如何使用Bastille加固Linux服务器安全

Bastille加固软件可以“牢牢锁定” *** 作系统，积极主动地配置系统，以提高安全性，并且降低容易出现中招和停运的几率。Bastille还能评估系统的当前加固状态，精细化地报告它所处理的每一个安全设置。目前它支持红帽(Fedora、Enterprise和Numbered/Classic)、SUSE、Ubuntu、Debian、Gentoo、Mandrake、Mac OS X和HP-UX等 *** 作系统。
Bastille致力于让系统的用户/管理员可以选择到底如何加固 *** 作系统。在其默认的加固模式下，它以互动方式向用户提出问题，解释那些问题的主题，并且根据用户的回答来制定策略。然后，它将该策略运用到系统。在评估模式下，它建立一份报告，旨在教用户注意可用的安全设置，并且告知用户哪些设置已经加强。
将Bastille安装到Ubuntu/Debian上
使用下列命令，在Ubuntu/Debian及其衍生版上安装Bastille：
sk@sk:~$ sudo apt-get install bastille perl-tk
启动Basetille
执行下列命令，开始使用Bastille：
sk@sk:~$ sudo bastille
首先，它会显示License Agreement(许可证协议)。输入accept表示同意：

使用下面命令，查看系统是否含有pam_tally2so模块，如果没有就需要使用pam_tallyso模块，两个模块的使用方法不太一样，需要区分开来。

编辑系统/etc/pamd/system-auth 文件，一定要在pam_envso后面添加如下策略参数：

上面只是限制了从终端su登陆，如果想限制ssh远程的话，要改的是/etc/pamd/sshd这个文件，添加的内容跟上面一样！

编辑系统/etc/pamd/sshd文件，注意添加地点在#%PAM-10下一行，即第二行添加内容

ssh锁定用户后查看：

编辑系统 /etc/pamd/login 文件，注意添加地点在#%PAM-10的下面,即第二行，添加内容

tty登录锁定后查看：

编辑 /etc/pamd/remote文件，注意添加地点在pam_envso后面,参数和ssh一致

关于IIS服务器的安全主要包括六步：
1、使用安全配置向导（Security Configuration Wizard）来决定web服务器所需的最小功能，然后禁止其他不需要的功能。具体地说，它能帮你
1》禁止不需要的服务
2》堵住不用的端口
3》至于打开的端口，对可以访问的地址和其他安全做进一步的限制
4》如果可行，禁止不需要的IIS的web扩展
5》减小对SMB，LAN Manager，和LDAP协议的显露
6》定义一个高信噪比的对策
2、把网站文件放在一个非系统分区（partition）上，防止directory traversal的缺陷，对内容进行NTFS权限稽查（Audit）。
3、对自己的系统定期做安全扫描和稽查，在别人发现问题前尽早先发现自己的薄弱处。
4、定期做日志分析，寻找多次失败的登陆尝试，反复出现的404，401，403错误，不是针对你的网站的请求记录等。
5、如果使用IIS 6的话，使用Host Headers ，URL扫描，实现自动网站内容和IIS Metabase的Replication，对IUSR_servername帐号户使用标准的名称等。
6、总的web架构的设计思路：别把你的外网web服务器放在内网的活动目录（Active Directory）里，别用活动目录帐号运行IIS匿名认证，考虑实时监测，认真设置应用池设置，争取对任何活动做日志记录，禁止在服务器上使用Internet Explorer等。

---