公司电商网站建设方案模板,室内设计网站知乎,微商做网站,苏州和城乡建设局网站首页很多人都说 Linux 在默认配置下很安全#xff0c;我在一定程度上同意这个说法(很值得商榷的话题)。不过 Linux 内置的安全模型和工具做得确实很到位#xff0c;用户只需进行简单的调整和自定义就可以加强 Linux 服务器安全。与恶意用户做斗争对于所有 Linux 系统管理员来说都…很多人都说 Linux 在默认配置下很安全我在一定程度上同意这个说法(很值得商榷的话题)。不过 Linux 内置的安全模型和工具做得确实很到位用户只需进行简单的调整和自定义就可以加强 Linux 服务器安全。与恶意用户做斗争对于所有 Linux 系统管理员来说都是一项艰巨的任务本文我们将介绍如何加强 Linux 服务器安全的 20 项建议希望对保护你的系统有所帮助。1. 物理安全在服务器 BIOS 中禁用光驱、软驱、U盘等可引导的外部设备并启用 BIOS 密码及 GRUB 密码来限制对系统的物理访问。2. 磁盘分区我们可以通过使用不同的分区来分散存储数据以获得更高的数据安全性当发生任何灾难时由于数据是隔离存储的会将数据损失的几率降到最低。3. 尽量减少软件包以减少漏洞建议管理员尽量避免在 Linux 中安装非必要的软件包而且不要使用来源不明的包以尽可能的避免程序漏洞。当一个服务出问题时很可能会波及到其它服务甚至整个系统所以「非必要的服务就不运行」这是一个铁则。对于 CentOS 系统可以使用 chkconfig 来查看运行在 runlevel 3 的服务/sbin/chkconfig --list |grep 3:on一旦发现有不需要的服务正常运行可以使用如下命令禁用chkconfig serviceName off对于使用 RPM 包或 DEB 安装的服务可以使用 yum 或 apt-get 找出包名称并用如下命令移除yum -y remove package-namesudo apt-get remove package-name4. 查看网络侦听端口使用 netstat 命令可以看到什么样的网络应用正在侦听哪些端口找出不必要的程序之后再用上面的方面来处理。netstat –tulpn5. 使用安全的远程连接(SSH)Telnet 和 rlogin 都使用明文的协议而且已被证实存在多种已经安全漏洞SSH 是一种安全的协议它可以使用加密技术与服务器进行通讯。非必要时不要使用 root 账户登录 SSH要习惯使用 sudo 来切换身份。SSH 22 端口目标过于明显建议大家改成一个不常用的高端口并在 vi /etc/ssh/sshd_config 配置文件中至少配置如下选项#禁用root登录PermitRootLogin no#仅允许特定用户AllowUsers username#SSH协议版本Protocol 26. 保持系统更新尽量始终保持系统内核、应用补丁及安全修复处在最新状态yum updatesyum check-update7. 锁定定时任务cron 可以指定哪些用户可以使用只需将允许的用户添加到 /etc/cron.allow 或将禁用的用户添加到 /etc/cron.deny 中即可。如果希望禁用所有用户使用任务计划只需将ALL添加到cron.deny文件当中。echo ALL /etc/cron.deny8. 禁用USB存储设备检测很多时候我们都需要禁用 USB 存储设备以防数据拷出此时可以创建一个/etc/modprobe.d/no-usb文件并填入如下内容即可禁用 USB 存储设备检测install usb-storage /bin/true9. 启用SELinux安全增强型 Linux(SELinux)是在内核中提供的强制访问控制的安全机制。很多网络文章为了方便配置都建议大家禁用 SELinux 功能我在这里到是建议大家在考虑关闭 SELinux 前应该三思。SELinux 提供用户三种基本操作模式Enforcing启用和执行机器上的 SELinux 策略(默认配置)Permissive在此种模式下SELinux 不会强制执行系统上的安全策略只会产生相应日志和警告。Permissive 模式在 SELinux 排错时经常会乃至。Disabled禁用 SELinux 功能如果你想查看当前系统 SELinux 的状态可以使用sestatus如果要从禁用状态启用 SELinux 可以使用setenforce enforcing以上配置只对当前系统状态有用重启会失效。要一劳永逸开关 SELinux 可以更改其配置文件/etc/selinux/config。10. 移除KDE/GNOME桌面不论你是运行 LAMP 的专属服务器还是其它类型服务器KDE 或 GNOME 这样 X Window 桌面环境是没多大必要使用的禁用之后可以提高服务器性能和增强安全性。使用如下命令即可完全卸载yum groupremove X Window System11. 禁用IPv6IPv6 目前还没有大规模普及如果你不使用 IPv6 协议可以在 /etc/sysconfig/network 配置文件中将其禁用。NETWORKING_IPV6noIPV6INITno12. 限制用户重复使用旧密码很多用户习惯在强制定期更换密码时重复循环使用以前的密码这对于服务器管理员来说是一种非常不好的习惯。因此建议大家限制用户重复使用旧密码该功能可以通过 PAM 来实现。RHEL/CentOS/Fedora/etc/pam.d/system-authUbuntu/Debian/Linux Mint/etc/pam.d/common-password在上述配置文件中的auth区块添加一行auth sufficient pam_unix.so likeauth nullok在password区块添加一行password sufficient pam_unix.so nullok use_authtok md5 shadow remember5配置好后服务器会禁止使用最近 5 个被使用过的用户密码。13. 配置密码过期策略Linux 中用户密码是被加密存储到/etc/shadow文件当中的要配置密码过期的详细信息需要用到change命令。例如要查看某个账户的密码过期日期和时间可以使用如下命令chage -l username要更改密码过期策略可以使用类似如下命令chage -M 60 usernamechage -M 60 -m 7 -W 7 username-M 密码使用最长天数-m 密码使用最短天数-W 密码过期提示天数14. 手动锁定或解锁账户在不从系统中移除账户的情况下对账户进行锁定和解锁是非常有用的一个安全手段。需要锁定一个账户时可以使用如下命令passwd -l accountname账户锁定同样适用于 root 账户当某账户被锁定时会增加 (!) 字串账户解锁时移除 (!) 字串。需要解锁时使用如下命令passwd -u accountname15. 强制使用强密码弱密码或用生日密码之类的密码太容易被字典和社会工程学攻破了所以建议大家打开强密码要求。Linux 中的强密码要求还是使用 PAM 模块只需编辑/etc/pam.d/system-auth文件/lib/security/$ISA/pam_cracklib.so retry3 minlen8 lcredit-1 ucredit-2 dcredit-2 ocredit-116. 启用Iptables强烈建议大家使用 Iptables 来保护 Linux 服务器安全Iptables 可以在不同的链上配置不同的规则来处理数据包。17. 在Inittab中禁用CtrlAltDelete大多数 Linux 发行版中按下「CtrlAltDelete」时都会重启系统对于 Linux 生产服务器来说这几乎是一个白痴设计。如果你希望关闭这个默认重启功能可以将/etc/inittab配置文件中的如下两千注释掉# Trap CTRL-ALT-DELETE#ca::ctrlaltdel:/sbin/shutdown -t3 -r now18. 查看空密码账户如果系统中存在有权限的空密码账户就相当于开了一扇门。所以建议大家仔细清查一下cat /etc/shadow | awk -F: ($2){print $1}19. 忽略ICMP或广播请求要忽略 ICMP 或广播请求我们可以编辑/etc/sysctl.conf配置文件net.ipv4.icmp_echo_ignore_all 1net.ipv4.icmp_echo_ignore_broadcasts 1配置文件改好之后使用如下命令载入生效sysctl –p20. 定期审查日志建议大家将日志文件进行专门的集中存放和处理这样可以比较有效避免入侵者对日志进行篡改下面是 Linux 常见的默认日志路径/var/log/message – 系统日志或当前活动日志/var/log/auth.log – 验证日志/var/log/kern.log – 内核日志/var/log/cron.log – 任务计划日志/var/log/maillog – 邮件服务器日志/var/log/boot.log – 系统启动日志/var/log/mysqld.log – MySQL 服务器日志/var/log/secure – 包含验证和授权方面信息/var/log/utmp或/var/log/wtmp – 登录记录文件
