色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內(nèi)不再提示

25個有用的技巧和竅門,幫助你讓Linux系統(tǒng)更加安全

馬哥Linux運維 ? 來源:lq ? 2018-12-07 16:10 ? 次閱讀

大家都認為Linux默認是安全的,我大體是認可的 (這是個有爭議的話題)。Linux默認確實有內(nèi)置的安全模型。你需要打開它并且對其進行定制,這樣才能得到更安全的系統(tǒng)。Linux更難管理,不過相應也更靈活,有更多的配置選項。

對于系統(tǒng)管理員,讓產(chǎn)品的系統(tǒng)更安全,免于駭客和黑客的攻擊,一直是一項挑戰(zhàn)。這是我們關于“如何讓Linux系統(tǒng)更安全” 或者 “加固Linux系統(tǒng)“之類話題的第一篇文章。本文將介紹25個有用的技巧和竅門,幫助你讓Linux系統(tǒng)更加安全。希望下面的這些技巧和竅門可以幫助你加強你的系統(tǒng)的安全。

1. 物理系統(tǒng)的安全性

配置BIOS,禁用從CD/DVD、外部設備、軟驅(qū)啟動。下一步,啟用BIOS密碼,同時啟用GRUB的密碼保護,這樣可以限制對系統(tǒng)的物理訪問。

2. 磁盤分區(qū)

使用不同的分區(qū)很重要,對于可能得災難,這可以保證更高的數(shù)據(jù)安全性。通過劃分不同的分區(qū),數(shù)據(jù)可以進行分組并隔離開來。當意外發(fā)生時,只有出問題的分區(qū)的數(shù)據(jù)才會被破壞,其他分區(qū)的數(shù)據(jù)可以保留下來。你最好有以下的分區(qū),并且第三方程序最好安裝在單獨的文件系統(tǒng)/opt下。

3. 最小包安裝,最少漏洞

你真的需要安裝所有的服務么?建議不要安裝無用的包,避免由這些包帶來的漏洞。這將最小化風險,因為一個服務的漏洞可能會危害到其他的服務。找到并去除或者停止不用的服務,把系統(tǒng)漏洞減少到最小。使用‘chkconfig‘命令列出運行級別3的運行所有服務。

當你發(fā)現(xiàn)一個不需要的服務在運行時,使用下面的命令停止這個服務。

使用RPM包管理器,例如YUM或者apt-get 工具來列出所有安裝的包,并且利用下的命令來卸載他們。

4. 檢查網(wǎng)絡監(jiān)聽端口

在網(wǎng)絡命令 ‘netstat‘ 的幫助下,你將能夠看到所有開啟的端口,以及相關的程序。使用我上面提到的 ‘chkconfig‘ 命令關閉系統(tǒng)中不想要的網(wǎng)絡服務。

5. 使用 SSH(Secure Shell)

Telnet和rlogin協(xié)議只能用于純文本,不能使用加密的格式,這或?qū)е掳踩┒吹漠a(chǎn)生。SSH是一種在客戶端與服務器端通訊時使用加密技術的安全協(xié)議。

除非必要,永遠都不要直接登錄root賬戶。使用 “sudo” 執(zhí)行命令。sudo 由/etc/sudoers文件制定,同時也可以使用 “visudo” 工具編輯,它將通過VI編輯器打開配置文件。

同時,建議將默認的SSH 22端口號改為其他更高的端口號。打開主要的SSH配置文件并做如下修改,以限制用戶訪問。

關閉 root 用戶登錄

特定用戶通過

使用第二版 SSH 協(xié)議

6. 保證系統(tǒng)是最新

得一直保證系統(tǒng)包含了最新版本的補丁、安全修復和可用內(nèi)核。

7. 鎖定 Cron任務

Cron有它自己內(nèi)建的特性,這特性允許定義哪些人能哪些人不能跑任務。這是通過兩個文件/etc/cron.allow和/etc/cron.deny控制的。要鎖定在用Cron的用戶時可以簡單的將其名字寫到corn.deny里,而要允許用戶跑cron時將其名字加到cron.allow即可。如果你要禁止所有用戶使用corn,那么可以將“ALL”作為一行加到cron.deny里。

8. 禁止USB探測

很多情況下我們想去限制用戶使用USB,來保障系統(tǒng)安全和數(shù)據(jù)的泄露。建立一個文件‘/etc/modprobe.d/no-usb‘并且利用下面的命令來禁止探測USB存儲。

9.打開SELinux

SELinux(安全增強linux)是linux內(nèi)核提供的一個強制的訪問控制安全機制。禁用SELinux意味著系統(tǒng)丟掉了安全機制。要去除SELinux之前仔細考慮下,如果你的系統(tǒng)需要發(fā)布到網(wǎng)絡,并且要在公網(wǎng)訪問,你就要更加注意一下。

SELinux提供了三個基本的操作模式,他們是:

強制執(zhí)行:這是默認是模式,用來啟用和強制執(zhí)行SELinux安全措略。

許可模式:這種模式下SELinux不會強制執(zhí)行安全措略,只有警告和日志記錄。這種模式在SELinux相關問題的故障排除時候非常有用。

關閉模式:SELinux被關閉。

你可以使用命令行‘system-config-selinux‘, ‘getenforce‘ or ‘sestatus‘來瀏覽當前的SEliux的狀態(tài)。

如果是關閉模式,通過下面的命令開啟SELinux

你也可以通過配置文件‘/etc/selinux/config‘來進行SELinux的開關操作。

10. 移除KDE或GNOME桌面

沒必要在專用的LAMP服務器上運行X Window桌面比如KDE和GNOME。可以移掉或關閉它們,以提高系統(tǒng)安全性和性能。打開/etc/inittab然后將run level改成3就可以關閉這些桌面。如果你將它徹底的從系統(tǒng)中移走,可以用下面這個命令:

11. 關閉IPv6

如果不用IPv6協(xié)議,那就應該關閉掉它,因為大部分的應用和策略都不會用到IPv6,而且當前它不是服務器必需的。可以在網(wǎng)絡配置文件中加入如下幾行來關掉它。

12. 限制用戶使用舊密碼

如果你不希望用戶繼續(xù)使用老密碼,這一條很有用。老的密碼文件位于/etc/security/opasswd。你可以使用PAM模塊實現(xiàn)。

RHEL / CentOS / Fedora中打開 ‘/etc/pam.d/system-auth‘ 文件。

Ubuntu/Debian/Linux Mint中打開 ‘/etc/pam.d/common-password‘ 文件。

在 ‘a(chǎn)uth‘ 塊中添加下面一行。

在 ‘password‘ 塊添加下面一行,禁止用戶重新使用其過去最后用過的5個密碼。

服務器只記錄最后的5個密碼。如果你試圖使用曾用的最后5個老密碼中的任意一個,你將看到如下的錯誤提示。

13. 如何檢查用戶密碼過期?

在 Linux 中,用戶的密碼以加密的形式保存在 ‘/etc/shadow‘ 文件中。要檢查用戶的密碼是否過期,你需要使用 ‘chage‘ 命令。它將顯示密碼的最后修改日期及密碼期限的細節(jié)信息。這些細節(jié)就是系統(tǒng)決定用戶是否必須修改其密碼的依據(jù)。

要查看任一存在用戶的老化信息,如過期日和時長,使用如下命令。

要修改任一用戶的密碼老化,使用如下命令。

參數(shù)

-M設置天數(shù)最大數(shù)字

-m設定天數(shù)最小數(shù)字

-W設定想要的天數(shù)

14. 手動鎖定或解鎖用戶賬號

鎖定和解鎖功能是非常有用的,你可以鎖定一個賬號一周或一個月,而不是將這個賬號從系統(tǒng)中剔除。可以用下面這個命令鎖定一個特定用戶。

提示:這個被鎖定的用戶僅對root用戶仍然可見。這個鎖定是通過將加密過的密碼替換成(!)來實現(xiàn)的。如果有個想用這個賬號來進入系統(tǒng),他會得到類似下面這個錯誤的提示。

解鎖一個被鎖定的賬號時,用下面這個命令。這命令會將被替換成(!)的密碼改回來。

15. 增強密碼

有相當數(shù)量的用戶使用很弱智的密碼,他們的密碼都可以通過字典攻擊或者暴力攻擊攻破。‘pam_cracklib‘模塊存于在PAM中,它可以強制用戶設置復雜的密碼。通過編輯器打開下面的文件。

在文件中增加一行,使用認證參數(shù)(lcredit,ucredit,dcredit 或者ocredit對應小寫字母、大寫字母,數(shù)字和其他字符)

16. 啟用Iptable(防火墻)

高度推薦啟用linux防火墻來禁止非法程序訪問。使用iptable的規(guī)則來過濾入站、出站和轉(zhuǎn)發(fā)的包。我們可以針對來源和目的地址進行特定udp/tcp端口的準許和拒絕訪問。

17. 禁止Ctrl+Alt+Delete重啟

在大多數(shù)的linux發(fā)行版中,按下‘CTRL-ALT-DELETE’將會讓你的系統(tǒng)重啟。只說生產(chǎn)服務器上這是不是一個很好的做法,這可能導致誤操作。

這個配置是在‘/etc/inittab‘文件,如果你打開這個文件,你可以看到下面類似的段落。默認的行已經(jīng)被注釋掉了。我們必須注釋掉他。這個特定按鍵會讓系統(tǒng)重啟。

18. 檢查空密碼帳號

任何空密碼的賬戶意味這可以讓Web上任何無授權的用戶訪問,這是linux服務器的一個安全威脅。所以,確定所有的用戶擁有一個復雜的密碼并且不存在特權用戶。空密碼帳號是安全風險,可以被輕易的攻克。可以利用下面的命令來檢查是否有空密碼賬戶存在。

19. 登錄前顯示SSH提示

在ssh認證時候,使用一個法律和安全警示是很好的建議。

20. 監(jiān)視用戶行為

如果你有很多的用戶,去收集每一個用戶的行為和和他們的進程消耗的信息非常重要。可以隨后和一些性能優(yōu)化和安全問題處理時進行用戶分析。但是如果監(jiān)視和搜集用戶行為信息呢 ?

有兩個很有用的工具‘psacct‘ 和 ‘a(chǎn)cct‘可以用來監(jiān)視系統(tǒng)中用戶的行為和進程。這些工具在系統(tǒng)后臺執(zhí)行并且不斷記錄系統(tǒng)中每一個用戶的行為和各個服務比如Apache,MySQL,SSH,FTP, 等的資源消耗。

21. 定期查看日志

將日志移動到專用的日志服務器里,這可避免入侵者輕易的改動本地日志。下面是常見linux的默認日志文件及其用處:

22. 重要文件備份

在生產(chǎn)環(huán)境里,為了災難恢復,有必要將重要文件備份并保存在安全的遠程磁帶保險庫、遠程站點或異地硬盤。

23. NIC 綁定

有兩種類型的NIC綁定模式,需要在綁定接口用得到。

mode=0– 循環(huán)賽模式

mode=1– 激活和備份模式

NIC綁定可以幫助我們避免單點失敗。在NIC綁定中,我們把兩個或者更多的網(wǎng)卡綁定到一起,提供一個虛擬的接口,這個接口設置ip地址,并且和其他服務器會話。這樣在一個NIC卡down掉或者由于其他原因不能使用的時候,我們的網(wǎng)絡將能保持可用。

24. 保持 /boot 只讀

linux內(nèi)核和他的相關的文件都保存在/boot目下,默認情況下是可以讀寫的。把它設為了只讀可以減少一些由于非法修改重要boot文件而導致的風險。

在文件最后增加下面的行,并且保存

如果你今后需要升級內(nèi)核的話,你需要修回到讀寫模式。

25.忽略ICMP和Broadcast請求

在/etc/sysctl.conf中添加下面幾行,屏蔽掉ping和broadcast請求。

運行下面這一行加載修改或更新

如果你覺得了上述安全小貼士很好用,或還有什么其它需要補充進去,請在下面的評論框里寫寫,不斷追求進步的TecMint一如既往地愿意聽到您的評論、建議以及討論。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • Linux
    +關注

    關注

    87

    文章

    11295

    瀏覽量

    209347
  • 服務器
    +關注

    關注

    12

    文章

    9127

    瀏覽量

    85337

原文標題:25個Linux服務器安全小貼士,總有一條用得上!

文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關推薦

    Linux必學的60命令:系統(tǒng)安全相關命令

    Linux必學的系統(tǒng)安全命令 (1)作者:曹元其 發(fā)文時間:2004.12.03雖然Linux和Windows NT/2000系統(tǒng)一樣是一
    發(fā)表于 05-09 19:46

    設計25G系統(tǒng)的5竅門

    產(chǎn)品,從根本上來說,必須用小的成本來多做事。以下是5竅門,它能使你在設計25G系統(tǒng)時做出很好的平衡:1.確定系統(tǒng)中的哪條鏈路將會需要信號
    發(fā)表于 09-03 16:08

    Linux系統(tǒng)新手學習的11點建議

    包含了一強大的幫助,只是可能你還沒有發(fā)現(xiàn)和使用它們的技巧。 1. 主流Linux發(fā)行版都自帶非常詳細的文檔(包括手冊頁和FAQ),從系統(tǒng)安裝到系統(tǒng)
    發(fā)表于 04-15 15:09

    如何自動駕駛更加安全

    了全球范圍對自動駕駛安全性的議論:如何自動駕駛更加安全?真正上路前還要做哪些準備?智能汽車成為全球汽車產(chǎn)業(yè)發(fā)展戰(zhàn)略方向參與測試的企業(yè)將通過道路測試來不斷驗證自動駕駛技術的成熟度駕車上
    發(fā)表于 05-13 00:26

    XtremeDSP視頻入門套件幫助你更快更好地開發(fā)高級視頻系統(tǒng)

    XtremeDSP視頻入門套件幫助你更快更好地開發(fā)高級視頻系統(tǒng)
    發(fā)表于 04-15 06:29

    FPGA Editor如何幫助你完成設計調(diào)試和驗證?

    FPGA Editor數(shù)字設計工具怎么樣?FPGA Editor如何幫助你完成設計調(diào)試和驗證?
    發(fā)表于 05-07 06:17

    設計一25G系統(tǒng)的技巧分享

    以下是5快速小竅門,它能使你在設計25G系統(tǒng)時做出很好的平衡:1.確定系統(tǒng)中的哪條鏈路將會需要信號調(diào)節(jié);這將取決于走線長度和印刷電路板 (
    發(fā)表于 11-17 07:25

    PX5的ARM TrustZone支持嵌入式系統(tǒng)變得更加安全

    安全風險。在IoT系統(tǒng)中,PDV提供的安全分割幫助開發(fā)者根據(jù)平臺安全架構(PSA)指導方針確立設備的信任根。 針對物聯(lián)網(wǎng)設備構建的RTOS
    發(fā)表于 05-18 13:44

    幾個比較實用的iPhone和Touch小竅門

    幾個比較實用的iPhone和Touch小竅門 很多朋友都在使用iPhone和iPod Touch了。下面是iPhone中文網(wǎng)總結的一些iPhone使用小竅門,非常有用。 1.回到頁
    發(fā)表于 02-02 09:12 ?1096次閱讀

    使用洗衣機的12竅門

    使用洗衣機的12竅門        1.每1至2月檢查洗衣機的底座腳墊。    2.不定期打開洗槽蓋
    發(fā)表于 02-21 16:33 ?895次閱讀

    設計一25G系統(tǒng):平衡功耗、性能與成本的5竅門

    產(chǎn)品,從根本上來說,必須用小的成本來多做事。 以下是5竅門,它能使你在設計25G系統(tǒng)時做出很好的平衡: 1.確定系統(tǒng)中的哪條鏈路將會需要
    發(fā)表于 04-18 01:45 ?482次閱讀
    設計一<b class='flag-5'>個</b><b class='flag-5'>25</b>G<b class='flag-5'>系統(tǒng)</b>:平衡功耗、性能與成本的5<b class='flag-5'>個</b><b class='flag-5'>竅門</b>

    Linux必學的系統(tǒng)安全命令

    雖然Linux和Windows NT/2000系統(tǒng)一樣是一多用戶的系統(tǒng),但是它們之間有不少重要的差別。對于很多習慣了Windows系統(tǒng)的管
    發(fā)表于 11-02 15:09 ?0次下載

    助你創(chuàng)建運行更有效率Python應用的竅門

    前文所述的六竅門都能幫助你創(chuàng)建運行更有效率的Python應用。但是銀彈是不存在的。上述的這些竅門不一定每次都能奏效。在特定的Python的版本下,有的
    發(fā)表于 12-21 19:58 ?856次閱讀
    六<b class='flag-5'>個</b><b class='flag-5'>助你</b>創(chuàng)建運行更有效率Python應用的<b class='flag-5'>竅門</b>

    如何Ubuntu Linux更快的技巧

    使用 Ubuntu 一段時間后系統(tǒng)開始運行緩慢的情況。 在這篇文章里,我們將看到幾項調(diào)整以及使 Ubuntu 運行更快的竅門
    發(fā)表于 07-01 10:22 ?2250次閱讀

    通過幾個簡單的命令你的Linux固若金湯

    在這篇文章中,我們討論了一些可以幫助你加固Linux系統(tǒng)安全技巧。當然,對于各種運行的服務而言,仍有許多值得加固的Linux
    的頭像 發(fā)表于 11-19 14:46 ?4240次閱讀
    通過幾個簡單的命令<b class='flag-5'>讓</b>你的<b class='flag-5'>Linux</b>固若金湯
    主站蜘蛛池模板: 日本人奶水中文影片| 99久女女精品视频在线观看| 伊人影院综合| 韩国伦理电影在线神马网| 日本十八禁无遮拦啪啪漫画| 亚洲 欧美 中文 日韩 另类| 大肥女ass樱桃| 青青草原91| 99精品国产在热久久| 久欠热视频精品首页| 伊人久久精品中文字幕| 好男人视频免费高清在线观看www| 午夜影院费试看黄| 精品无码久久久久久久动漫| 亚洲欧洲日产国码中学| 久久综合久久鬼| 一本道久久综合久久88| 解开美女胸衣2破解版| 中文字幕无码一区二区免费| 精品视频久久久久| 亚洲偷自拍精品视频在线观看| 青青草原国产在线观看| 99久久re6热精品首页| 免费国产久久啪在线| 97精品少妇偷拍蜜桃AV| 伦理 电影在线观看百度影音| 最近最新的日本字幕MV| 久久久久久久电影| 依人在线观看| 大学生第一次破苞疼哭了| 日韩一区二区三区免费体验| 国产精品美女久久久久AV超清 | 999人在线精品播放视频| 欧美亚洲视频在线二区| 国产成人自拍视频在线观看| 亚洲人成人毛片无遮挡| 久久视频这里只精品99热在线| av淘宝 在线观看| 无码AV动漫精品一区二区免费 | 国产女人喷潮视频免费| 亚洲欧美日韩在线码不卡|