AdvertCN - 广告中国

 找回密码
 立即注册

QQ登录

只需一步,快速开始

Binom
 谷歌+Bing+TT+MSN官方代理 
⚡️按条S5代理⚡️静态⚡️独享⚡️5G⚡️最干净<Wifi住宅+5G移动>IP代理指纹浏览器,就用AdsPower
Mediabuy⚡️玩家开户首选【鲁班跨境通-自助充值转账】FB/GG/TT❤️官方免费开户Affiliate 全媒体流量资源⚡️
Taboola/Outbrain /Bing⚡️一级代理开户投流-7*24h❤️人工在线【官方】❤️搜索套利广告开户独立站⚡️开户投放
DuoPlus专注打造跨境电商云手机E.PN 虚拟卡BINOM TRACKER 60% OFF!比Adplexity还好用的Spy工具
MediaGo+Taboola+Ob开户百度国际MediaGo⚡️让产品狂奔全球百度国际,高点击转化,快速放量百度国际MediaGo,独家原生流量
ADPLEXITY + ADVERTCN7200W全球动态不重复住宅IP代理虚拟信用卡+独立站收款全球虚拟卡, 支持U充值
Facebook 批量上广告尤里改 - FB 稳定投放免费黑五教程(持续更新、欢迎交流)FB 三不限源头 - 自助下户充值转款
各种主页、账单户、BM户(优势)⚡️个人户,bm户不限额,账单户一手BM分享户不限额9Proxy ⚡️ $0.04/IP, 无限带宽
FB二三解0.1元一个虚拟卡|PTM星际卡FB专用虚拟卡Google、Bing官方总代  联盟流量开户
FB账号资源/稳定靠谱/运行5年啦FB开户代投/三不限/白名单fb耐用号0.01一个fb账号官方合作商
搜索套利开户❤️Bigo/Kwai/MediagoFB资源,账单户,分享户,国内一手FB企业户BM户账单户源头广告位出租
查看: 5844|回复: 3

24个加强linux安全小贴士

[复制链接]

29

主题

560

广告币

565

积分

中级会员

Rank: 3Rank: 3

积分
565

社区QQ达人

发表于 2013-9-3 19:05:51 | 显示全部楼层 |阅读模式
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]Linux默认确实有内置的安全模型。你需要打开它并且对其进行定制,这样才能得到更安全的系统。Linux更难管理,不过相应也更灵活,有更多的配置选项。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]对于系统管理员,让产品的系统更安全,免于骇客和黑客的攻击,一直是一项挑战。这是我们关于“如何让Linux系统更安全” 或者 “加固Linux系统“之类话题的第一篇文章。本文将介绍 24个有用的技巧和窍门 ,帮助你让Linux系统更加安全。希望下面的这些技巧和窍门可以帮助你加强你的系统的安全。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]1. 物理系统的安全性[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]配置BIOS,禁用从CD/DVD、外部设备、软驱启动。下一步,启用BIOS密码,同时启用GRUB的密码保护,这样可以限制对系统的物理访问。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]通过设置GRUB密码来保护Linux服务器[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]2. 磁盘分区[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]使用不同的分区很重要,对于可能得灾难,这可以保证更高的数据安全性。通过划分不同的分区,数据可以进行分组并隔离开来。当意外发生时,只有出问题的分区的数据才会被破坏,其他分区的数据可以保留下来。你最好有以下的分区,并且第三方程序最好安装在单独的文件系统/opt下。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]/[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]2[/align][/td][td][align=right]/boot[/align][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td][align=right]3[/align][/td][td][align=right]/usr[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]4[/align][/td][td][align=right]/var[/align][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td][align=right]5[/align][/td][td][align=right]/home[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]6[/align][/td][td][align=right]/tmp[/align][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td][align=right]7[/align][/td][td][align=right]/opt[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]3. 最小包安装,最少漏洞[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]你真的需要安装所有的服务么?建议不要安装无用的包,避免由这些包带来的漏洞。这将最小化风险,因为一个服务的漏洞可能会危害到其他的服务。找到并去除或者停止不用的服务,把系统漏洞减少到最小。使用‘chkconfig‘命令列出运行级别3的运行所有服务。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# /sbin/chkconfig --list |grep '3n'[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]当你发现一个不需要的服务在运行时,使用下面的命令停止这个服务。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# chkconfig serviceName off[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]

[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]使用RPM包管理器,例如YUM或者apt-get 工具来列出所有安装的包,并且利用下的命令来卸载他们。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# yum -y remove package-name[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]2[/align][/td][td][align=right][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td]3[/align][/td][td][align=right]# sudo apt-get remove package-name[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]4[/align][/td][td][align=right][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td]5[/align][/td][td][align=right]    5 chkconfig Command Examples[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]6[/align][/td][td][align=right]    20 Practical Examples of RPM Commands[/align][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td][align=right]7[/align][/td][td][align=right]    20 Linux YUM Commands for Linux Package Management[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]8[/align][/td][td][align=right][/td][/tr]
[/table][/size][/backcolor]
[size=1em][table]
[tr][td]9[/align][/td][td][align=right]    25 APT-GET and APT-CACHE Commands to Manage Package Management[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]4. 检查网络监听端口[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]在网络命令 ‘netstat‘ 的帮助下,你将能够看到所有开启的端口,以及相关的程序。使用我上面提到的 ‘chkconfig‘ 命令关闭系统中不想要的网络服务。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# netstat -tulpn[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]5. 使用 SSH(Secure Shell)[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]Telnet 和 rlogin 协议只能用于纯文本,不能使用加密的格式,这或将导致安全漏洞的产生。SSH 是一种在客户端与服务器端通讯时使用加密技术的安全协议。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]除非必要,永远都不要直接登录 root 账户。使用 “sudo” 执行命令。sudo 由 /etc/sudoers 文件制定,同时也可以使用 “visudo” 工具编辑,它将通过 VI 编辑器打开配置文件。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]同时,建议将默认的 SSH 22 端口号改为其他更高的端口号。打开主要的 SSH 配置文件并做如下修改,以限制用户访问。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# vi /etc/ssh/sshd_config[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]

[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]关闭 root 用户登录[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]PermitRootLogin no[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]特定用户通过[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]AllowUsers username[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]使用第二版 SSH 协议[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]Protocol 2[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]6. 保证系统是最新的[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]得一直保证系统包含了最新版本的补丁、安全修复和可用内核。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# yum updates[/align][/td][/tr]
[/table][/size]
[backcolor=rgb(248, 248, 248) !important][size=1em][table]
[tr][td][align=right]2[/align][/td][td][align=right]# yum check-update[/align][/td][/tr]
[/table][/size][/backcolor]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]7. 锁定 Cron任务[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]Cron有它自己内建的特性,这特性允许定义哪些人能哪些人不能跑任务。这是通过两个文件/etc/cron.allow 和 /etc/cron.deny 控制的。要锁定在用Cron的用户时可以简单的将其名字写到corn.deny里,而要允许用户跑cron时将其名字加到cron.allow即可。如果你要禁止所有用户使用corn,那么可以将“ALL”作为一行加到cron.deny里。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# echo ALL >>/etc/cron.deny[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]8.  禁止USB探测[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]很多情况下我们想去限制用户使用USB,来保障系统安全和数据的泄露。建立一个文件‘/etc/modprobe.d/no-usb‘并且利用下面的命令来禁止探测USB存储。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]install usb-storage /bin/true[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]
[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]9.打开SELinux[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]SELinux(安全增强linux)是linux内核提供的一个强制的访问控制安全机制。禁用SELinux意味着系统丢掉了安全机制。要去除SELinux之前仔细考虑下,如果你的系统需要发布到网络,并且要在公网访问,你就要更加注意一下。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]SELinux 提供了三个基本的操作模式,他们是:[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]强制执行:这是默认是模式,用来启用和强制执行SELinux安全措略。
许可模式:这种模式下SELinux不会强制执行安全措略,只有警告和日志记录。这种模式在SELinux相关问题的故障排除时候非常有用。
关闭模式:SELinux被关闭。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]你可以使用命令行‘system-config-selinux‘, ‘getenforce‘ or ‘sestatus‘来浏览当前的SEliux的状态。[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# sestatus[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]

[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]如果是关闭模式,通过下面的命令开启SELinux[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# setenforce enforcing[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]

[p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]你也可以通过配置文件‘/etc/selinux/config‘来进行SELinux的开关操作。[/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif][b]10. 移除KDE或GNOME桌面[/b][/font][/color][/p][p=25, null, left][color=rgb(42, 42, 42)][font=Tahoma, Helvetica, Arial, sans-serif]没必要在专用的LAMP服务器上运行X Window桌面比如KDE和GNOME。可以移掉或关闭它们,以提高系统安全性和性能。打开/etc/inittab然后将run level改成3就可以关闭这些桌面。如果你将它彻底的从系统中移走,可以用下面这个命令:[/font][/color][/p][color=rgb(42, 42, 42)][font=Consolas,][size=1em][size=1em][table]
[tr][td][align=right]1[/align][/td][td][align=right]# yum groupremove "X Window System"[/align][/td][/tr]
[/table][/size]
[/size]
[/font][/color]



评分

参与人数 1广告币 -5 收起 理由
河小马 -5 copy起码要编辑格式

查看全部评分

回复

使用道具 举报

32

主题

11

广告币

709

积分

中级会员

Rank: 3Rank: 3

积分
709

社区QQ达人

发表于 2013-9-3 21:58:18 | 显示全部楼层
回复 支持 反对

使用道具 举报

19

主题

133

广告币

405

积分

中级会员

Rank: 3Rank: 3

积分
405
发表于 2013-9-4 17:41:06 | 显示全部楼层
他根本就是来做广告的,才不会考虑格式啥的
回复 支持 反对

使用道具 举报

29

主题

560

广告币

565

积分

中级会员

Rank: 3Rank: 3

积分
565

社区QQ达人

 楼主| 发表于 2013-9-5 14:34:12 | 显示全部楼层
{:soso_e103:}没看。。从我网站上弄的
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关于我们|联系我们|DMCA|广告服务|小黑屋|手机版|Archiver|Github|网站地图|AdvertCN

GMT+8, 2024-12-22 09:34 , Processed in 0.049260 second(s), 17 queries , Gzip On, MemCache On.

Copyright © 2001-2023, AdvertCN

Proudly Operating in Hong Kong.

快速回复 返回顶部 返回列表