記兩個基本原則：

?只對外開放所需要的服務，關閉所有不需要的服務。對外提供的服務越少，所面臨

日勺外部威脅越小。

?將所需的不一樣服務分布在不一樣的主機上，這樣不僅提高系統(tǒng)的性能，同步便于

配置和管理，減小系統(tǒng)口勺安全風險。

在上述兩個基本原則下.還要深入檢杳系統(tǒng)服務的功能利安全漏洞。

這里針對主機所提供的服務進行對應基本安全配置，某些常用服務的安全配置請參照有

關文檔。

4.1服務過濾Filtering

?在SERVER上嚴禁這些服務

?假如一定要開放這些服務，通過防火墻、路由指定信任IP訪問。

?要保證只有真正需要的服務才被容許外部訪問，并合法地通過顧客的路由器過濾檢

查。尤其在下面的服務不是顧客真正需要時候，要從路由器上將其過濾掉

NAMEPORTPROTOCOL

echo7TCP/UDP

systat11TCP

nctstat15TCP

bootp67UDP

tftp69UDP

link87TCP

supdup95TCP

sunrpc111TCP/UDP

news144TCP

snmp161UDP

xdincp177UDP

exec512TCP

login513TCP

shell514TCP

printer515TCP

biff512UDP

who513UDP

syslog514UDP

uucp540TCP

route52()UDP

openwin2023TCP

nfs2049UDP/TCP

xll60(X)to6000+nTCP

注意：有些UDP服務可以導致DOS襲擊和遠程溢出，如

rpc.ypupdated

rpcbind

rpc.cmsd100068

rpc.statd100024

rpc.tldbserver100083

sadmind100232/10

?配置完畢后來，運用網(wǎng)絡掃描器模擬入侵者從外部進行掃描測試。如運用nm即

4.2/etc/inetd.conf

?保證文獻權(quán)限設置為600

?保證文獻屬主設置為root

?注釋掉所有不需要的服務，需要重新啟動inetd進程

?使用neisiai-an命令，查看本機所提供的服務。保證已經(jīng)停掉不需要的服務

4.3R服務

不必使用R服務

?關閉R服務,Redhat6.2在/etc/inetd.conf文獻中注釋如下服務，并且重新啟動inetd服

務。Redhat7.0在/elc/xineld.d目錄中刪除

exec512TCP

Rlogin513TCP

Rshcll514TCP

?預先生/elc/hosts.equiv文獻，并且設置為（）000,防止被寫入“++”。

（襲擊者常常使用類似符號鏈接或者運用ROOTSHELL寫入，并且遠程打開受保護

主機的R服務）

必須使用R服務

?使用更安全版本的r服務。如WietseVenema的）logdaemon程序等。

?在路由或者防火墻上嚴禁外部網(wǎng)絡訪問受保護主機的512,513and514（TCP）端口。

?使用TCPWRAPPERS設置可訪問受保護主機R服務為信任機器。

4.4Tcp_wrapper

該軟件的作用是在Unix平臺上過波TCP/UDP服務，它目前已被廣泛用于監(jiān)視并過濾發(fā)

生在主機上的即、⑹net、rsh、rlogin、tfip、finger等原則TCP/UDP服務。

當系統(tǒng)安裝TCP_wrapper之后，in.conf文獻中/usr/sbin/in.telnetd的in.telnetd會被

TCP_wrapper附帶的tcpd程序取代。該程序被獲來自客戶端的服務祈求、記錄祈求發(fā)生的時

間和1P地址，并按訪問控制進行檢查。當本次連接H勺顧客、祈求源日勺IP等信息符合管理員

H勺預設值時，才將該次祈求芍遞給系統(tǒng)in.telnetd,由系統(tǒng)in.⑶netd完畢后續(xù)工作；若連接不

符合規(guī)定，該連接祈求將被拒絕。同樣，即、rsh等TCP/UDP服務均可被icpd取代，由icpd

充當二傳手。

?使用PARANOID模式，用此參數(shù)后需要在/elc/hosts文獻中加上容許使用telnet或ftp

服務H勺客戶端H勺名字和IP地址

?在在⑹hosts.dcny中設置為all:alL默認所有不容許

Accessisdeniedbydefault.

#Denyaccesstoeveryone.

AI.L:ALL@AIJ.,PARANOID#Matchesanyhostwhosenamedoesnotmatchitsaddress,see

bellow.

?在/etc/hosts.allow中設置容許的服務和地址

如：

?使川icpdchk檢查

?UDP服務使用tepwrapper時要使用/etc/inetd.conf中的nowait選項。

4.5/etc/hosts.equiv文獻

不必使用/etc/hosts.equiv文獻

?從系統(tǒng)中刪除此文獻

?預先生成/etc/hosts.equiv文獻，并且設置為0000,防止諛寫入"++”。（襲擊者常常使用

類似符號鏈接或者運用ROOTSHELL寫入，并且遠程打開受保護主機的R服務）

必須使用/eic/hosts.equiv文獻

?保證此文獻中可信賴上機為必須的。

?預先生成/etc/hosts.equiv文獻，并且設置為00（町防止被寫入“++”。（襲擊者常常使用

類似符號鏈接或者運用ROOTSHELL寫入，并fl遠程打開受保護主機的R服務）

?假如使用NIS或者NIS+的話，此文獻中的組應當是輕易管理的。

?信賴主機必須保證可靠

?信賴主機使用金名，如例如

?任何時候都不應當出現(xiàn)”+”字符，由于這樣會使任何一臺主機上的任何顧客都可以不

加口令地訪問系統(tǒng)

?文獻中不要使用和符號，由于在該文獻中那并不表達注釋信息

?文獻開始字符不應當為工，請查閱C8

?保證該文獻的訪問權(quán)限被設置成600。

?文獻屬主保證為ROOTo

?在每次安裝補丁程序或操作系統(tǒng)之后，都應當羽新檢查該文獻夾的設置狀況

4.6/etc/services

?保證文獻權(quán)限設置為600

?保證文獻屬主設置為root

?假如需要提供某些常見服務，如telnetd等，可以在此修改端口

此文獻為端口號和服務的對應關系，給此文獻加上保護，防止沒有授權(quán)的修改和刪除

[root@deepj#chattr+i/etc/services

4.7/etc/aliases

?修改/cic/aliascs文獻，注釋掉"decode""games,ingrcss,sysicmjoor、managcr,….”.等

?使用/usr/bin/newaliases命令激活新配置

?保證文獻權(quán)限設置為755

?保證文獻屬主設置為root

4.8NFS

NFS文獻系統(tǒng)應注意如下幾方面的安全

?在外部路由上過濾端口111、2049(TCP/UDP),不容許外部訪問。

?檢查PATCH更新狀況。

?檢查/etc/exporls輸出途徑H勺權(quán)限，確定只有rool能修改，alluser只能read

?用exporlfs去?增長或刪除directories

exportfs-oaccess=engineering,ro=dancer/usr

exportfs-u/usr

?假如你的機器沒有NIS(YPserver邢J服務，當更改資料時記得修改

/etc/passwd

Zc(c/group

/etc/hosts

/etc/ethcrs

?不容許export出去包括當?shù)厝肟诘哪夸?/p>

?確定對方機器是完全可信賴的。使用全名

?保證輸出列表沒有超過256個字符。

?使用showniount-e命令查看自己的export設置

?將/etc/exports權(quán)限設置為644,屬主為rool

?使用noexec,nodev.nosuid等選項控制mount口勺文獻系統(tǒng)，在/etc/fstab中設置。

4.9Trivialftp(tftp)

無論何種狀況下都不應當啟動這個服務進程。

4.10Sendmail

sendmail提供了許多在編譯期間選擇的功能特性。一般狀況下，按照其缺省配置，即可

滿足一般顧客的需要。不過，理解研究其提供的特性，可以實現(xiàn)對sendmail許多功能H勺更為

精確的配置使用。從網(wǎng)絡安全的角度考慮，通過合理地配置有關特性，可以在提供服務和保

證安全之間找到更為精確的平衡點(配置特性的措施是將需要rJ特性加入到對應系統(tǒng)的.me文

獻中,然后運用工具m4生成最終的sendmail.cf文獻。目前最新版本是sendniail.(.org)

?最新的發(fā)行包

?promiscuous_relay：該特性打開任意轉(zhuǎn)發(fā)功能，也即關閉8.9帶來的郵件轉(zhuǎn)發(fā)方面的

安全增強控制。此特性的使用會對電子郵件服務H勺濫用留下許多隱患，提議除非尤其

狀況,不要使用此特性.

?accept_unqualified_senders：缺省狀況卜，該特性被關閉，叩當MAILFROM:參數(shù)中

的地址表明屬于網(wǎng)絡連接,不過卻不包括合法的主機地址時，sendmail將拒絕繼續(xù)通

信。打開此特性則不再根據(jù)MAILFROM:參數(shù)拒絕接受郵件。提議不可輕易使用該特

性。

?loose_relay_check：一般狀況下，當郵件使用了源路由功能，例如user%site@othersite,

假如othersite屬于轉(zhuǎn)發(fā)郵件『、J范圍，則sendmail將分離othersite,繼續(xù)檢查site與否屬于

轉(zhuǎn)發(fā)范圜使用該特性將變化上述缺省操作.提議不要輕易使用該特性

?accept_unresolvable_domains：一，般狀況下，當MAILFROM:參數(shù)中的主機地址部分無

法解析，即無法鑒定為合法主機地址時,sendmail將拒絕連接.使用該特性將變化上述操

作.在某些狀況下，例如，郵件服務器位于防火墻背面,無法正常解析外部主機地址，不

過仍然但愿可以正常接受郵件時，也許需要運用該特性.

?blacklist_recipients：打開接受黑名單功能。接受黑名單可以包括顧客名、主機名、

或其他地址。

?relay_eniire_domain：缺省配置下,sendmail只為在轉(zhuǎn)發(fā)控制數(shù)據(jù)庫（accessdb）中定義

為RELAY的主機提供轉(zhuǎn)發(fā)郵件服務.該特性的使用，將使sendmail為當?shù)貐^(qū)內(nèi)（由

$=m類定義）的所有主機上面的顧客提供轉(zhuǎn)發(fā)功能

?sendmail的受限shell程序smrsh可以防止內(nèi)部顧客惡意操作。

?防止系統(tǒng)信息泄漏，如修改banner,嚴禁expn,vrfy命令

?提議配置為需要smtp認證功能。

?其他有關於Jmailserver

qmail:.org

postfix:.org

qp（）p：

Imail：

4.11finger

?不應當啟動這個服務進程。

?假如一定要使用，請使用最新日勺版本。

4.12UUCP

?提議不要使用

?刪除所有I為rhosts文獻(UUCP目錄下的)

?保證.cmds文獻屬主為root

?對UUCP登陸進行限制

?保證UUCP文獻沒有被設置為所有人可寫

4.13WorldWideWeb()-d

?使用你選擇的WEBSERVER的最新版本

?不要使用ROOT顧客運行d

?在chrool環(huán)境中運行d

?盡量不要使用CGI腳本

?對CGI腳本進行安全審計

?鏈接使用靜態(tài)庫

?過濾危險字符，如等

?使用s進行關鍵業(yè)務傳送。

比較流行的Iwebserver是

apache

netsepeH勺webserver和browser

IETF□勺Web事務安全工作組維持著一種尤其針對安全問題的郵寄列表.

要訂閱，可發(fā)e-mail到-security-.在信息的

正文里寫上

SUBSCRIBE-security你的email地址

重要的FAQ也包括有關Web安全的問與答，如記錄文獻管理和服務軟件來源等.這個

FAQ的最新版在：

4.14FTP安全問題

重要的ftpserver

?wuftp最新版本是26.1

下載地址是.tar.gz

?proftp最新版本是rc2

下載地址是

?ncftp最新版本是2.6.3

下載地址是

配置Configuration

?檢查所有的默認配置選項

?確定沒有SITEEXEC問題

?設置/elc/flpusers確定嚴禁使用flp的）顧客

?使用chroot環(huán)境運行ftpd

?使用自己的1s等命令

?加入對quota,pam等支持

?配置/etc/ftpaccess文獻，嚴禁系統(tǒng)信息泄露和設置最大連接數(shù)

?配置/etc/ftphosts,設置容許使用FTP口勺HOST和USER

?針對不一樣顧客設置不一樣權(quán)限

?常常查看LOG記錄/var/log/xfcrlog

?配置文獻屬性改為600

Anonymousftp

?編譯時打開容許匿名選項

?假如使用分布式passwords(eg,NIS,NIS+),需要設置好密碼文獻。

?匿名顧客只給讀權(quán)限(在/eic/fipaccess中設置)

5系統(tǒng)設置安全(SystemSettingSecurity)

5.1限制控制臺的使用

嚴禁使用控制臺程序：刪除/etc/security/console.apps中的服務

[root@dccp|#rm-f/etc/security/console.apps/scrviccnanic.

例如：|rool@deepj#nn-f/etc/security/console.apps.4)al(

[r(x)t@deepl#rm-f/etc/s€curity/console.apps.''poweroff

Iroot@deepJ#rm-f/etc/s?:uriiy/console.apps./reboot

(root@deepj#rm-f/etc/s€curity/console.apps/shutdown

[root@deep]#rm-f/etc/security/console.apps/xserver(如刪除，只有root能啟動Xserver)

嚴禁控制臺的訪問：在/eic/pam.d中的所有文獻中，給包括pain_console.so的I行加上注釋

5.2系統(tǒng)關閉Ping

關閉ping,使系統(tǒng)對ping不做反應，對網(wǎng)絡安全大有好處。

可以使用如下命令：

[roo(@deep|#echo1>/proc/sys/rel/ipv4/icmp_echo_ignore_all

可以將這一行加到/eic/rc.d/rc.kxal文獻中去，這樣系統(tǒng)重啟動后會自動執(zhí)行

恢旦系統(tǒng)的JPing響應：

[root@deep]#echo0>/proc/sys/ret/ipv4/icinp_echo_ignore_all

5.3關閉或更改系統(tǒng)信息

關閉telnet系統(tǒng)信息

RedHat6.2中，編輯/elc/inetd.conf

telnetstreamtepnowaitroot/usr/sbinAcpdin.telnctd-h

加上參數(shù)-h可以關閉tenet信息

RedHat7.0q],編輯/elc/xineld.d/lelnel

加上server_args=?h,可以關閉telnet信息

/etc/rc.d/rc.l(x:al中關閉或修改系統(tǒng)信息

/etc/issue和/ctc/issuc.nei中包括當?shù)氐卿浐途W(wǎng)絡登錄時提醒的系統(tǒng)信息，對它們進行更改

可以變化系統(tǒng)信息，或直接刪除，并在/etc/rc.d/rc』ocal文獻中注釋有關行：

#echo"">/etc/issue

#ccho"SR"?/etc/issue

#echo"Kernel$(uname-r)on$a$(uname-m)"?/etc/issue

#cp-fZetc/issue/etc/

#echo?/etc/issue

5.4/etc/securetty文獻

/ctc/sccuretly文獻規(guī)定root從哪個TTY設名登錄，列出口勺是容許的tty設偉，將不容許的tly

設備行注釋掉.

5.5/etc/host.conf文獻

/cic/hostconf定義主機名怎樣解析，使用什么服務,什么次序解析

#LookupnamesviaDNSfirstthenfallbackto/etc/hosts.

orderbind.hosts

#WehavemachineswithmultipleIPaddresses,

multion

#CheckforIPaddressspoofing.

nospoofon

order指定選擇服務的次序

multi指定主機能不能有多種IP地址.ON代表容許

nospoofIS定不容許IP偽裝,此參數(shù)必須設置為ON

5.6嚴禁IP源途徑路由

容許IP源途徑路由(IPsourcerouting)會使得黑客可以欺褊你的計算機，截取信息包.強烈

提議嚴禁，使用如下命令：

lorfin/proc/sys/net/ipv4/conf7*/accept_source_rou（c;do

echo0>$f

done

將acccpt_sourcc_rouie設置為0,并將上述命令加到/cic/ro.d/rc.local中去，每次重:啟動將

自動執(zhí)行

5.7資源限制

為了防止拒絕服務襲擊，需要對系統(tǒng)資源的使用做某些限制。

首先，編輯/elc/securily/Iimils.conf,加入或變化如下

hardcore0（嚴禁創(chuàng)立core文獻）

*hardrss500（）（除root外，其他顧客最多使用5M內(nèi)存）

*hardnproc20（最多進程數(shù)限制為20）

編輯/etc/pam.d/login,在文獻末尾加上:

sessionrequired/lib/security/pam_limits.so

對TCPSYNCookie的保護：（防止SYNFlood襲擊）

[root@dccp]#echo1>/proc/sys/nct/ipv4/（cp_syncookics

5.8LILO安全

在“/etc/lilo.conf，文獻中添加3個參數(shù)：lime-out、restricted和password<>這些選項會在

啟動時間（如“l(fā)inuxsingle”）轉(zhuǎn)到啟動轉(zhuǎn)載程序過程中，規(guī)定提供密碼。

環(huán)節(jié)1

編輯lilo.conf文獻(/etc/lilo.conf),添加和更改這三個選項：

boot=/dev/lida

map=/boot/map

install=/boot/boot.b

time-out=00#changethislineto00

prompt

Dcfault=linux

restricted#addthisline

password=#addthislineandputyourpassword

image=/boot/vmlinuz-12

iabel=linux

ini(rd=/boot/initrd—12.img

root=/dev/hda6

read-only

環(huán)節(jié)2

由于其中的密碼未加密，”/etc/lilo.con「文獻只對根顧客為可讀。

|root@kapil/]#chmod600/etc/iilo.conf(不再為全局可讀)

環(huán)節(jié)3

作了上述修改后，更新配置文獻”/ctc/lilo.conf、

[Root@kapil/]#/sbin/lilo-v（更新lilo.conf文獻）

環(huán)節(jié)4

尚有一種措施使“期。皿。（。11『更安全，那就是用chailr命令將其設為不可：

[root@kapil/]#chattr+i/etc/lilo.conf

它將制止任何對“山。6!1『文獻的更改，無論與否故意。

5.9Control-Alt-Delete鍵盤關機命令

編輯—ttab”文獻,只要在下面行前面加“#"，改為注釋行。

ca::ctrla