Linux 服務(wù)器提高安全性的技巧方法
Linux繼承了Unix以網(wǎng)絡(luò)為核心的設(shè)計(jì)思想,是一個(gè)性能穩(wěn)定的多用戶網(wǎng)絡(luò)操作系統(tǒng)。不過安全問題也是一個(gè)關(guān)鍵。下面介紹一下方法技巧,希望下面的這些技巧和竅門可以幫助你加強(qiáng)你的系統(tǒng)的安全
方法技巧
1. 物理系統(tǒng)的安全性
配置BIOS,禁用從CD/DVD、外部設(shè)備、軟驅(qū)啟動(dòng)。下一步,啟用BIOS密碼,同時(shí)啟用GRUB的密碼保護(hù),這樣可以限制對系統(tǒng)的物理訪問。
2. 磁盤分區(qū)
使用不同的分區(qū)很重要,對于可能得災(zāi)難,這可以保證更高的數(shù)據(jù)安全性。通過劃分不同的分區(qū),數(shù)據(jù)可以進(jìn)行分組并隔離開來。當(dāng)意外發(fā)生時(shí),只有出問題 的分區(qū)的數(shù)據(jù)才會(huì)被破壞,其他分區(qū)的數(shù)據(jù)可以保留下來。你最好有以下的分區(qū),并且第三方程序最好安裝在單獨(dú)的文件系統(tǒng)/opt下。
/
/boot
/usr
/var
/home
/tmp
/opt
3. 最小包安裝,最少漏洞
你真的需要安裝所有的服務(wù)么?建議不要安裝無用的包,避免由這些包帶來的漏洞。這將最小化風(fēng)險(xiǎn),因?yàn)橐粋€(gè)服務(wù)的漏洞可能會(huì)危害到其他的服務(wù)。找到并去除或者停止不用的服務(wù),把系統(tǒng)漏洞減少到最小。使用‘chkconfig’命令列出運(yùn)行級別3的運(yùn)行所有服務(wù)。
# /sbin/chkconfig --list |grep '3:on'
當(dāng)你發(fā)現(xiàn)一個(gè)不需要的服務(wù)在運(yùn)行時(shí),使用下面的命令停止這個(gè)服務(wù)。
# chkconfig serviceName off
使用RPM包管理器,例如YUM或者apt-get 工具來列出所有安裝的包,并且利用下的命令來卸載他們。
# yum -y remove package-name
# sudo apt-get remove package-name
4. 檢查網(wǎng)絡(luò)監(jiān)聽端口
在網(wǎng)絡(luò)命令‘netstat’的幫助下,你將能夠看到所有開啟的端口,以及相關(guān)的程序。使用我上面提到的‘chkconfig’命令關(guān)閉系統(tǒng)中不想要的網(wǎng)絡(luò)服務(wù)。
# netstat -tulpn
5. 使用 SSH(Secure Shell)
Telnet 和 rlogin 協(xié)議只能用于純文本,不能使用加密的格式,這或?qū)?dǎo)致安全漏洞的產(chǎn)生。SSH 是一種在客戶端與服務(wù)器端通訊時(shí)使用加密技術(shù)的安全協(xié)議。
除非必要,永遠(yuǎn)都不要直接登錄 root 賬戶。使用 “sudo” 執(zhí)行命令。sudo 由 /etc/sudoers 文件制定,同時(shí)也可以使用 “visudo”工具編輯,它將通過 VI 編輯器打開配置文件。
同時(shí),建議將默認(rèn)的 SSH 22 端口號改為其他更高的端口號。打開主要的 SSH 配置文件并做如下修改,以限制用戶訪問。
# vi /etc/ssh/sshd_config
關(guān)閉 root 用戶登錄
PermitRootLogin no
特定用戶通過
AllowUsers username
使用第二版 SSH 協(xié)議
Protocol 2
6. 保證系統(tǒng)是最新的
得一直保證系統(tǒng)包含了最新版本的補(bǔ)丁、安全修復(fù)和可用內(nèi)核。
# yum updates
# yum check-update
7. 鎖定 Cron任務(wù)
Cron有它自己內(nèi)建的特性,這特性允許定義哪些人能哪些人不能跑任務(wù)。這是通過兩個(gè)文件/etc/cron.allow 和 /etc /cron.deny 控制的。要鎖定在用Cron的用戶時(shí)可以簡單的將其名字寫到corn.deny里,而要允許用戶跑cron時(shí)將其名字加到 cron.allow即可。如果你要禁止所有用戶使用corn,那么可以將“ALL”作為一行加到cron.deny里。
# echo ALL >>/etc/cron.deny
8. 禁止USB探測
很多情況下我們想去限制用戶使用USB,來保障系統(tǒng)安全和數(shù)據(jù)的泄露。建立一個(gè)文件‘/etc/modprobe.d/no-usb’并且利用下面的命令來禁止探測USB存儲。
install usb-storage /bin/true
9.打開SELinux
SELinux(安全增強(qiáng)linux)是linux內(nèi)核提供的一個(gè)強(qiáng)制的訪問控制安全機(jī)制。禁用SELinux意味著系統(tǒng)丟掉了安全機(jī)制。要去除SELinux之前仔細(xì)考慮下,如果你的系統(tǒng)需要發(fā)布到網(wǎng)絡(luò),并且要在公網(wǎng)訪問,你就要更加注意一下。
SELinux 提供了三個(gè)基本的操作模式,他們是:
強(qiáng)制執(zhí)行:這是默認(rèn)是模式,用來啟用和強(qiáng)制執(zhí)行SELinux安全措略。
許可模式:這種模式下SELinux不會(huì)強(qiáng)制執(zhí)行安全措略,只有警告和日志記錄。這種模式在SELinux相關(guān)問題的故障排除時(shí)候非常有用。
關(guān)閉模式:SELinux被關(guān)閉。
你可以使用命令行‘system-config-selinux’, ‘getenforce’ 或 ‘sestatus’來瀏覽當(dāng)前的SEliux的狀態(tài)。
# sestatus
如果是關(guān)閉模式,通過下面的命令開啟SELinux
# setenforce enforcing
你也可以通過配置文件‘/etc/selinux/config’來進(jìn)行SELinux的開關(guān)操作。
10. 移除KDE或GNOME桌面
沒必要在專用的LAMP服務(wù)器上運(yùn)行X Window桌面比如KDE和GNOME??梢砸频艋蜿P(guān)閉它們,以提高系統(tǒng)安全性和性能。打開/etc/inittab然后將run level改成3就可以關(guān)閉這些桌面。如果你將它徹底的從系統(tǒng)中移走,可以用下面這個(gè)命令:
# yum groupremove "X Window System"
補(bǔ)充:Linux基本命令
1.ls命令:
格式::ls [選項(xiàng)] [目錄或文件]
功能:對于目錄,列出該目錄下的所有子目錄與文件;對于文件,列出文件名以及其他信息。
常用選項(xiàng):
-a :列出目錄下的所有文件,包括以 . 開頭的隱含文件。
-d :將目錄像文件一樣顯示,而不是顯示其他文件。
-i :輸出文件的i節(jié)點(diǎn)的索引信息。
-k :以k字節(jié)的形式表示文件的大小。
-l :列出文件的詳細(xì)信息。
-n :用數(shù)字的UID,GID代替名稱。
-F : 在每個(gè)文件名后面附上一個(gè)字符以說明該文件的類型,“*”表示可執(zhí)行的普通文 件;“/”表示目錄;“@”表示符號鏈接;“l”表示FIFOS;“=”表示套接字。
2.cd命令
格式:cd [目錄名稱]
常用選項(xiàng):
cd .. 返回上一級目錄。
cd ../.. 將當(dāng)前目錄向上移動(dòng)兩級。
cd - 返回最近訪問目錄。
3.pwd命令
格式: pwd
功能:顯示出當(dāng)前工作目錄的絕對路徑。
相關(guān)閱讀:Linux主要特性
完全兼容POSIX1.0標(biāo)準(zhǔn)
這使得可以在Linux下通過相應(yīng)的模擬器運(yùn)行常見的DOS、Windows的程序。這為用戶從Windows轉(zhuǎn)到Linux奠定了基礎(chǔ)。許多用戶在考慮使用Linux時(shí),就想到以前在Windows下常見的程序是否能正常運(yùn)行,這一點(diǎn)就消除了他們的疑慮。
多用戶、多任務(wù)
Linux支持多用戶,各個(gè)用戶對于自己的文件設(shè)備有自己特殊的權(quán)利,保證了各用戶之間互不影響。多任務(wù)則是現(xiàn)在電腦最主要的一個(gè)特點(diǎn),Linux可以使多個(gè)程序同時(shí)并獨(dú)立地運(yùn)行。
良好的界面
Linux同時(shí)具有字符界面和圖形界面。在字符界面用戶可以通過鍵盤輸入相應(yīng)的指令來進(jìn)行操作。它同時(shí)也提供了類似Windows圖形界面的X-Window系統(tǒng),用戶可以使用鼠標(biāo)對其進(jìn)行操作。在X-Window環(huán)境中就和在Windows中相似,可以說是一個(gè)Linux版的Windows。
支持多種平臺
Linux可以運(yùn)行在多種硬件平臺上,如具有x86、680x0、SPARC、Alpha等處理器的平臺。此外Linux還是一種嵌入式操作系統(tǒng),可以運(yùn)行在掌上電腦、機(jī)頂盒或游戲機(jī)上。2001年1月份發(fā)布的Linux 2.4版內(nèi)核已經(jīng)能夠完全支持Intel 64位芯片架構(gòu)。同時(shí)Linux也支持多處理器技術(shù)。多個(gè)處理器同時(shí)工作,使系統(tǒng)性能大大提高。
Linux 服務(wù)器安全相關(guān)文章: