日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

很多人認(rèn)為Linux天然安全——這顯然是種荒謬的誤解。想象一下，如果我們的筆記本設(shè)備未經(jīng)安全保護且被他人盜取，那么對方往往能夠輕松猜到我們的用戶名為“root”而密碼為“toor”——因為這是大多數(shù)人都在無腦使用的默認(rèn)組合。如果是這樣，Linux的安全性體現(xiàn)在哪里?

創(chuàng)新互聯(lián)是一家專業(yè)提供新?lián)崞髽I(yè)網(wǎng)站建設(shè),專注與成都做網(wǎng)站、成都網(wǎng)站建設(shè)、H5技術(shù)、小程序制作等業(yè)務(wù)。10年已為新?lián)岜姸嗥髽I(yè)、政府機構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進行中。

為了避免上述問題的出現(xiàn)，我們將通過本篇文章共享15項重要心得，幫助大家在多種Linux發(fā)行版當(dāng)中利用其中的通用邏輯實現(xiàn)安全性強化。

1-記錄主機信息

在進行系統(tǒng)保護之前，我們首先需要創(chuàng)建一份文檔，其中包含全部待檢查條目。另外，在文檔開頭，大家還需要包含以下Linux主機信息：

• 設(shè)備名稱
• IP地址
• Mac地址
• 實施安全強化工作的人員姓名
• 日期
• 資產(chǎn)編號(如果在企業(yè)當(dāng)中，則需要包含用于標(biāo)記主機的資產(chǎn)編號)

2-BIOS保護

需要利用密碼保護主機BIOS，避免最終用戶變更或者覆蓋其中的安全設(shè)定。每一家計算機制造商都會提供不同的BIOS模式進入方式，接下來則是設(shè)定理想的管理密碼。

之后，大家需要禁用外部介質(zhì)啟動(USB/CD/DVD)。如果不變更此配置，那么任何人都能夠利用U盤啟動系統(tǒng)并訪問其中的數(shù)據(jù)。

最新的服務(wù)器主板內(nèi)包含一套內(nèi)部Web服務(wù)器，大家可以對其進行遠(yuǎn)程訪問。確保變更管理頁面中的默認(rèn)密碼或者在可行時加以禁用。

3-硬盤加密(保密)

大多數(shù)Linux發(fā)行版允許大家在安裝前對磁盤進行加密。磁盤加密非常重要，特別是考慮到設(shè)備失竊這種可能性的存在。

如下圖所示，大家可以從列表中選擇第三個選項：Guided-use entire disk and set up encrypted LVM(LVM代表邏輯分卷管理器)。

如果您的Linux發(fā)行版不支持加密，則可選擇TrueCrypt等軟件方案。

4-磁盤保護(可用性)

備份對于系統(tǒng)受損以及系統(tǒng)更新bug等問題擁有良好的解決效果。對于重要服務(wù)器，我們可以考慮將備份數(shù)據(jù)傳輸至異地以實現(xiàn)災(zāi)難恢復(fù)。在設(shè)計備份方案時，大家需要考慮幾項重要問題，包括舊備份需要保留多久、何時需要進行系統(tǒng)備份(每天一次抑或每周一次)等。

關(guān)鍵性系統(tǒng)應(yīng)分為多個不同分區(qū)：

 
 
 
 

  
  
  
  
/
  
  
  
  
/boot
  
  
  
  
/usr
  
  
  
  
/home
  
  
  
  
/tmp
  
  
  
  
/var
  
  
  
  
/opt
 
 
 
 

磁盤分區(qū)允許大家在遭遇系統(tǒng)錯誤時保持其性能與安全性。如下圖所示，大家可以看到該選項如何在Kali Linux的安裝過程中進行分區(qū)劃分。

5-鎖定引導(dǎo)目錄

引導(dǎo)目錄中包含有與Linux內(nèi)核密切相關(guān)的重要文件，因此大家需要確保此目錄被鎖定為只讀模式。首先，打開“fstab”文件。

此后，在末尾添加最后的高亮行。

完成文件編輯后，大家需要執(zhí)行以下命令設(shè)定其擁有者：

 
 
 
 

  
  
  
  
#chown root:root /etc/fstab
 
 
 
 

此后，我設(shè)置了幾項權(quán)限用以保護引導(dǎo)設(shè)置：

• 將擁有者與/etc/grub.conf組設(shè)定為root用戶：

 
 
 
 

  
  
  
  
#chown root:root /etc/grub.conf
 
 
 
 

• 在/etc/grub.conf文件上將權(quán)限設(shè)定為僅root可讀寫：

 
 
 
 

  
  
  
  
#chmod og-rwx /etc/grub.conf
 
 
 
 

• 單用戶模式要求使用驗證：

 
 
 
 

  
  
  
  
#sed -i "/SINGLE/s/sushell/sulogin/" /etc/sysconfig/init
  
  
  
  
#sed -i "/PROMPT/s/yes/no/" /etc/sysconfig/init
 
 
 
 

6-禁用USB

某些高重要度系統(tǒng)需要禁用U盤使用。我們可以通過多種方式拒絕U盤存儲介質(zhì)的接入，以下介紹一種較為普遍的作法：

利用文本編輯器打開 “blacklist.conf” 文件:

 
 
 
 

  
  
  
  
#nano /etc/modprobe.d/blacklist.conf
 
 
 
 

打開后，將以下行添加至文件內(nèi)容末尾(而后保存并退出):

 
 
 
 

  
  
  
  
blacklist usb_storage
 
 
 
 

此后，打開rc.local文件:

 
 
 
 

  
  
  
  
#nano /etc/rc.local
 
 
 
 

最后，添加以下兩行：

 
 
 
 

  
  
  
  
modprobe -r usb_storage 
  
  
  
  
exit 0
 
 
 
 

7-系統(tǒng)更新

在首次引導(dǎo)完成后，我們必須馬上進行系統(tǒng)更新?？傮w來講，大家只需要打開終端窗口并執(zhí)行對應(yīng)命令即可。在Kali Linux中，大家可以執(zhí)行如下圖所示的命令：

8-檢查已安裝軟件包

列出Linux系統(tǒng)中已經(jīng)安裝的全部軟件包，并將其中不必要的部分移除。大家需要以嚴(yán)格的方式進行篩選，這對于Linux服務(wù)器的安全保障非常重要。下面來看如何在Kali Linux中列出全部已有軟件包：

請注意，禁用不必要的服務(wù)能夠有效削減攻擊面，因此如果大家在自己的Linux服務(wù)器中找到了以下服務(wù)，請馬上將其移除：

• Telnet server
• RSH server
• NIS server
• TFTP server
• TALK server

9-檢查開放端口

正確識別指向互聯(lián)網(wǎng)的開放端口非常重要。在Kali Linux中，可使用以下命令以找到任意隱藏的開放端口：

10-保護SSH

是的，SSH確實很安全，但大家仍然需要對其加以保護。首先，如果大家能夠禁用SSH，那這本身就是個問題。另外，如果要切實加以使用，大家還需要調(diào)整SSH的默認(rèn)配置。前往/etc/ssh并打開sshd_config文件。

• 將默認(rèn)端口數(shù)22變更為其它，例如99。
• 確保root無法通過SSH進行遠(yuǎn)程登錄：

 
 
 
 

  
  
  
  
PermitRootLogin no
 
 
 
 

• 允許部分特定用戶接入：

 
 
 
 

  
  
  
  
AllowUsers [username]
 
 
 
 

當(dāng)然，需要調(diào)整的內(nèi)容遠(yuǎn)不止如此。例如，某些企業(yè)會添加屏蔽機制以避免攻擊者的進一步深入。我建議大家查看SSH手冊以了解此文件中全部配置的含義。

以下為大家需要確保sshd_config文件中存在的部分其它選項：

• Protocol2
• IgnoreRhosts to yes
• HostbasedAuthentication no
• PermitEmptyPasswords no
• X11Forwarding no
• MaxAuthTries 5
• Ciphers aes128-ctr,aes192-ctr,aes256-ctr
• ClientAliveInterval 900
• ClientAliveCountMax 0
• UsePAM yes

最后，在sshd_config上設(shè)置權(quán)限以確保只有root用戶能夠?qū)ζ鋬?nèi)容進行變更：

 
 
 
 

  
  
  
  
#chown root:root /etc/ssh/sshd_config 
  
  
  
  
#chmod 600 /etc/ssh/sshd_config
 
 
 
 

11- 啟用SELinux

安全強化Linux，即SELinux，是一項內(nèi)核安全保護機制，用于支持訪問控制安全策略。SELinux擁有以下三種配置模式：

• Disabled: 關(guān)閉
• Permissive: 輸出警告
• Enforcing: 執(zhí)行策略

使用文本編輯器打開config文件：

 
 
 
 

  
  
  
  
#nano /etc/selinux/config
 
 
 
 

確保其中的策略得到執(zhí)行：

 
 
 
 

  
  
  
  
SELINUX=enforcing
 
 
 
 

12- 網(wǎng)絡(luò)參數(shù)

保護Linux主機網(wǎng)絡(luò)活動同樣非常重要。不要假定防火墻能夠搞定一切問題。下面來看在保護主機網(wǎng)絡(luò)時需要認(rèn)真考慮的幾項核心問題：

- 禁用IP轉(zhuǎn)發(fā)：在“/etc/sysctl.conf”中將net.ipv4.ip_forward參數(shù)設(shè)定為0。

- 禁用發(fā)送包重新定向：在“/etc/sysctl.conf”中將net.ipv4.conf.all.send_redirects與net.ipv4.conf.default.send_redirects參數(shù)設(shè)定為0。

- 禁用ICMP重新定向接受：在“/etc/sysctl.conf”中net.ipv4.conf.all.accept_redirects將與net.ipv4.conf.default.accept_redirects參數(shù)設(shè)定為0。

- 啟用惡性錯誤消息保護：在“/etc/sysctl.conf”中將net.ipv4.icmp_ignore_bogus_error_responses參數(shù)設(shè)定為1。

我強烈建議大家在Linux防火墻中應(yīng)用iptable規(guī)則并過濾全部輸入、輸出以及轉(zhuǎn)發(fā)數(shù)據(jù)包。配置適合自身需求的iptable需要耗費一定時間，但這一切都是值得的。

13- 密碼策略

人們常常會重復(fù)使用密碼，而這顯然是一種糟糕的安全實踐。原有密碼會被存儲在/etc/security/opasswd文件當(dāng)中。我們將利用PAM模塊以管理Linux主機的安全策略。在debian發(fā)行版中，打開/etc/pam.d/common-password文件并添加以下兩行：

 
 
 
 

  
  
  
  
auth sufficient pam_unix.so likeauth nullok
  
  
  
  
password sufficient pam_unix.so remember=4 (意味著用戶無法重復(fù)使用以往使用過的最后四條密碼。)
 
 
 
 

另一項需要強制執(zhí)行的策略為強密碼要求。PAM模塊提供的pam_cracklib能夠保護服務(wù)器免受詞典及暴力破解攻擊的危害。要完成這項任務(wù)，打開/etc/pam.d/system-auth文件并添加以下行：

 
 
 
 

  
  
  
  
/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1
 
 
 
 

Linux會對密碼進行散列處理，以避免其被保存為明文形式。因此，我們需要確保將安全密碼定義中的散列算法設(shè)定為SHA512。

另一項有趣的功能是在五次失敗嘗試后鎖定該賬戶。要實現(xiàn)這一效果，大家需要打開/etc/pam.d/password-auth文件并添加以下行：

 
 
 
 

  
  
  
  
auth required pam_env.so 
  
  
  
  
auth required pam_faillock.so preauth audit silent deny=5 unlock_time=604800 
  
  
  
  
auth [success=1 default=bad] pam_unix.so 
  
  
  
  
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=604800 
  
  
  
  
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=604800 
  
  
  
  
auth required pam_deny.so
 
 
 
 

到這里還沒有完成，我們還需要額外一項步驟。打開/etc/pam.d/system-auth文件并確保添加以下內(nèi)容：

 
 
 
 

  
  
  
  
auth required pam_env.so 
  
  
  
  
auth required pam_faillock.so preauth audit silent deny=5 unlock_time=604800 
  
  
  
  
auth [success=1 default=bad] pam_unix.so 
  
  
  
  
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=604800 
  
  
  
  
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=604800 
  
  
  
  
auth required pam_deny.so
 
 
 
 

在五次失敗嘗試后，只有管理員能夠使用以下命令解鎖該賬戶：

 
 
 
 

  
  
  
  
# /usr/sbin/faillock --user  --reset
 
 
 
 

另外，我們也可以為密碼設(shè)置為期90天的過期時長：

• 在“/etc/login.defs”中將PASS_MAX_DAYS參數(shù)設(shè)定為90
• 執(zhí)行以下命令以變更活動用戶：

 
 
 
 

  
  
  
  
#chage --maxdays 90 
 
 
 
 

下面這項提示用于強化密碼策略，即在/etc/pam.d/su文件內(nèi)設(shè)置參數(shù)以限制指向su命令的訪問：

 
 
 
 

  
  
  
  
auth required pam_wheel.so use_uid
 
 
 
 

最后一項密碼策略相關(guān)提示在于面向非root用戶禁用系統(tǒng)賬戶，具體請使用以下腳本：

 
 
 
 

  
  
  
  
#!/bin/bash 
  
  
  
  
for user in `awk -F: '($3 < 500) {print $1 }' /etc/passwd`; do 
  
  
  
  
if [ $user != "root" ] 
  
  
  
  
then 
  
  
  
  
/usr/sbin/usermod -L $user 
  
  
  
  
if [ $user != "sync" ] && [ $user != "shutdown" ] && [ $user != "halt" ] 
  
  
  
  
then /usr/sbin/usermod -s /sbin/nologin $user 
  
  
  
  
fi 
  
  
  
  
fi 
  
  
  
  
done
 
 
 
 

14-權(quán)限與驗證

請保持耐心，因為以下列表內(nèi)容較長。不過權(quán)限正是實現(xiàn)Linux主機安全保護目標(biāo)的一大重要因素，因此值得我們多花點時間與精力。

執(zhí)行以下命令以在/etc/anacrontab、/etc/crontab與/etc/cron.*上設(shè)定用戶/組擁有者及權(quán)限：

 
 
 
 

  
  
  
  
#chown root:root /etc/anacrontab 
  
  
  
  
#chmod og-rwx /etc/anacrontab 
  
  
  
  
#chown root:root /etc/crontab 
  
  
  
  
#chmod og-rwx /etc/crontab 
  
  
  
  
#chown root:root /etc/cron.hourly 
  
  
  
  
#chmod og-rwx /etc/cron.hourly 
  
  
  
  
#chown root:root /etc/cron.daily 
  
  
  
  
#chmod og-rwx /etc/cron.daily 
  
  
  
  
#chown root:root /etc/cron.weekly 
  
  
  
  
#chmod og-rwx /etc/cron.weekly 
  
  
  
  
#chown root:root /etc/cron.monthly 
  
  
  
  
#chmod og-rwx /etc/cron.monthly 
  
  
  
  
#chown root:root /etc/cron.d 
  
  
  
  
#chmod og-rwx /etc/cron.d
 
 
 
 

在/var/spool/cron上為root crontab設(shè)定權(quán)利與權(quán)限：

 
 
 
 

  
  
  
  
#chown root:root  
  
  
  
  
#chmod og-rwx 
 
 
 
 

在passwd文件上設(shè)置用戶/組擁有者與權(quán)限：

 
 
 
 

  
  
  
  
#chmod 644 /etc/passwd
  
  
  
  
#chown root:root /etc/passwd
 
 
 
 

在group文件上設(shè)置用戶/組擁有者與權(quán)限：

 
 
 
 

  
  
  
  
#chmod 644 /etc/group 
  
  
  
  
#chown root:root /etc/group
 
 
 
 

在shadow文件上設(shè)置用戶/組擁有者與權(quán)限：

 
 
 
 

  
  
  
  
#chmod 600 /etc/shadow 
  
  
  
  
#chown root:root /etc/shadow
 
 
 
 

在gshadow文件上設(shè)置用戶/組擁有者與權(quán)限：

 
 
 
 

  
  
  
  
#chmod 600 /etc/gshadow 
  
  
  
  
#chown root:root /etc/gshadow
 
 
 
 

15-其它安全強行舉措

作為最后一項建議，我將與大家分享其它幾項重要選項。

首先，限制核心轉(zhuǎn)儲：

• 向“/etc/security/limits.conf”文件添加hard core 0。
• 向“/etc/sysctl.conf”文件添加fs.suid_dumpable = 0。

第二，配置Exec Shield：

• 向“/etc/sysctl.conf”文件添加kernel.exec-shield = 1。

第三，啟用隨機虛擬內(nèi)存區(qū)域放置：

• 向“/etc/sysctl.conf”文件添加kernel.randomize_va_space = 2。

網(wǎng)站標(biāo)題：15步戰(zhàn)略輕松提升Linux服務(wù)器安全水平
分享URL：http://www.5511xx.com/article/djigsoo.html