日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

正如我之前說(shuō)過(guò)，安全好比是在公路上開車――比你開得慢的人都是白癡，比你開得快的人都是瘋子。本文介紹的這些準(zhǔn)則只是一系列基本的核心安全規(guī)則，它們并不全面，也代替不了經(jīng)驗(yàn)、謹(jǐn)慎和常識(shí)。你應(yīng)該稍稍調(diào)整這些建議，以適合本企業(yè)的環(huán)境。

創(chuàng)新互聯(lián)是一家以網(wǎng)絡(luò)技術(shù)公司，為中小企業(yè)提供網(wǎng)站維護(hù)、成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、網(wǎng)站備案、服務(wù)器租用、空間域名、軟件開發(fā)、小程序開發(fā)等企業(yè)互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)，是一家有著豐富的互聯(lián)網(wǎng)運(yùn)營(yíng)推廣經(jīng)驗(yàn)的科技公司，有著多年的網(wǎng)站建站經(jīng)驗(yàn)，致力于幫助中小企業(yè)在互聯(lián)網(wǎng)讓打出自已的品牌和口碑，讓企業(yè)在互聯(lián)網(wǎng)上打開一個(gè)面向全國(guó)乃至全球的業(yè)務(wù)窗口：建站來(lái)電聯(lián)系：18982081108

對(duì)每個(gè)系統(tǒng)管理員來(lái)說(shuō)，以下是應(yīng)該采取的一些必要步驟：

• 1.一律禁用Firewire和Thunderbolt模塊。
  
• 2.檢查防火墻，確保所有入站端口已被過(guò)濾。
  
• 3.確保root郵件轉(zhuǎn)發(fā)到你核查的帳戶。
  
• 4.設(shè)立操作系統(tǒng)自動(dòng)更新時(shí)間表，或者更新提醒內(nèi)容。
  

此外，你還應(yīng)該考慮其中一些最好采取的步驟，進(jìn)一步加固系統(tǒng)：

• 1.核查以確保sshd服務(wù)在默認(rèn)情況下已被禁用。
  
• 2.設(shè)置屏幕保護(hù)程序，在閑置一段時(shí)間后自動(dòng)鎖定。
  
• 3.安裝logwatch。
  
• 4.安裝和使用rkhunter
  
• 5.安裝入侵檢測(cè)系統(tǒng)
  

1. 把相關(guān)模塊列入黑名單

想把Firewire和Thunderbolt模塊列入黑名單，將下列幾行添加到/etc/modprobe.d/blacklist-dma.conf中的文件：

blacklist firewire-core
blacklist thunderbolt

一旦系統(tǒng)重啟，上述模塊就會(huì)被列入黑名單。即便你沒有這些端口，這么做也沒有什么危害。

2. root郵件

默認(rèn)情況下，root郵件完全保存在系統(tǒng)上，往往從不被讀取。確保你設(shè)置了/etc/aliases，將root郵件轉(zhuǎn)發(fā)到你實(shí)際讀取的郵箱，不然就有可能錯(cuò)過(guò)重要的系統(tǒng)通知和報(bào)告：

# Person who should get root’s mail
root:           bob@example.com

這番編輯后運(yùn)行newaliases，對(duì)它測(cè)試一番，確保郵件確實(shí)已送達(dá)，因?yàn)橐恍╇娮余]件提供商會(huì)拒絕從根本不存在的域名或無(wú)法路由的域名發(fā)來(lái)的電子郵件。如果是這種情況，你需要調(diào)整郵件轉(zhuǎn)發(fā)配置，直到這確實(shí)可行。

3. 防火墻、sshd和偵聽守護(hù)進(jìn)程

默認(rèn)的防火墻設(shè)置將依賴你的發(fā)行版，但是許多允許入站sshd端口。除非你有一個(gè)充足而正當(dāng)?shù)睦碛稍试S入站ssh，否則應(yīng)該將這個(gè)過(guò)濾掉，禁用sshd守護(hù)進(jìn)程。

systemctl disable sshd.service
systemctl stop sshd.service

如果你需要使用它，總是可以暫時(shí)啟動(dòng)它。

通常來(lái)說(shuō)，你的系統(tǒng)除了響應(yīng)ping外，應(yīng)該沒有任何偵聽端口。這將有助于你防范網(wǎng)絡(luò)層面的零日漏洞。

4. 自動(dòng)更新或通知

建議開啟自動(dòng)更新，除非你有非常充足的理由不這么做，比如擔(dān)心自動(dòng)更新會(huì)導(dǎo)致你的系統(tǒng)無(wú)法使用(這種事之前發(fā)生過(guò)，所以這種擔(dān)心并非毫無(wú)根據(jù))。起碼，你應(yīng)該啟用自動(dòng)通知可用更新的機(jī)制。大多數(shù)發(fā)行版已經(jīng)讓這項(xiàng)服務(wù)自動(dòng)為你運(yùn)行，所以你很可能沒必要進(jìn)行任何操作。查閱發(fā)行版的說(shuō)明文檔，了解更多內(nèi)容。

5. 查看日志

你應(yīng)該密切關(guān)注系統(tǒng)上發(fā)生的所有活動(dòng)。由于這個(gè)原因，應(yīng)該安裝logwatch，并對(duì)它進(jìn)行配置，以便每晚發(fā)送活動(dòng)報(bào)告，表明系統(tǒng)上發(fā)生的一切活動(dòng)。這防止不了全身心投入的攻擊者，卻是一項(xiàng)很好的安全網(wǎng)功能，有必要部署。

請(qǐng)注意：許多systemd發(fā)行版不再自動(dòng)安裝logwatch需要的syslog服務(wù)器(那是由于systemd依賴自己的日志)，所以你需要安裝和啟用rsyslog，確保/var/log在logwatch具有任何用途之前不是空的。

6. rkhunter和IDS

除非你切實(shí)了解工作原理，并且采取了必要的步驟進(jìn)行合理的設(shè)置(比如將數(shù)據(jù)庫(kù)放在外部介質(zhì)上，從可信任的環(huán)境運(yùn)行檢查，執(zhí)行系統(tǒng)更新和配置變更后記得更新哈希數(shù)據(jù)庫(kù)，等等)，否則安裝rkhunter以及aide或tripwire之類的入侵檢測(cè)系統(tǒng)(IDS)不是很有用。如果你不愿意采取這些步驟、調(diào)整在自己的工作站上執(zhí)行任務(wù)的方式，這些工具只會(huì)帶來(lái)麻煩，沒有任何實(shí)際的安全好處。

我們確實(shí)建議你應(yīng)當(dāng)安裝rkhunter、在晚上運(yùn)行它。它學(xué)習(xí)和使用起來(lái)相當(dāng)容易;雖然它發(fā)現(xiàn)不了狡猾的攻擊者，但是可幫助你發(fā)現(xiàn)自己的錯(cuò)誤。

名稱欄目：讓Linux工作站變得更加牢固
標(biāo)題路徑：http://www.5511xx.com/article/cohjjsh.html