via:
很多人覺得微軟不夠安全,所以很多人選擇linux於是就有很多程式設計師編寫了linux的相關軟體,這麼多的軟體支援,技術支援,也就導致了很多程式設計師選擇linux。可程式設計師的水平不一就導致linux漏洞。這給了黑客的機會,linux安全就受到了重視。怎樣才能保護好linux安全呢?
一、取消不必要的服務
早期的unix版本中,每乙個不同的網路服務都有乙個服務程式在後台執行,後來的版本用統一的/etc/inetd伺服器程式擔此重任。inetd是internetdaemon的縮寫,它同時監視多個網路埠,一旦接收到外界傳來的連線資訊,就執行相應的tcp或udp網路服務。
由於受inetd的統一指揮,因此linux中的大部分tcp或udp服務都是在/etc/inetd.conf檔案中設定。所以取消不必要服務的第一步就是檢查/etc/inetd.conf檔案,在不要的服務前加上「#」號。
一般來說,除了http、smtp、telnet和ftp之外,其他服務都應該取消,諸如簡單檔案傳輸協議tftp、網路郵件儲存及接收所用的imap/ipop傳輸協議、尋找和搜尋資料用的gopher以及用於時間同步的daytime和time等。
還有一些報告系統狀態的服務,如finger、efinger、systat和netstat等,雖然對系統查錯和尋找使用者非常有用,但也給黑客提供了方便之門。例如,黑客可以利用finger服務查詢使用者的**、使用目錄以及其他重要資訊。因此,很多linux系統將這些服務全部取消或部分取消,以增強系統的安全性。
inetd除了利用/etc/inetd.conf設定系統服務項之外,還利用/etc/services檔案查詢各項服務所使用的埠。因此,使用者必須仔細檢查該檔案中各埠的設定,以免有安全上的漏洞。
在linux中有兩種不同的服務型態:一種是僅在有需要時才執行的服務,如finger服務;另一種是一直在執行的永不停頓的服務。這類服務在系統啟動時就開始執行,因此不能靠修改inetd來停止其服務,而只能從修改/etc/rc.d/rc[n].d/檔案或用run level editor去修改它。提供檔案服務的nfs伺服器和提供nntp新聞服務的news都屬於這類服務,如果沒有必要,最好取消這些服務。
二、限制系統的出入
在進入linux系統之前,所有使用者都需要登入,也就是說,使用者需要輸入使用者賬號和密碼,只有它們通過系統驗證之後,使用者才能進入系統。
與其他unix作業系統一樣,linux一般將密碼加密之後,存放在/etc/passwd檔案中。linux系統上的所有使用者都可以讀到/etc/passwd檔案,雖然檔案中儲存的密碼已經經過加密,但仍然不太安全。因為一般的使用者可以利用現成的密碼破譯工具,以窮舉法猜測出密碼。比較安全的方法是設定影子檔案/etc/shadow,只允許有特殊許可權的使用者閱讀該檔案。
在linux系統中,如果要採用影子檔案,必須將所有的公用程式重新編譯,才能支援影子檔案。這種方法比較麻煩,比較簡便的方法是採用插入式驗證模組(pam)。很多linux系統都帶有linux的工具程式pam,它是一種身份驗證機制,可以用來動態地改變身份驗證的方法和要求,而不要求重新編譯其他公用程式。這是因為pam採用封閉包的方式,將所有與身份驗證有關的邏輯全部隱藏在模組內,因此它是採用影子檔案的最佳幫手。
此外,pam還有很多安全功能:它可以將傳統的des加密方法改寫為其他功能更強的加密方法,以確保使用者密碼不會輕易地遭人破譯;它可以設定每個使用者使用電腦資源的上限;它甚至可以設定使用者的上機時間和地點。
linux系統管理人員只需花費幾小時去安裝和設定pam,就能大大提高linux系統的安全性,把很多攻擊阻擋在系統之外。
三、保持最新的系統核心
由於linux流通渠道很多,而且經常有更新的程式和系統補丁出現,因此,為了加強系統安全,一定要經常更新系統核心。
kernel是linux作業系統的核心,它常駐記憶體,用於載入作業系統的其他部分,並實現作業系統的基本功能。由於kernel控制計算機和網路的各種功能,因此,它的安全性對整個系統安全至關重要。
早期的kernel版本存在許多眾所周知的安全漏洞,而且也不太穩定,只有2.0.x以上的版本才比較穩定和安全,新版本的執行效率也有很大改觀。在設定kernel的功能時,只選擇必要的功能,千萬不要所有功能照單全收,否則會使kernel變得很大,既占用系統資源,也給黑客留下可乘之機。
在internet上常常有最新的安全修補程式,linux系統管理員應該訊息靈通,經常光顧安全新聞組,查閱新的修補程式。
四、增強安全防護工具
ssh是安全套接層的簡稱,它是可以安全地用來取代rlogin、rsh和rcp等公用程式的一套程式組。ssh採用公開金鑰技術對網路上兩台主機之間的通訊資訊加密,並且用其金鑰充當身份驗證的工具。
由於ssh將網路上的資訊加密,因此它可以用來安全地登入到遠端主機上,並且在兩台主機之間安全地傳送資訊。實際上,ssh不僅可以保障linux主機之間的安全通訊,windows使用者也可以通過ssh安全地連線到linux伺服器上。
五、限制超級使用者的權力
我們在前面提到,root是linux保護的重點,由於它權力無限,因此最好不要輕易將超級使用者授權出去。但是,有些程式的安裝和維護工作必須要求有超級使用者的許可權,在這種情況下,可以利用其他工具讓這類使用者有部分超級使用者的許可權。sudo就是這樣的工具。
sudo程式允許一般使用者經過組態設定後,以使用者自己的密碼再登入一次,取得超級使用者的許可權,但只能執行有限的幾個指令。
六、設定使用者賬號的安全等級
除密碼之外,使用者賬號也有安全等級,這是因為在linux上每個賬號可以被賦予不同的許可權,因此在建立乙個新使用者id時,系統管理員應該根據需要賦予該賬號不同的許可權,並且歸併到不同的使用者組中。
在linux系統上的tcpd中,可以設定允許上機和不允許上機人員的名單。其中,允許上機人員名單在/etc/hosts.allow中設定,不允許上機人員名單在/etc/hosts.deny中設定。設定完成之後,需要重新啟動inetd程式才會生效。此外,linux將自動把允許進入或不允許進入的結果記錄到/rar/log/secure檔案中,系統管理員可以據此查出可疑的進入記錄。
linux系統中的/etc/securetty檔案包含了一組能夠以root賬號登入的終端機名稱。例如,在redhatlinux系統中,該檔案的初始值僅允許本地虛擬控制台(rtys)以root許可權登入,而不允許遠端使用者以root許可權登入。最好不要修改該檔案,如果一定要從遠端登入為root許可權,最好是先以普通賬號登入,然後利用su命令公升級為超級使用者。
做好上述六點,你就能安全的暢遊在linux系統之中了,好好體驗一下個性化的作業系統。linux安全重中之重,希望你能學會本文的知識。
簡單介紹六點nginx優化的方法
這篇文章主要介紹了nginx優化的六點方法,有對nginx優化不太熟悉的同學可以參考下 一.優化nginx併發量 root proxy ab n 2000 c 2000 benchmarking 192.168.4.5 be patient socket too many open files 24...
簡單介紹六點nginx優化的方法
這篇文章主要介紹了nginx優化的六點方法,有對nginx優化不太熟悉的同學可以參考下 一.優化nginx併發量 root proxy ab n 2000 c 2000 benchmarking 192.168.4.5 be patient socket too many open files 24...
HashTable和HashMap的六點區別
hashtable和hashmap的六點區別 hashtable的應用非常廣泛,hashmap是新框架中用來代替hashtable的類,也就是說建議使用hashmap,不要使用hashtable。可能你覺得hashtable很好用,為什麼不用呢?這裡簡單分析他們的區別。1.hashtable的方法是...