|
|
楼主 |
发表于 2012-8-4 12:41:16
|
显示全部楼层
|阅读模式
来自 河南省郑州市
无论你是Linux的普通桌面用户仍是办理多个效劳器的体系办理员,你都面临着相同的问题:日益添加的各种要挟。Linux是一个开放式体系,可以在网络上找到许多现成的顺序和东西,这既方便了用户,也方便了黑客,由于他们也能很容易地找到顺序和东西来潜入Linux体系,或许盗取Linux体系上的重要信息。不过,只需咱们细心地设定Linux的各种体系功用,而且加上必要的安全措施,就能让黑客们无机可乘。
普通来说,对Linux体系的安全设定包罗撤销不必要的效劳、约束长途存取、躲藏重要材料、修补安全漏洞、选用安全东西以及常常性的安全检查等。本文教你十种进步Linux体系安全性的招数。固然招数不大,但招招见效,你不妨一试。
1.布置防火墙
这听起来像一条最“显着”的主张(就像运用强健暗码相同),但令人惊讶地是,很少有人真实去设置防火墙。即便你运用的路由器可以内置了防火墙,可是在Linux体系中布置一个软件防火墙是一件十分轻松的任务,你可以从中收获颇丰。
图形防火墙,例如比来比拟盛行的Firestarter,十分合适界说口转发和监测活动规矩。
2.禁用不必要的网络
般来说,除了http、smtp、telnet和ftp之外,其他效劳都应该撤销,比如简略文件传输协议tftp、网络邮件存储及接纳所用的imap/ipop传输协议、寻觅和查找材料用的gopher以及用于工夫同步的daytime和time等。
还有一些陈述体系情况的效劳,如finger、efinger、systat和netstat等,固然对体系查错和寻觅用户十分有用,但也给黑客供给了方便之门。例如,黑客可以运用finger效劳查找用户的电话、运用目录以及其他重要信息。因而,许多Linux体系将这些效劳悉数撤销或局部撤销,以增强体系的安全性。
3.运用愈加安全的传输代替办法
SSH是安全套接层的简称,它是可以安全地用来替代rlogin、rsh和rcp等共用顺序的一套顺序组。SSH选用公开密钥技能对网络上两台主机之间的通讯信息加密,而且用其密钥充任身份验证的东西。
由于SSH将网络上的信息加密,因而它可以用来安全地登录到长途主机上,而且在两台主机之间安全地传送信息。实际上,SSH不只可以保证Linux主机之间的安全通讯,Windows用户也可以颠末SSH安全地连接到Linux效劳器上。
4.撤销非root拜访
开端你可以对此觉得有些不方便,但你应保证正常用户不能拜访体系东西—即便fsck和ifconfig等简直“无害”的功用。到达这一作用的最棒办法是运用sudo,Sudo顺序答应普通用户颠末组态设定后,以用户本人的暗码再登录一次,获得超级用户的权限,但只能履行有限的几个指令。例如,运用sudo后,可以让办理磁带备份的办理人员每天准时登录到体系中,获得超级用户权限去履行文档备份任务,但却没有特权去作其他只需超级用户才干作的任务。Sudo不光约束了用户的权限,而且还将每次运用sudo所履行的指令记录下来,
不论该指令的履行是成功仍是失利。
5.常常检查和复制日志
网络办理人员要常常进步警觉,随时注重各种可疑情况,而且准时检查各种体系日志文件,包罗普通信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时,要注重能否有不合常理的工夫记载。黑客往往会对日志进行修正已掩盖本人的痕迹,所以你要在一个十分规的当地保管一个日志的副本。最棒能将日志独自房子一个长途效劳器上。
6.运用口令老化(password aging)
口令老化一种增强的体系口令生命期认证机制,固然它会必定顺序的削弱用户运用的便利性,可是它可以保证用户的口令定时替换,这是一种十分好的安全措施。因而,若是一个帐户受到了黑客的进犯而且没有被发现,可是在下一个暗码更改周期,他就不能再拜访该帐号了。
7.对root登录进行严厉约束
运用“root”身份登录不是一个好主意。安全的做法是你以普通用户的身份登录,然后运用su或sudo获得超级用户的权限,然后进行相应的任务。
8.物理维护
固然大多数的进犯是依托网络施行的,而黑客获得物理拜访你的计算机的时机也十分迷茫,但这并不意味你无需设防。
给引导顺序加上暗码维护,保证在你脱离电脑时它总是处于确定情况。而且你应该彻底必定没有人可以从外部设备发动你的效劳器。
9.装置最新的安全更新
一切盛行的Linux发行版除了定时发布更新外,只需遇到安全漏洞,研制人员也会很快发布相应得更新和补丁,你要做的就是常常重视有没有安全更新和补丁包发布,并及时装置。
10.留心翻开的文件
许多Linux发行版都包括一些十分运用的小东西,lsof就是其间一个。Lsof能列出当时体系翻开的一切文件。在linux环境下,任何事物都以文件的方式存在,颠末文件不只仅可以拜访惯例数据,还可以拜访网络连接和硬件。颠末lsof东西可以检查哪些进程正在运用哪些端口,它的进程ID以及是谁在运转它。若是你从中发现了一些反常,那么你必定值得细心检查一番。
|
|
发表于 2012-8-6 13:43:25
