欢迎来到天天文库
浏览记录
ID:6046133
大小:50.50 KB
页数:6页
时间:2018-01-01
《25个linux服务器安全小技巧》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、大家都认为Linux默认是安全的,我大体是认可的(这是个有争议的话题)。Linux默认确实有内置的安全模型。你需要打开它并且对其进行定制,这样才能得到更安全的系统。Linux更难管理,不过相应也更灵活,有更多的配置选项。对于系统管理员而言,让产品的系统更安全,免于骇客和黑客的攻击,一直是一项挑战。本文将介绍25个有用的技巧和窍门,帮助你让Linux系统更加安全。希望下面的这些技巧和窍门可以帮助你加强你的系统的安全。1.物理系统的安全性配置BIOS,禁用从CD/DVD、外部设备、软驱启动。下一步,启用BIOS密码,同时启用GRUB
2、的密码保护,这样可以限制对系统的物理访问。2.磁盘分区使用不同的分区很重要,对于可能得灾难,这可以保证更高的数据安全性。通过划分不同的分区,数据可以进行分组并隔离开来。当意外发生时,只有出问题的分区的数据才会被破坏,其他分区的数据可以保留下来。你最好有以下的分区,并且第三方程序最好安装在单独的文件系统/opt下。//boot/usr/var/home/tmp/opt3.最小包安装,最少漏洞你真的需要安装所有的服务么?建议不要安装无用的包,避免由这些包带来的漏洞。这将最小化风险,因为一个服务的漏洞可能会危害到其他的服务。找到并去除
3、或者停止不用的服务,把系统漏洞减少到最小。使用‘chkconfig’命令列出运行级别3的运行所有服务。#/sbin/chkconfig--list
4、grep'3:on'当你发现一个不需要的服务在运行时,使用下面的命令停止这个服务。#chkconfigserviceNameoff使用RPM包管理器,例如YUM或者apt-get工具来列出所有安装的包,并且利用下的命令来卸载他们。#yum-yremovepackage-name#sudoapt-getremovepackage-name4.检查网络监听端口在网络命令‘netstat’
5、的帮助下,你将能够看到所有开启的端口,以及相关的程序。使用我上面提到的‘chkconfig’命令关闭系统中不想要的网络服务。#netstat-tulpn5.使用SSH(SecureShell)Telnet和rlogin协议只能用于纯文本,不能使用加密的格式,这或将导致安全漏洞的产生。SSH是一种在客户端与服务器端通讯时使用加密技术的安全协议。除非必要,永远都不要直接登录root账户。使用“sudo”执行命令。sudo由/etc/sudoers文件制定,同时也可以使用“visudo”工具编辑,它将通过VI编辑器打开配置文件。同时,
6、建议将默认的SSH22端口号改为其他更高的端口号。打开主要的SSH配置文件并做如下修改,以限制用户访问。#vi/etc/ssh/sshd_config关闭root用户登录PermitRootLoginno特定用户通过AllowUsersusername使用第二版SSH协议Protocol26.保证系统是最新的得一直保证系统包含了最新版本的补丁、安全修复和可用内核。#yumupdates#yumcheck-update7.锁定Cron任务Cron有它自己内建的特性,这特性允许定义哪些人能哪些人不能跑任务。这是通过两个文件/etc/
7、cron.allow和/etc/cron.deny控制的。要锁定在用Cron的用户时可以简单的将其名字写到corn.deny里,而要允许用户跑cron时将其名字加到cron.allow即可。如果你要禁止所有用户使用corn,那么可以将“ALL”作为一行加到cron.deny里。#echoALL>>/etc/cron.deny8.禁止USB探测很多情况下我们想去限制用户使用USB,来保障系统安全和数据的泄露。建立一个文件‘/etc/modprobe.d/no-usb’并且利用下面的命令来禁止探测USB存储。installusb-s
8、torage/bin/true9.打开SELinuxSELinux(安全增强linux)是linux内核提供的一个强制的访问控制安全机制。禁用SELinux意味着系统丢掉了安全机制。要去除SELinux之前仔细考虑下,如果你的系统需要发布到网络,并且要在公网访问,你就要更加注意一下。SELinux提供了三个基本的操作模式,他们是:强制执行:这是默认是模式,用来启用和强制执行SELinux安全措略。许可模式:这种模式下SELinux不会强制执行安全措略,只有警告和日志记录。这种模式在SELinux相关问题的故障排除时候非常有用。关
9、闭模式:SELinux被关闭。你可以使用命令行‘system-config-selinux’,‘getenforce’或‘sestatus’来浏览当前的SEliux的状态。#sestatus如果是关闭模式,通过下面的命令开启SELinux#setenforcee
此文档下载收益归作者所有