保護你的Linux系統的九個老生常談

2021-09-23 16:04:34 字數 1157 閱讀 4969

在現在這個世道中,保障基於linux的系統的安全是十分重要的。但是,你得知道怎麼幹。乙個簡單反惡意程式軟體是遠遠不夠的,你需要採取其它措施來協同工作。那麼試試下面這些手段吧。

selinux是用來對linux進行安全加固的,有了它,使用者和管理員們就可以對訪問控制進行更多控制。selinux為訪問控制新增了更細的顆粒度控制。與僅可以指定誰可以讀、寫或執行乙個檔案的許可權不同的是,selinux可以讓你指定誰可以刪除鏈結、只能追加、移動乙個檔案之類的更多控制。(lctt譯註:雖然nsa也給selinux貢獻過很多**,但是目前尚無證據證明selinux有潛在後門)

安全缺陷不一定是在你的作業系統上。事實上,漏洞多見於安裝的應用程式之中。為了避免這個問題的發生,你必須保持你的應用程式更新到最新版本。此外,訂閱漏洞警報服務,如securityfocus。

通常來講,使用者大多數時候都用不到他們系統上的服務和應用的一半。然而,這些服務和應用還是會執行,這會招來攻擊者。因而,最好是把這些不用的服務停掉。(lctt譯註:或者乾脆不安裝那些用不到的服務,這樣根本就不用關注它們是否有安全漏洞和該公升級了。)

你的系統日誌告訴你在系統上發生了什麼活動,包括攻擊者是否成功進入或試著訪問系統。時刻保持警惕,這是你第一條防線,而經常性地監控系統日誌就是為了守好這道防線。

設定埠試探(port knocking)是建立伺服器安全連線的好方法。一般做法是發生特定的包給伺服器,以觸發伺服器的回應/連線(開啟防火牆)。埠敲門對於那些有開放埠的系統是乙個很好的防護措施。

下面是來自  的示意圖:

iptables是什麼?這是乙個應用框架,它允許使用者自己為系統建立乙個強大的防火牆。因此,要提公升安全防護能力,就要學習怎樣乙個好的防火牆以及怎樣使用iptables框架。

防火牆有兩種思路:乙個是允許每一點通訊,另乙個是拒絕所有訪問,提示你是否許可。第二種更好一些。你應該只允許那些重要的通訊進入。(lctt譯註:即預設許可策略和預設禁止策略,前者你需要指定哪些應該禁止,除此之外統統放行;後者你需要指定哪些可以放行,除此之外全部禁止。)

入侵檢測系統,或者叫ids,允許你更好地管理系統上的通訊和受到的攻擊。snort是目前公認的linux上的最好的ids。

加密的資料更難竊取,有時候根本不可能被竊取,這就是你應該對整個驅動器加密的原因。採用這種方式後,如果有某個人進入到你的系統,那麼他看到這些加密的資料後,就有得頭痛了。根據一些報告,大多數資料丟失源於機器被盜。

如何保護你的linux作業系統

使用selinux selinux是用來對linux進行安全加固的,有了它,使用者和管理員們就可以對訪問控制進行更多控制。selinux為訪問控制新增了更細的顆粒度控制。與僅可以指定誰可以讀 寫或執行乙個檔案的許可權不同的是,selinux可以讓你指定誰可以刪除鏈結 只能追加 移動乙個檔案之類的更多...

保護你系統安全的影子系統

所以今天我就給黑客的初學者們帶來了乙個好用的軟體,power shadow中文名叫做影子系統,它虛擬現有作業系統的完整形象,這個影像和正常作業系統一模一樣,所有操作進行在windows的虛擬影像中,不對,真正windows系統產生影響,並且占用資源很少,所有改變將在退出虛擬模式後消失,所以從理論上講...

LINUX的系統核心空間的保護

看了linux 感 覺其對核心記憶體的保護做得不是很好,還有感覺大家有些地方理解不對 主要是linux的 看起來的樣子和實際的樣子不太一樣 所以談談我對linux 系統核心空間的保護和使用者空間與系統空間資料傳遞的 看法。注意我說的都是i386體系結構,別的體系結構可以看相應的 不敢保證結果是否是如...