眾所周知�,就安全性而言,Linux相對(duì)于Windows具有更多的優(yōu)勢(shì)。但是����,不管選擇哪一種Linux發(fā)行版本,在安裝完成以后都應(yīng)該進(jìn)行一些必要的配置����,來(lái)增強(qiáng)它的安全性�����。下面就通過(guò)幾個(gè)步驟來(lái)加固的Linux服務(wù)器�。目前,許多中小用戶(hù)因業(yè)務(wù)發(fā)展�����,不斷更新或升級(jí)網(wǎng)絡(luò)從而造成自身用戶(hù)環(huán)境差異較大���,整個(gè)網(wǎng)絡(luò)系統(tǒng)平臺(tái)參差不齊����,在服務(wù)器端大多使用Linux和Unix的��,PC端使用Windows 和Mac。所以在企業(yè)應(yīng)用中往往是Linux�����、Unix和Windows操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡(luò)�����。
1.安裝和配置一個(gè)防火墻
一個(gè)配置適當(dāng)?shù)姆阑饓Σ粌H是系統(tǒng)有效應(yīng)對(duì)外部攻擊的第一道防線(xiàn)����,也是最重要的一道防線(xiàn)。在新系統(tǒng)第一次連接上Internet之前�,防火墻就應(yīng)該被安裝并且配置好。防火墻配置成拒絕接收所有數(shù)據(jù)包�,然后再打開(kāi)允許接收的數(shù)據(jù)包,將有利于系統(tǒng)的安全���。Linux為我們提供了一個(gè)非常優(yōu)秀的防火墻工具���,它就是netfilter/iptables(http://www.netfilter.org/)。它完全是免費(fèi)的��,并且可以在一臺(tái)低配置的老機(jī)器上很好地運(yùn)行���。防火墻的具體設(shè)置方法請(qǐng)參見(jiàn)iptables使用方法����。
2.關(guān)閉無(wú)用的服務(wù)和端口
任何網(wǎng)絡(luò)連接都是通過(guò)開(kāi)放的應(yīng)用端口來(lái)實(shí)現(xiàn)的。如果我們盡可能少地開(kāi)放端口����,就使網(wǎng)絡(luò)攻擊變成無(wú)源之水,從而大大減少了攻擊者成功的機(jī)會(huì)����。把Linux作為專(zhuān)用服務(wù)器是個(gè)明智的舉措�����。例如�����,希望Linux成為的Web服務(wù)器�����,可以取消系統(tǒng)內(nèi)所有非必要的服務(wù)���,只開(kāi)啟必要服務(wù)��。這樣做可以盡量減少后門(mén)����,降低隱患,而且可以合理分配系統(tǒng)資源����,提高整機(jī)性能。以下是幾個(gè)不常用的服務(wù):
1. fingerd(finger服務(wù)器)報(bào)告指定用戶(hù)的個(gè)人信息�,包括用戶(hù)名、真實(shí)姓名���、shell��、目錄和聯(lián)系方式��,它將使系統(tǒng)暴露在不受歡迎的情報(bào)收集活動(dòng)下����,應(yīng)避免啟動(dòng)此服務(wù)���。
2. R服務(wù)(rshd���、rlogin��、rwhod�、rexec)提供各種級(jí)別的命令�,它們可以在遠(yuǎn)程主機(jī)上運(yùn)行或與遠(yuǎn)程主機(jī)交互,在封閉的網(wǎng)絡(luò)環(huán)境中登錄而不再要求輸入用戶(hù)名和口令�,相當(dāng)方便。然而在公共服務(wù)器上就會(huì)暴露問(wèn)題�,導(dǎo)致安全威脅。
3.刪除不用的軟件包
在進(jìn)行系統(tǒng)規(guī)劃時(shí)�����,總的原則是將不需要的服務(wù)一律去掉�。默認(rèn)的Linux就是一個(gè)強(qiáng)大的系統(tǒng)�,運(yùn)行了很多的服務(wù)。但有許多服務(wù)是不需要的��,很容易引起安全風(fēng)險(xiǎn)�����。這個(gè)文件就是/etc/xinetd.conf����,它制定了/usr/sbin/xinetd將要監(jiān)聽(tīng)的服務(wù)����,你可能只需要其中的一個(gè):ftp�����,其它的類(lèi)如telnet�����、shell����、login、exec�、talk、ntalk���、imap��、finger��、auth等��,除非你真的想用它�����,否則統(tǒng)統(tǒng)關(guān)閉��。
4.不設(shè)置缺省路由
在主機(jī)中��,應(yīng)該嚴(yán)格禁止設(shè)置缺省路由�����,即default route��。建議為每一個(gè)子網(wǎng)或網(wǎng)段設(shè)置一個(gè)路由���,否則其它機(jī)器就可能通過(guò)一定方式訪(fǎng)問(wèn)該主機(jī)��。
5.口令管理
口令的長(zhǎng)度一般不要少于8個(gè)字符,口令的組成應(yīng)以無(wú)規(guī)則的大小寫(xiě)字母�、數(shù)字和符號(hào)相結(jié)合,嚴(yán)格避免用英語(yǔ)單詞或詞組等設(shè)置口令�,而且各用戶(hù)的口令應(yīng)該養(yǎng)成定期更換的習(xí)慣。另外�����,口令的保護(hù)還涉及到對(duì)/etc/passwd和/etc/shadow文件的保護(hù),必須做到只有系統(tǒng)管理員才能訪(fǎng)問(wèn)這2個(gè)文件�����。安裝一個(gè)口令過(guò)濾工具加npasswd��,能幫你檢查你的口令是否耐得住攻擊�。如果你以前沒(méi)有安裝此類(lèi)的工具,建議你現(xiàn)在馬上安裝�。如果你是系統(tǒng)管理員,你的系統(tǒng)中又沒(méi)有安裝口令過(guò)濾工具�,請(qǐng)你馬上檢查所有用戶(hù)的口令是否能被窮盡搜索到,即對(duì)你的/ect/passwd文件實(shí)施窮盡搜索攻擊���。用單詞作密碼是根本架不住暴力攻擊的��。黑客們經(jīng)常用一些常用字來(lái)破解密碼��。曾經(jīng)有一位美國(guó)黑客表示�����,只要用"password"這個(gè)字�����,就可以打開(kāi)全美多數(shù)的計(jì)算機(jī)�����。其它常用的單詞還有:account��、ald�����、alpha���、beta����、computer�、dead、demo����、dollar、games�����、bod�、hello、help���、intro����、kill����、love、no�、ok、okay��、please�����、sex���、secret�����、superuser��、system����、test、work���、yes等����。密碼設(shè)置和原則:
1)足夠長(zhǎng)����,指頭只要多動(dòng)一下為密碼加一位,就可以讓攻擊者的辛苦增加十倍;
2)不要用完整的單詞�����,盡可能包括數(shù)字��、標(biāo)點(diǎn)符號(hào)和特殊字符等;
3)混用大小寫(xiě)字符;
4)經(jīng)常修改。
6.分區(qū)管理
一個(gè)潛在的攻擊�,它首先就會(huì)嘗試緩沖區(qū)溢出。在過(guò)去的幾年中��,以緩沖區(qū)溢出為類(lèi)型的安全漏洞是最為常見(jiàn)的一種形式了�����。更為嚴(yán)重的是����,緩沖區(qū)溢出漏洞占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)����,這種攻擊可以輕易使得一個(gè)匿名的Internet用戶(hù)有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)!
為了防止此類(lèi)攻擊��,我們從安裝系統(tǒng)時(shí)就應(yīng)該注意�����。如果用root分區(qū)記錄數(shù)據(jù)����,如log文件��,就可能因?yàn)榫芙^服務(wù)產(chǎn)生大量日志或垃圾郵件�,從而導(dǎo)致系統(tǒng)崩潰���。所以建議為/var開(kāi)辟單獨(dú)的分區(qū)�����,用來(lái)存放日志和郵件���,以避免root分區(qū)被溢出。最好為特殊的應(yīng)用程序單獨(dú)開(kāi)一個(gè)分區(qū)��,特別是可以產(chǎn)生大量日志的程序�����,還建議為/home單獨(dú)分一個(gè)區(qū)���,這樣他們就不能填滿(mǎn)/分區(qū)了�,從而就避免了部分針對(duì)Linux分區(qū)溢出的惡意攻擊����。
很多Linux桌面用戶(hù)往往是使用Windows��、Linux雙系統(tǒng)��。最好使用雙硬盤(pán)��。方法如下:首先將主硬盤(pán)的數(shù)據(jù)線(xiàn)拆下�,找一個(gè)10GB左右的硬盤(pán)掛在計(jì)算機(jī)上����,將小硬盤(pán)設(shè)置為從盤(pán)���,按照平常的操作安裝Linux服務(wù)器版本���,除了啟動(dòng)的引導(dǎo)程序放在MBR外,其它沒(méi)有區(qū)別����。 安裝完成,調(diào)試出桌面后���,關(guān)閉計(jì)算機(jī)�。將小硬盤(pán)的數(shù)據(jù)線(xiàn)拆下���,裝上原硬盤(pán)�����,并設(shè)定為主盤(pán)(這是為了原硬盤(pán)和小硬盤(pán)同時(shí)掛接在一個(gè)數(shù)據(jù)線(xiàn)上)���,然后安裝Windows軟件�。將兩個(gè)硬盤(pán)都掛在數(shù)據(jù)線(xiàn)上��,數(shù)據(jù)線(xiàn)是IDE 0接口����,將原硬盤(pán)設(shè)定為主盤(pán),小硬盤(pán)設(shè)定為從盤(pán)�����。如果要從原硬盤(pán)啟動(dòng)���,就在CMOS里將啟動(dòng)的順序設(shè)定為"C�、D����、CDROM"��,或者是"IDE0(HDD-0)"�����。這樣計(jì)算機(jī)啟動(dòng)的時(shí)候���,進(jìn)入Windows界面。如果要從小硬盤(pán)啟動(dòng)�,就將啟動(dòng)順序改為"D、C���、CDROM",或者是"IDE1(HDD-1)"���,啟動(dòng)之后��,將進(jìn)入Linux界面�。平時(shí)兩個(gè)操作系統(tǒng)是互相不能夠訪(fǎng)問(wèn)的�。
7.防范網(wǎng)絡(luò)嗅探:
嗅探器技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面,它工作的時(shí)候就像一部被動(dòng)聲納�����,默默的接收看來(lái)自網(wǎng)絡(luò)的各種信息,通過(guò)對(duì)這些數(shù)據(jù)的分析��,網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況�����,以便找出網(wǎng)絡(luò)中的漏洞���。在網(wǎng)絡(luò)安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防范嗅探器的危害.嗅探器能夠造成很大的安全危害���,主要是因?yàn)樗鼈儾蝗菀妆话l(fā)現(xiàn)。對(duì)于一個(gè)安全性能要求很?chē)?yán)格的企業(yè)���,同時(shí)使用安全的拓?fù)浣Y(jié)構(gòu)���、會(huì)話(huà)加密、使用靜態(tài)的ARP地址是有必要的����。
8.完整的日志管理
日志文件時(shí)刻為你記錄著你的系統(tǒng)的運(yùn)行情況。當(dāng)黑客光臨時(shí)����,也不能逃脫日志的法眼����。所以黑客往往在攻擊時(shí)修改日志文件��,來(lái)隱藏蹤跡�。因此我們要限制對(duì)/var/log文件的訪(fǎng)問(wèn),禁止一般權(quán)限的用戶(hù)去查看日志文件�。
另外要使用日志服務(wù)器。將客戶(hù)機(jī)的日志信息保存副本是好主意��,創(chuàng)建一臺(tái)服務(wù)器專(zhuān)門(mén)存放日志文件�,可以通過(guò)檢查日志來(lái)發(fā)現(xiàn)問(wèn)題。修改/etc/sysconfig/syslog文件加入接受遠(yuǎn)程日志記錄�。
/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-m r 0"
還應(yīng)該設(shè)定日志遠(yuǎn)程保存。修改/etc/syslog.conf文件加入日志服務(wù)器的設(shè)置��,syslog將保存副本在日志服務(wù)器上���。
/etc/syslog.conf
*.* @log_server_IP
可以使用彩色日志過(guò)濾器。彩色日志loco過(guò)濾器���,目前版本是0.32���。使用loco /var/log/messages more可以顯示出彩色的日志���,明顯標(biāo)記出root的位置和日志中異常的命令。這樣可以減少分析日志時(shí)人為遺漏����。還要進(jìn)行日志的定期檢查。Red Hat Linux中提供了logwatch工具�����,定期自動(dòng)檢查日志并發(fā)送郵件到管理員信箱�����。需要修改/etc/log.d/conf/ logwatch.conf文件�,在MailTo = root參數(shù)后增加管理員的郵件地址。Logwatch會(huì)定期檢查日志�����,過(guò)濾有關(guān)使用root����、sudo���、telnet、ftp登錄等信息���,協(xié)助管理員分析日常安全���。完整的日志管理要包括網(wǎng)絡(luò)數(shù)據(jù)的正確性、有效性��、合法性�����。對(duì)日志文件的分析還可以預(yù)防入侵����。例如、某一個(gè)用戶(hù)幾小時(shí)內(nèi)的20次的注冊(cè)失敗記錄��,很可能是入侵者正在嘗試該用戶(hù)的口令��。
9.終止正進(jìn)行的攻擊
假如你在檢查日志文件時(shí)�����,發(fā)現(xiàn)了一個(gè)用戶(hù)從你未知的主機(jī)登錄�����,而且你確定此用戶(hù)在這臺(tái)主機(jī)上沒(méi)有賬號(hào)�����,此時(shí)你可能正被攻擊����。首先你要馬上鎖住此賬號(hào)(在口令文件或shadow文件中,此用戶(hù)的口令前加一個(gè)Ib或其他的字符)����。若攻擊者已經(jīng)連接到系統(tǒng),你應(yīng)馬上斷開(kāi)主機(jī)與網(wǎng)絡(luò)的物理連接���。如有可能����,你還要進(jìn)一步查看此用戶(hù)的歷史記錄����,查看其他用戶(hù)是否也被假冒����,攻擊音是否擁有根權(quán)限���。殺掉此用戶(hù)的所有進(jìn)程并把此主機(jī)的ip地址掩碼加到文件hosts.deny中��。
10.使用安全工具軟件:
Linux已經(jīng)有一些工具可以保障服務(wù)器的安全��。如bastille linux和Selinux���。
bastille linux對(duì)于不熟悉 linux 安全設(shè)定的使用者來(lái)說(shuō),是一套相當(dāng)方便的軟件���,bastille linux 目的是希望在已經(jīng)存在的 linux 系統(tǒng)上��,建構(gòu)出一個(gè)安全性的環(huán)境�。
增強(qiáng)安全性的Linux(SELinux)是美國(guó)安全部的一個(gè)研發(fā)項(xiàng)目���,它的目的在于增強(qiáng)開(kāi)發(fā)代碼的Linux內(nèi)核���,以提供更強(qiáng)的保護(hù)措施,防止一些關(guān)于安全方面的應(yīng)用程序走彎路�,減輕惡意軟件帶來(lái)的災(zāi)難。普通的Linux系統(tǒng)的安全性是依賴(lài)內(nèi)核的�����,這個(gè)依賴(lài)是通過(guò)setuid/setgid產(chǎn)生的����。在傳統(tǒng)的安全機(jī)制下,暴露了一些應(yīng)用授權(quán)問(wèn)題��、配置問(wèn)題或進(jìn)程運(yùn)行造成整個(gè)系統(tǒng)的安全問(wèn)題����。這些問(wèn)題在現(xiàn)在的操作系統(tǒng)中都存在,這是由于他們的復(fù)雜性和與其它程序的互用性造成的�。SELinux只
關(guān)鍵詞標(biāo)簽:Linux服務(wù)器
火絨安全軟件開(kāi)啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程