Linux操作系統(tǒng)的基本安全措施
Linux操作系統(tǒng)的基本安全措施
Linux操作系統(tǒng)跟普通的系統(tǒng)一樣,系統(tǒng)安全是需要維護的。下面由學(xué)習(xí)啦小編整理了Linux操作系統(tǒng)的基本安全措施,希望對你有幫助。
Linux操作系統(tǒng)的基本安全措施一
1. 使用SELinux
SELinux是用來對Linux的進行安全加固的,有了它,用戶和管理員們就可以對訪問控制進行更多控制。SELinux為訪問控制添加了更細的顆粒度控制。與僅可以指定誰可以讀、寫或執(zhí)行一個文件的權(quán)限不同的是,SELinux可以讓你指定誰可以刪除鏈接、只能追加、移動一個文件之類的更多控制。(LCTT譯注:雖然NSA也給SELinux貢獻過很多代碼,但是目前尚無證據(jù)證明SELinux有潛在后門)
2. 訂閱漏洞警報服務(wù)
安全缺陷不一定是在你的操作系統(tǒng)上。事實上,漏洞多見于安裝的應(yīng)用程序之中。為了避免這個問題的發(fā)生,你必須保持你的應(yīng)用程序更新到最新版本。此外,訂閱漏洞警報服務(wù),如SecurityFocus。
3. 禁用不用的服務(wù)和應(yīng)用
通常來講,用戶大多數(shù)時候都用不到他們系統(tǒng)上的服務(wù)和應(yīng)用的一半。然而,這些服務(wù)和應(yīng)用還是會運行,這會招來攻擊者。因而,最好是把這些不用的服務(wù)停掉。(LCTT譯注:或者干脆不安裝那些用不到的服務(wù),這樣根本就不用關(guān)注它們是否有安全漏洞和該升級了。)
4. 檢查系統(tǒng)日志
你的系統(tǒng)日志告訴你在系統(tǒng)上發(fā)生了什么活動,包括攻擊者是否成功進入或試著訪問系統(tǒng)。時刻保持警惕,這是你第一條防線,而經(jīng)常性地監(jiān)控系統(tǒng)日志就是為了守好這道防線。
5. 考慮使用端口試探
設(shè)置端口試探(Port knocking)是建立服務(wù)器安全連接的好方法。一般做法是發(fā)生特定的包給服務(wù)器,以觸發(fā)服務(wù)器的回應(yīng)/連接(打開防火墻)。端口敲門對于那些有開放端口的系統(tǒng)是一個很好的防護措施。
6. 使用Iptables
Iptables是什么?這是一個應(yīng)用框架,它允許用戶自己為系統(tǒng)建立一個強大的防火墻。因此,要提升安全防護能力,就要學(xué)習(xí)怎樣一個好的防火墻以及怎樣使用Iptables框架。
7. 默認拒絕所有
防火墻有兩種思路:一個是允許每一點通信,另一個是拒絕所有訪問,提示你是否許可。第二種更好一些。你應(yīng)該只允許那些重要的通信進入。(LCTT譯注:即默認許可策略和默認禁止策略,前者你需要指定哪些應(yīng)該禁止,除此之外統(tǒng)統(tǒng)放行;后者你需要指定哪些可以放行,除此之外全部禁止。)
8. 使用入侵檢測系統(tǒng)
入侵檢測系統(tǒng),或者叫IDS,允許你更好地管理系統(tǒng)上的通信和受到的攻擊。Snort是目前公認的Linux上的最好的IDS。
9. 使用全盤加密
加密的數(shù)據(jù)更難竊取,有時候根本不可能被竊取,這就是你應(yīng)該對整個驅(qū)動器加密的原因。采用這種方式后,如果有某個人進入到你的系統(tǒng),那么他看到這些加密的數(shù)據(jù)后,就有得頭痛了。根據(jù)一些報告,大多數(shù)數(shù)據(jù)丟失源于機器被盜。
Linux操作系統(tǒng)的基本安全措施二
1、BIOS的安全設(shè)置
這是最基本的了,也是最簡單的了。一定要給你的BIOS設(shè)置密碼,以防止通過在BIOS中改變啟動順序,而可以從軟盤啟動。這樣可以阻止別有用心的試圖用特殊的啟動盤啟動你的系統(tǒng),還可以阻止別人進入BIOS改動其中的設(shè)置,使機器的硬件設(shè)置不能被別人隨意改動。
2、LILO的安全設(shè)置
LILO是linux LOader的縮寫,它是linux的啟動模塊??梢酝ㄟ^修改“/etc/lilo.conf”文件中的內(nèi)容來進行配置。在/etc/lilo.conf文件中加如下面兩個參數(shù):restricted,password.這三個參數(shù)可以使你的系統(tǒng)在啟動lilo時就要求密碼驗證。
第一步:編輯lilo.conf文件(vi /etc/lilo.comf),假如或改變這三個參數(shù):
boot=/dev/hda map=/boot/map install=/boot/boot.b prompt timeout=00 #把這行該為00,這樣系統(tǒng)啟動時將不在等待,而直接啟動linux message=/boot/message linear default=linux restricted #加入這行 password= #加入這行并設(shè)置自己的密碼 image=/boot/vmlinuz-2.4.2-2 label=linux root=/dev/hda6 read-only
第二步:因為“/etc/lilo.conf”文件中包含明文密碼,所以要把它設(shè)置為root權(quán)限讀取。
# chmod 0600 /etc/lilo.conf
第三步:更新系統(tǒng),以便對“/etc/lilo.conf”文件做的修改起作用。
# /sbin/lilo -v
第四步:使用“chattr”命令使“/etc/lilo.conf”文件變?yōu)椴豢筛淖儭?/p>
# chattr +i /etc/lilo.conf
這樣可以在一定程度上防止對“/etc/lilo.conf”任何改變(意外或其他原因)
3、讓口令更加安全
口令可以說是系統(tǒng)的第一道防線,目前網(wǎng)上的大部分對系統(tǒng)的攻擊都是從截獲口令或者猜測口令開始的,所以我們應(yīng)該選擇更加安全的口令。
首先要杜絕不設(shè)口令的帳號存在。這可以通過查看/etc/passwd文件發(fā)現(xiàn)。例如,存在的用戶名為test的帳號,沒有設(shè)置口令,則在/etc/passwd文件中就有如下一行:
test::100:9::/home/test:/bin/bash
其第二項為空,說明test這個帳號沒有設(shè)置口令,這是非常危險的!應(yīng)將該類帳號刪除或者設(shè)置口令。
其次,在舊版本的linux中,在/etc/passwd文件中是包含有加密的密碼的,這就給系統(tǒng)的安全性帶來了很大的隱患,最簡單的方法就是可以用暴力破解的方法來獲得口令??梢允褂妹?usr/sbin/pwconv或者/usr/sbin/grpconv來建立/etc/shadow或者/etc/gshadow文件,這樣在/etc/passwd文件中不再包含加密的密碼,而是放在/etc/shadow文件中,該文件只有超級用戶root可讀!
第三點是修改一些系統(tǒng)帳號的Shell變量,例如uucp,ftp和news等,還有一些僅僅需要FTP功能的帳號,一定不要給他們設(shè)置/bin/bash或者/bin/sh等Shell變量??梢栽?etc/passwd中將它們的Shell變量置空,例如設(shè)為/bin/false或者/dev/null等,也可以使用usermod -s /dev/nullusername命令來更改username的Shell為/dev/null.這樣使用這些帳號將無法Telnet遠程登錄到系統(tǒng)中來!
第四點是修改缺省的密碼長度:在你安裝linux時默認的密碼長度是5個字節(jié)。但這并不夠,要把它設(shè)為8.修改最短密碼長度需要編輯login.defs文件(vi/etc/login.defs),把下面這行
PASS_MIN_LEN 5 改為 PASS_MIN_LEN 8
login.defs文件是login程序的配置文件。
4、自動注銷帳號的登錄
在unix系統(tǒng)中root賬戶是具有最高特權(quán)的。如果系統(tǒng)管理員在離開系統(tǒng)之前忘記注銷root賬戶,那將會帶來很大的安全隱患,應(yīng)該讓系統(tǒng)會自動注銷。通過修改賬戶中“TMOUT”參數(shù),可以實現(xiàn)此功能。TMOUT按秒計算。編輯你的profile文件(vi/etc/profile),在“HISTFILESIZE=”后面加入下面這行:
TMOUT=300
300,表示300秒,也就是表示5分鐘。這樣,如果系統(tǒng)中登陸的用戶在5分鐘內(nèi)都沒有動作,那么系統(tǒng)會自動注銷這個賬戶。你可以在個別用戶的“。bashrc”文件中添加該值,以便系統(tǒng)對該用戶實行特殊的自動注銷時間。
改變這項設(shè)置后,必須先注銷用戶,再用該用戶登陸才能激活這個功能。
5、取消普通用戶的控制臺訪問權(quán)限
你應(yīng)該取消普通用戶的控制臺訪問權(quán)限,比如shutdown、reboot、halt等命令。
# rm -f /etc/security/console.apps/
是你要注銷的程序名。
6、取消并反安裝所有不用的服務(wù)
取消并反安裝所有不用的服務(wù),這樣你的擔(dān)心就會少很多。察看“/etc/inetd.conf”文件,通過注釋取消所有你不需要的服務(wù)(在該服務(wù)項目之前加一個“#”)。然后用“sighup”命令升級“inetd.conf”文件。
補充:Linux操作系統(tǒng)的基礎(chǔ)安全知識
1、基本的系統(tǒng)安全
安全的磁盤布局
使用掛裝選項提高文件系統(tǒng)的安全性
查找并取消文件/目錄的非必要的特殊權(quán)限
避免安裝不必要的軟件包
配置軟件包更新的Email通知
關(guān)閉不必要的服務(wù)
關(guān)閉IPv6的內(nèi)核功能