如何让Linux系统更安全?Linux是领先的操作系统,世界上最快的10台超级计算机都在运行Linux操作系统。Linux操作系统软件包不仅包括完整的Linux操作系统,还包括文本编辑器、高级语言编译器等应用软件。那么,Linux服务器的安全技巧有哪些呢?
1、物理系统的安全性
配置BIOS以禁止从CD/DVD、外部设备和软驱引导。接下来,启用BIOS密码和GRUB密码保护,这可以限制对系统的物理访问。
通过设置GRUB密码来保护Linux服务器。
2、磁盘分区
重要的是使用不同的分区,这可以为可能的灾难确保更高的数据安全性。通过划分不同的分区,可以对数据进行分组和隔离。当发生意外时,只会破坏故障分区的数据,其他分区的数据可以保留。你最好有以下分区,第三方程序要安装在单独的文件系统/opt下。
/
/boot
/usr
/var
/首页
/tmp
/opt
3、最小的包安装,最少的漏洞
你真的需要安装所有的服务吗?建议不要安装无用的包,避免这些包带来的漏洞。这将最大限度地降低风险,因为一个服务中的漏洞可能会损害其他服务。找到并删除或停止未使用的服务,以最大限度地减少系统漏洞。使用“chkconfig”命令列出所有正在运行级别3的服务。
#/sbin/chkconfig-list | grep ' 3:On '当您发现一个不必要的服务正在运行时,请使用以下命令停止它。
# chkconfig serviceName off使用RPM软件包管理器(如YUM或apt-get工具)列出所有已安装的软件包,并使用下面的命令卸载它们。
# yum-y remove package-name # sudo apt-get remove package-name 5 chk config命令示例
RPM命令的20个实例
用于Linux软件包管理的20个Linux YUM命令
25个APT-GET和APT-CACHE命令来管理包管理
4.检查网络监控端口。
在网络命令“netstat”的帮助下,您将能够看到所有打开的端口和相关程序。使用我上面提到的“chkconfig”命令关闭系统中不需要的网络服务。
tulpnlinux网络管理中的# Netstat-20 netstat命令
5.使用SSH(安全外壳)
Telnet和rlogin协议只能用明文,不能用加密格式,可能会导致安全漏洞。SSH是一种安全协议,在客户端和服务器之间通信时使用加密技术。
除非必要,否则不要直接登录root帐户。使用“sudo”来执行命令。Sudo由/etc/sudoers文件制定,也可以由“visudo”工具编辑,该工具将通过VI编辑器打开配置文件。
同时建议将默认的SSH 22端口号改为其他更高的端口号。打开主SSH配置文件,进行以下更改以限制用户访问。
# vi /etc/ssh/sshd_config关闭root登录。
PermitRootLogin没有特定用户通过
AllowUsers用户名使用SSH协议的第二个版本。
2sh协议服务器安全维护的五个最佳实践
6.确保系统是最新的。
始终确保系统包含最新版本的补丁、安全补丁和可用内核。
# yum更新
# yum检查-更新
7.锁定Cron任务
Cron有自己的内置特性,允许您定义谁可以、谁不可以运行任务。这由两个文件/etc/cron.allow和/etc/cron.deny控制,要锁定使用cron的用户,只需将他们的名字写在corn.deny中,并允许用户在运行cron时将他们的名字添加到cron.allow中。如果希望禁止所有用户使用corn,可以将“ALL”作为一行添加到cron.deny中
# echo ALL/etc/Cron . deny 11 Linux Cron调度实例
8.禁止USB检测
很多情况下,我们希望限制用户使用USB,以保证系统安全和数据泄露。创建一个文件“/etc/modprobe.d/no-USB ”,并使用以下命令禁止检测USB存储。
安装usb存储/bin/true
9.打开SELinux。
SElinux (Security Enhanced linux)是linux内核提供的一种强制访问控制安全机制。禁用SELinux意味着系统失去了安全机制。在移除SELinux之前,请仔细考虑。如果你的系统需要在网络上发布,在公网上访问,那就要多加注意了。
SELinux提供了三种基本的操作模式,它们是:
强制:这是默认模式,用于启用和强制SELinux安全措施。
许可模式:在这种模式下,SELinux不执行安全措施,只执行警告和日志记录。这种模式在解决SELinux相关问题时非常有用。
关闭模式:SELinux关闭。
您可以使用命令行“system-config-selinux”、“get enforce”或“sestatus”来浏览seliuux的当前状态。
# sestatus如果是关闭模式,通过以下命令打开SELinux。
# setenforce enforcing您还可以通过配置文件“/etc”/etc/SELinux/config”切换SELinux。
10.移除KDE或GNOME桌面。
不需要在专用的LAMP服务器上运行X Window桌面,比如KDE和GNOME。可以删除或关闭它们,以提高系统安全性和性能。您可以通过打开/etc/inittab并将运行级别更改为3来关闭这些桌面。如果从系统中完全删除它,可以使用以下命令:
# yum groupremove 'X窗口系统'
11.关闭IPv6
如果不使用IPv6协议,应该关闭,因为大部分应用和策略都不使用IPv6,目前对服务器来说也不是必须的。您可以通过在网络配置文件中添加以下行来关闭它。
# VI/etc/sys config/network networking _ IPV6=no
IPV6INIT=否
12.限制用户使用旧密码。
如果您不希望用户继续使用他们的旧密码,这很有用。旧密码文件位于/etc/security/opasswd中。可以用PAM模块来实现。
在RHEL/CentOS/Fedora中打开“/etc/pam.d/system-auth”文件。
打开“/etc/PAM . d/system-authubuntu/debian/Linux mint”文件。
# vi /etc/pam.d/common-password在“auth”块中添加以下行。
authsufficultpam _ UNIX . solike authnullok在“password”块中添加以下行,该行禁止用户重复使用他们的最后五个密码。
passwordsuffictivepam _ UNIX . sonolukuse _ authtokmd 5 shadow member=5服务器只记录最后五个密码。如果您尝试使用最后五个旧密码中的任何一个,您将会看到以下错误消息。
密码已被使用。再选一个。
13、如何查看用户密码是否过期?
在Linux中,用户的密码以加密的形式存储在“/etc/shadow”文件中。要检查用户的密码是否已过期,您需要使用“chage”命令。它将显示密码的最后修改日期和密码到期日期的详细信息。这些细节是系统决定用户是否必须更改其密码的基础。
要查看任何现有用户的过期信息,如到期日期和持续时间,请使用以下命令。
#chage -l username要修改任何用户的密码期限,请使用以下命令。
#chage -M 60用户名
#chage -M 60 -m 7 -W 7用户名参数
-M设置最大天数。
-m设置最小天数。
-W设置所需的天数。
14.手动锁定或解锁用户帐户。
锁定和解锁功能非常有用。您可以锁定一个帐户一周或一个月,而不是将其从系统中排除。您可以使用以下命令锁定特定用户。
# passwd -l accountName提示:只有根用户才能看到这个锁定的用户。这种锁定是通过用(!idspnonenote)替换加密的密码来实现的。)来实现。如果有人想用这个账号访问系统,他会得到类似如下的错误提示。
# su - accountName
该帐户目前不可用。解锁锁定的帐户时,使用以下命令。此命令将被替换为(!idspnonenote)。)密码改回来。
# passwd -u帐户名
15.增强型密码
相当一部分用户使用非常弱智的密码,他们的密码可以通过字典攻击或者暴力攻击被破解。pam_cracklib ' '模块存储在pam中,可以强制用户设置复杂的密码。通过编辑器打开以下文件。
# vi /etc/pam.d/system-auth在文件中添加一行并使用认证参数(lcredit、ucredit、dcredit或ocredit对应小写字母、大写字母、数字等字符)。
/lib/security/$ ISA/PAM _ crack lib . so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1
16.启用Iptable(防火墙)
强烈建议启用linux防火墙来禁止非法程序访问。使用iptable的规则来过滤入站、出站和转发的数据包。我们可以授权和拒绝源地址和目的地址对特定udp/tcp端口的访问。
17、禁止Ctrl Alt Delete重启。
在大多数linux发行版中,按“CTRL-ALT-DELETE”会重启系统。只说在生产服务器上不是好的做法,可能会导致误操作。
该配置位于“/etc/inittab”文件中。如果你打开这个文件,你可以在下面看到一个类似的段落。默认行已被注释掉。我们必须评论他。这个特殊的按钮将重新启动系统。
#陷阱CTRL-ALT-DELETE
# ca:ctrl altdel:/sbin/shut down-T3-r now
18.检查空密码帐户。
任何密码为空的帐户都意味着它可以被Web上任何未授权的用户访问,这对linux服务器是一个安全威胁。因此,请确保所有用户都有复杂的密码,并且没有特权用户。空密码帐户存在安全风险,可以轻松克服。您可以使用以下命令来检查是否有空的密码帐户。
# cat/etc/shadow | awk-F:'($ 2==' '){ print $ 1 } '
19.登录前显示SSH提示。
在ssh验证时使用法律和安全警告是一个好建议。
20.监控用户行为
如果你有很多用户,收集每个用户的行为和他们的进程消耗的信息是非常重要的。用户分析可以在以后处理一些性能优化和安全问题的时候进行。但是对用户行为信息的监控和收集呢?
有两个非常有用的工具“psacct”和“acct”,可以用来监控系统中用户的行为和进程。这些工具在系统后台执行,不断记录系统中每个用户的行为以及Apache、MySQL、SSH、FTP等各种服务的资源消耗。
21.定期检查日志。
将日志移动到专用的日志服务器,这样可以防止入侵者轻易更改本地日志。以下是常见linux的默认日志文件及其用途:
/var/log/message记录系统日志或当前活动日志。
/var/log/auth . log身份验证日志。
/var/log/kern . log内核日志。
/var/log/cron . logcrond日志(cron任务)。
/var/log/mail log-邮件服务器日志。
/var/log/boot . log系统启动日志。
/var/log/mysqld . logMySQL数据库服务器日志。
/var/log/secure身份验证日志。
/var/log/utmp或/var/log/wtmp:登录日志。
/var/log/yum.log: Yum log。
22、重要文件备份
在生产环境中,有必要将重要文件备份并保存在安全的远程磁带库、远程站点或远程硬盘中,以便进行灾难恢复。
23、网卡绑定
有两种类型的NIC绑定模式,需要在绑定接口中使用。
mode=0循环模式
模式=1活动和备份模式
网卡绑定可以帮助我们避免单点故障。在NIC绑定中,我们将两个或更多网卡绑定在一起,以提供一个虚拟接口,该接口设置ip地址并与其他服务器通信。这样,当网卡出现故障或由于其他原因无法使用时,我们的网络将保持可用。
24.保持/引导只读。
linux内核及其相关文件保存在/boot中,默认可以读写。将其设为只读可以降低非法修改重要引导文件带来的一些风险。
# vi /etc/fstab在文件末尾添加下面一行并保存。
Label=/boot/boot ext 2 defaults,Ro 12如果以后需要升级内核,需要回到读写模式。
25、屏蔽网间控制报文协议(互联网控制消息协议)和广播请求
在/etc/sysctl.conf中添加下面几行,屏蔽掉砰和广播请求。
忽略网间控制报文协议(Internet Control Messages Protocol)请求:
网。IP v4。icmp _ echo _ ignore _ all=1
忽略广播请求:
网。IP v4。icmp _ echo _ ignore _ broadcasts=1运行下面这一行加载修改或更新:
#sysctl -p
