请选择 进入手机版 | 继续访问电脑版

AdvertCN - 广告中国

 找回密码
 立即注册

QQ登录

只需一步,快速开始

 谷歌+Bing+TT+MSN官方代理 
⚡️按条S5代理⚡️静态⚡️独享⚡️5G⚡️最干净<Wifi住宅+5G移动>IP代理泰国仓储,本土仓发货2-3元/单
指纹浏览器,就用AdsPower谷歌/FB/Bing/Yahoo代理商开户7200W全球动态不重复住宅IP代理全球优质流量,选TrafficStars
出售Facebook,友缘号,FB广告号,insFB/TT/KW 加白开户比Adplexity还好用的Spy工具ADPLEXITY + ADVERTCN
FB不限额广告号MediaGo+Taboola+Ob开户百度国际MediaGo⚡️让产品狂奔全球百度国际,高点击转化,快速放量
百度国际MediaGo,独家原生流量虚拟信用卡+独立站收款行业首创新型指纹Cloak, 谷歌奇效!BINOM TRACKER 60% OFF!
Kookeey⚡️100%独享⚡️原生住宅IP⚡5000W动态住宅全场8折⚡全球虚拟卡, 支持U充值谷歌/Outbrain/Taboola⚡️一键开户
FB极速下户/白名单/不收费Affiliate站外引流服务⚡️极速出单免账户投放 FB 广告(送项目)2024做什么 - Media buy 项目库
免费黑五教程(持续更新、欢迎交流)Facebook 批量上广告Facebook账号1块一个各种主页、账单户、BM户(优势)
⚡️个人户,bm户不限额,账单户Adsterra 的CPA/CPM/CPC 网站流量在线注册美国/英国/香港等海外公司EU KETO/CBD - Jumbleberry
【YouTube】油管获利号交易平台三不限/账单户/BM不限额/直播主页FB二三解1元/个9Proxy ⚡️ $0.04/IP, 无限带宽
最佳Health和Beauty联盟广告位出租全球低价纯净住宅/移动IP-免费试用广告代投, 东南亚物流, 虚拟信用卡
VMLogin指纹浏览器+多账号防关联   
查看: 5423|回复: 3

24个加强linux安全小贴士

[复制链接]

29

主题

560

广告币

565

积分

中级会员

Rank: 3Rank: 3

积分
565

社区QQ达人

发表于 2013-9-3 19:05:51 | 显示全部楼层 |阅读模式
adsterra
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]Linux默认确实有内置的安全模型。你需要打开它并且对其进行定制,这样才能得到更安全的系统。Linux更难管理,不过相应也更灵活,有更多的配置选项。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]对于系统管理员,让产品的系统更安全,免于骇客和黑客的攻击,一直是一项挑战。这是我们关于“如何让Linux系统更安全” 或者 “加固Linux系统“之类话题的第一篇文章。本文将介绍 24个有用的技巧和窍门 ,帮助你让Linux系统更加安全。希望下面的这些技巧和窍门可以帮助你加强你的系统的安全。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]1. 物理系统的安全性[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]配置BIOS,禁用从CD/DVD、外部设备、软驱启动。下一步,启用BIOS密码,同时启用GRUB的密码保护,这样可以限制对系统的物理访问。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]通过设置GRUB密码来保护Linux服务器[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]2. 磁盘分区[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]使用不同的分区很重要,对于可能得灾难,这可以保证更高的数据安全性。通过划分不同的分区,数据可以进行分组并隔离开来。当意外发生时,只有出问题的分区的数据才会被破坏,其他分区的数据可以保留下来。你最好有以下的分区,并且第三方程序最好安装在单独的文件系统/opt下。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]/[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]2[/align][/td][td][align=right]/boot[/align][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td][align=right]3[/align][/td][td][align=right]/usr[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]4[/align][/td][td][align=right]/var[/align][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td][align=right]5[/align][/td][td][align=right]/home[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]6[/align][/td][td][align=right]/tmp[/align][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td][align=right]7[/align][/td][td][align=right]/opt[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]3. 最小包安装,最少漏洞[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]你真的需要安装所有的服务么?建议不要安装无用的包,避免由这些包带来的漏洞。这将最小化风险,因为一个服务的漏洞可能会危害到其他的服务。找到并去除或者停止不用的服务,把系统漏洞减少到最小。使用‘chkconfig‘命令列出运行级别3的运行所有服务。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# /sbin/chkconfig --list |grep '3n'[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]当你发现一个不需要的服务在运行时,使用下面的命令停止这个服务。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# chkconfig serviceName off[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]

[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]使用RPM包管理器,例如YUM或者apt-get 工具来列出所有安装的包,并且利用下的命令来卸载他们。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# yum -y remove package-name[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]2[/align][/td][td][align=right][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td]3[/align][/td][td][align=right]# sudo apt-get remove package-name[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]4[/align][/td][td][align=right][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td]5[/align][/td][td][align=right]    5 chkconfig Command Examples[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]6[/align][/td][td][align=right]    20 Practical Examples of RPM Commands[/align][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td][align=right]7[/align][/td][td][align=right]    20 Linux YUM Commands for Linux Package Management[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]8[/align][/td][td][align=right][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td]9[/align][/td][td][align=right]    25 APT-GET and APT-CACHE Commands to Manage Package Management[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]4. 检查网络监听端口[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]在网络命令 ‘netstat‘ 的帮助下,你将能够看到所有开启的端口,以及相关的程序。使用我上面提到的 ‘chkconfig‘ 命令关闭系统中不想要的网络服务。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# netstat -tulpn[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]5. 使用 SSH(Secure Shell)[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]Telnet 和 rlogin 协议只能用于纯文本,不能使用加密的格式,这或将导致安全漏洞的产生。SSH 是一种在客户端与服务器端通讯时使用加密技术的安全协议。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]除非必要,永远都不要直接登录 root 账户。使用 “sudo” 执行命令。sudo 由 /etc/sudoers 文件制定,同时也可以使用 “visudo” 工具编辑,它将通过 VI 编辑器打开配置文件。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]同时,建议将默认的 SSH 22 端口号改为其他更高的端口号。打开主要的 SSH 配置文件并做如下修改,以限制用户访问。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# vi /etc/ssh/sshd_config[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]

[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]关闭 root 用户登录[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]PermitRootLogin no[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]特定用户通过[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]AllowUsers username[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]使用第二版 SSH 协议[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]Protocol 2[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]6. 保证系统是最新的[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]得一直保证系统包含了最新版本的补丁、安全修复和可用内核。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# yum updates[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]2[/align][/td][td][align=right]# yum check-update[/align][/td][/tr]
[/table][/size][/backcolor]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]7. 锁定 Cron任务[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]Cron有它自己内建的特性,这特性允许定义哪些人能哪些人不能跑任务。这是通过两个文件/etc/cron.allow 和 /etc/cron.deny 控制的。要锁定在用Cron的用户时可以简单的将其名字写到corn.deny里,而要允许用户跑cron时将其名字加到cron.allow即可。如果你要禁止所有用户使用corn,那么可以将“ALL”作为一行加到cron.deny里。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# echo ALL >>/etc/cron.deny[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]8.  禁止USB探测[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]很多情况下我们想去限制用户使用USB,来保障系统安全和数据的泄露。建立一个文件‘/etc/modprobe.d/no-usb‘并且利用下面的命令来禁止探测USB存储。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]install usb-storage /bin/true[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]9.打开SELinux[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]SELinux(安全增强linux)是linux内核提供的一个强制的访问控制安全机制。禁用SELinux意味着系统丢掉了安全机制。要去除SELinux之前仔细考虑下,如果你的系统需要发布到网络,并且要在公网访问,你就要更加注意一下。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]SELinux 提供了三个基本的操作模式,他们是:[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]强制执行:这是默认是模式,用来启用和强制执行SELinux安全措略。
许可模式:这种模式下SELinux不会强制执行安全措略,只有警告和日志记录。这种模式在SELinux相关问题的故障排除时候非常有用。
关闭模式:SELinux被关闭。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]你可以使用命令行‘system-config-selinux‘, ‘getenforce‘ or ‘sestatus‘来浏览当前的SEliux的状态。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# sestatus[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]

[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]如果是关闭模式,通过下面的命令开启SELinux[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# setenforce enforcing[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]

[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]你也可以通过配置文件‘/etc/selinux/config‘来进行SELinux的开关操作。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]10. 移除KDE或GNOME桌面[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]没必要在专用的LAMP服务器上运行X Window桌面比如KDE和GNOME。可以移掉或关闭它们,以提高系统安全性和性能。打开/etc/inittab然后将run level改成3就可以关闭这些桌面。如果你将它彻底的从系统中移走,可以用下面这个命令:[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# yum groupremove "X Window System"[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]



评分

参与人数 1广告币 -5 收起 理由
河小马 -5 copy起码要编辑格式

查看全部评分

回复

使用道具 举报

32

主题

11

广告币

709

积分

中级会员

Rank: 3Rank: 3

积分
709

社区QQ达人

发表于 2013-9-3 21:58:18 | 显示全部楼层
回复 支持 反对

使用道具 举报

19

主题

133

广告币

405

积分

中级会员

Rank: 3Rank: 3

积分
405
发表于 2013-9-4 17:41:06 | 显示全部楼层
他根本就是来做广告的,才不会考虑格式啥的
回复 支持 反对

使用道具 举报

29

主题

560

广告币

565

积分

中级会员

Rank: 3Rank: 3

积分
565

社区QQ达人

 楼主| 发表于 2013-9-5 14:34:12 | 显示全部楼层
{:soso_e103:}没看。。从我网站上弄的
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们|联系我们|DMCA|广告服务|小黑屋|手机版|Archiver|Github|网站地图|AdvertCN

GMT+8, 2024-3-29 19:24 , Processed in 0.045782 second(s), 14 queries , Gzip On, MemCache On.

Copyright © 2001-2023, AdvertCN

Proudly Operating in Hong Kong.

快速回复 返回顶部 返回列表