在CentOS系统上,为了加强系统对 exploit 的防御,可以采取以下措施:
/etc/login.defs
文件来强制执行这些要求。chattr
命令给 /etc/passwd
, /etc/shadow
, /etc/group
, 和 /etc/gshadow
文件加上不可更改属性,以防止未授权访问。/etc/profile
文件中的 TMOUT
参数,可以设置root账户的自动注销时限,以减少未授权访问的风险。/etc/pam.d/su
文件,限制只有特定组的用户才能使用 su
命令切换为root。/etc/security/console.apps
下的相应程序的访问控制文件。/etc/inittab
文件,可以禁用 ctrl+alt+delete
组合键重启机器的命令。/etc/rc.d/init.d/
目录下所有文件的权限,以确保只有root用户可以操作这些服务。/etc/exports
文件具有最严格的访问权限设置。/etc/securetty
文件,可以限制root用户只能在特定的tty设备上登录。host.conf
文件和设置资源限制,如最大进程数和内存使用量。tcp_max_syn_backlog
, tcp_syncookies
, tcp_synack_retries
和 tcp_syn_retries
,可以增加系统的安全性。通过上述措施,可以显著提高CentOS系统对 exploit 的防御能力,减少系统被攻击的风险。