关于Linux服务器需要了解的25个安全提示
每个人都认为Linux在默认情况下是安全的,我大体上同意(这是一个有争议的话题)。Linux默认有内置的安全模型。你需要打开它并定制它,这样你就可以得到一个更安全的系统。Linux更难管理,但它也更灵活,配置选项更多。对于系统管理员来说,它始终是使产品的系统更安全和自由免受黑客和黑客攻击的挑战。这是我们的第一条;如何使Linux系统更安全或加强Linux系统等等。本文将介绍25个有用的提示和技巧帮助你的Linux系统更安全。希望这些技巧将帮助你加强你的系统安全。
1。物理系统安全
配置BIOS,禁用从CD、DVD、外部设备和软盘驱动器启动。接着,启用BIOS密码,启用了对密码的密码保护,这将限制对系统的物理访问。
通过设置密码来保护Linux服务器
2。磁盘分区
它是用不同的分区的重要,它可以保证为可能发生的灾难更高的数据安全性。通过划分不同的分区,可以将数据分组和隔离。事故发生时,只有那些出问题的分区的数据可以被摧毁,而其他分区的数据可以保留。你最好有以下的分区,和第三方程序最好安装单独的文件系统/下选择。
/
/引导
/ usr
/无功
/家
/甲氧苄啶
/选择
三.最小包装安装,最小易损性
你真的需要安装所有的服务吗建议不要安装无用的包来避免这些包装造成的漏洞,最大限度地减少风险,因为一个脆弱的服务可能会损害其他服务。找到并删除或停止减少系统的脆弱性的未使用的服务。使用‘chkconfiglsquo;命令列出所有运行的服务在运行级别3。
# / sbin / chkconfig --列表| grep 3:on'when你发现在运行时需要服务,请使用下面的命令来停止该服务。
# chkconfig名使用RPM包管理器,例如百胜或apt-get来安装的所有软件包列表,并使用该命令删除它们。
Y删除软件包的名称# sudo apt-get remove #百胜package-name5 chkconfig命令实例
RPM命令的20个实际例子
Linux打包管理的20个Linux命令
25摘要和apt-cache命令来管理软件包管理
4。检查网络监视器端口
随着网络命令'的帮助;netstatlsquo;你将能够看到所有打开的端口,以及相关的程序。用一下我上面提到过的;chkconfiglsquo;命令关闭不必要的网络服务系统。
20 # netstat netstat命令在tulpnlinux网络管理
5。使用SSH(安全Shell)
Telnet和Rlogin协议只能用于纯文本,不能使用加密的格式,这将导致安全vulnerabilities.ssh是一种安全协议,采用加密技术,当客户端与服务器端通信。
不要直接登录root帐户除非是必要的。使用sudo执行命令。Sudo是由 / / sudoers文件等,也可以使用编辑了;visudo工具,这将通过vi编辑器打开配置文件。
同时,建议将默认SSH 22端口号更改为另一个更高的端口号。
#六 / / / sshd_config SSH等密切根用户登录
没有特定的用户将PermitRootLogin
让用户的用户名使用SSH协议第二版
五最佳实践协议2ssh服务器安全维护
6。保证系统是最新的
该系统包括修补程序的最新版本、安全修补程序和可用内核。
# yum更新
#百胜锁check-update7。cron任务
玉米有自己内置的功能,让人们确定哪些人不能运行的任务。这是由两个文件控制, / / /等cron.allow等 / cron.deny.you可以简单地写它的名字时,你想和corn.deny cron的锁定用户,并允许用户添加自己的名字cron.allow当他们运行的cron。如果你想禁止所有用户使用的玉米,你可以添加ALL添加一行的cron.deny。
回声均> > / / cron.deny11 Linux等# cron调度实例
8。禁止USB检测
在许多情况下,我们要限制用户使用USB来保证系统的安全和数据泄露。创建一个文件‘ / /文件等。D /不usblsquo;并使用下面的命令来禁止USB存储检测。
安装USB存储/斌/ true9。打开SELinux
SELinux(安全增强的Linux)是强制访问控制的安全机制,通过Linux内核提供的。禁用SELinux意味着系统失去安全机制。在你删除SELinux仔细考虑。如果您的系统需要发布到网络并在公共网络中访问,那么您必须更加注意它。
SELinux提供了三种基本的操作模式:他们是:
执法:这是默认的模式,它是用来使SELinux和执行安全措施。
许可证模式:在这个模式中,SELinux并没有强制的安全措施,只是警告和日志记录。这种模式是非常有用的故障排除时,SELinux相关问题。
关闭方式:SELinux关闭。
您可以使用命令行selinuxlsquo ‘系统配置;‘getenforcelsquo;或‘sestatuslsquo;浏览当前SEliux的状态。
#如果sestatus是封闭的,用下面的命令打开SELinux
你也可以使用强制配置文件setenforce # ‘ / / / configlsquo SELinux等;开展对SELinux的操作。
10。删除KDE或GNOME桌面
不需要运行X Window桌面,如KDE和GNOME,在专用灯服务器。他们可以被删除或关闭,提高系统的安全性和性能。打开/等/ inittab和更改运行级别3关闭这些台式机。如果你把它完全从系统中,你可以使用下面的命令:
#百胜groupremoveX窗口系统了IPv6的11。
如果您不使用IPv6协议,则应该关闭它,因为大多数应用程序和策略不使用IPv6,目前服务器不需要它。
#六 / / / sysconfig等networknetworking_ipv6 =没有
ipv6init =没有
12。限制用户使用旧密码
如果你不想让用户继续使用旧的代码,这是有用的。旧密码文件位于 / / /安全等opasswd.you可以使用PAM模块来实现它。
在RHEL / / Fedora CentOS打开‘ / /聚丙烯酰胺等。D /系统文件authlsquo。
#六 / /聚丙烯酰胺等。D / / /系统authubuntu Debian Linux打开薄荷的‘ / /聚丙烯酰胺等。D /普通passwordlsquo文件。
#六 / /聚丙烯酰胺等。D /常见的密码在‘authlsquo;块添加下面一行。
作者充分pam_unix.so likeauth nullok在‘passwordlsquo;块禁止用户利用最后5密码他们用添加下一行。
密码足够pam_unix.so nullok use_authtok MD5的影子记得= 5服务器只记录5个密码。如果你试图使用任何过去的5旧密码你用,你会看到下面的错误提示。
密码已被使用。选择另一个。
13。如何检查用户密码的过期时间
在Linux中,用户的密码是加密的形式在'; / / shadowlsquo等;在文件,检查用户的密码已经过期,你需要使用‘chagelsquo;命令。这将显示密码的最后修改日期和细节的密码期。这些细节是系统确定用户是否必须修改其密码的基础上。
若要查看任何现有用户的老化信息,如过期日期和时间长度,则使用以下命令。
#改变我的用户名想修改任何用户的口令老化,使用下面的命令。
#变化- M 60的用户名
#改变M 60 M 7 W 7用户名参数
m设置最大天数
m设置最小天数
w设置你想要的天数
14。手动锁定或解锁用户帐户
锁定和解锁非常有用,您可以锁定帐户一个星期或一个月,而不是从系统中删除帐户。
# passwd -l锁定用户帐户名注:这只有根用户仍然是可见的。这把锁是通过加密的密码替换(!)如果你想用这个帐号进入系统,他会得到以下错误提示。
#苏帐户名
当此帐户当前不可用时。打开锁定帐户,使用下面的命令。这个命令将被替换(!)密码被更改回来。
# passwd -U accountname15。增强密码
有相当数量的用户使用很弱智的密码,和密码可以通过字典攻击的攻击或暴力攻击。‘pam_crackliblsquo;模块存储在PAM,可以强制用户设置复杂的密码,打开下面的文件编辑。
#六 / /聚丙烯酰胺等。D /系统认证和添加一行在文件中,使用认证参数(lcredit,优信,提及或信用相应的小写字母、大写字母、数字和其他字符)
/ lib /安全/ $ ISA / pam_cracklib.so重试= 3 = 8 = 1市明仁lcredit优信= 2 = 2 =提及信用1
16。启用iptable(防火墙)
这是强烈建议使Linux防火墙禁止非法程序访问的iptable规则是用来过滤的入境、出境,并转发数据包。我们可以允许和拒绝访问一个特定的UDP或TCP端口的源地址和目的地址。
基本的iptables指南和建议
17。禁止重新引导
在大多数的Linux发行版,按Ctrl Alt deletersquo ‘;它将重新启动你的系统。这是唯一的生产服务器上的一个很好的做法,这可能会导致误操作。
这个配置是‘ / / inittablsquo等;文件,如果你打开该文件,你可以看到下面的段落。默认行已注明。我们必须对他。这个特定的键将重新启动系统。
#陷阱ctrl-alt-delete
#钙:ctrlaltdel: / sbin /关机- T3 R now18。检查空密码帐户
任何空密码的账户,这可以通过网页上的任何未经授权的用户访问,这是对Linux服务器的安全威胁。因此,确保所有的用户都有一个复杂的密码,没有权限的用户,空密码账户存在安全风险,可以很容易地征服了。下面的命令可用来检查是否有一个空密码的帐户。
猫/等/阴影awk -F:# |(2美元= =){ } '19印钞1美元。ssh在登录提示之前显示
SSH认证时使用法律和安全警报是一个好建议。
向用户显示SSH警告消息
20。监控用户的行为
如果你有很多用户,收集每个用户行为的信息和他们的过程所消耗的信息是很重要的。用户分析可以通过一些性能优化和安全问题处理来实现。但是,如果你监视和收集用户行为信息呢
有两个有用的工具,psacctlsquo;‘‘acctlsquo;可用于监视用户在系统中的行为和过程。这些工具在系统后台执行,并记录系统中的所有用户和资源如Apache,MySQL,SSH的消费行为,FTP等。更多的安装和使用这些工具,请访问以下地址:
监视用户活动的psacct或ACCT命令
21。定期检查日志
将日志移动到专用日志服务器中,防止入侵者轻易更改本地日志:
记录系统日志或当前活动日志。
/ / / var日志auth.log ndash;身份认证登录。
/ / / var日志kern.log ndash;内核日志。
/ / / cron.log VaR的日志- Crond日志(cron任务)。
/ / / var日志maillog ndash;邮件服务器日志。
/ / / var日志boot.log ndash;系统启动日志。
/ / / var日志mysqld.log ndash;MySQL数据库服务器的日志。
身份验证日志。
/ / / var日志utmp或 /无功/日志/ wtmp:登录日志。
/ / / yum.log VaR日志:百胜的日志。
22。重要文件的备份
在生产环境中,对于灾难恢复,必须备份和保存重要文件在安全的远程磁带保险、远程站点或磁盘中。
23。网卡绑定
有两种类型的NIC绑定模式需要在绑定界面上获得。
模式= 0,循环赛模式
模式= 1,激活和备份模式
网卡绑定可以帮助我们避免单个故障,在网卡绑定中,我们绑定两个或多个网卡来提供一个虚拟接口,它设置IP地址并与其他服务器进行通信,这样我们的网卡就可以在网卡掉下来或其他原因不用时可用。
相关阅读:在Linux创建NIC通道连接
24。保持只读
Linux内核及其相关文件存储在引导列表中,默认情况下可以读取和写入。将其设置为只读可以减少由于对重要启动文件进行非法修改而导致的一些风险。
#六 / / fstab等在文件的最后添加以下行,并保存
标签= / /开机默认启动的ext2,RO 12,如果您需要在未来的内核升级,你需要回到读写模式。
25。没有鸟ICMP和广播请求
添加以下行/等/ sysctl.conf屏蔽平和广播请求。
忽略ICMP请求:
net.ipv4.icmp_echo_ignore_all = 1
忽略广播请求:
net.ipv4.icmp_echo_ignore_broadcasts = 1分以下的线负载的变化或更新:
# sysctl - P,如果你认为上面的安全提示是非常好的,或者有什么要补充的,请写在下面的评论框。tecmint,谁是不断追求进步,总是愿意听取你的意见,建议和讨论会。