linux伺服器的安全相對於windows來說具有非常多的優勢,不管我們選擇哪個版本的linux我們都需要進行一些必要的配置,那麼接下來我們就一起去**學習linux伺服器的安全知識。
一,安裝和配置乙個防火牆乙個配置適當的防火牆不僅是系統有效應對外部攻擊的第一道防線,也是最重要的一道防線。在新系統第一次連線上internet之前,防火牆就應該被安裝並且配置好。防火牆配置成拒絕接收所有資料報,然後再開啟允許接收的資料報,將有利於系統的安全。linux為我們提供了乙個非常優秀的防火牆工具,它就是netfilter/iptables(http://它完全是免費的,並且可以在一台低配置的老機器上很好地執行。防火牆的具體設定方法請參見iptables使用方法。
二,關閉無用的服務和埠任何網路連線都是通過開放的應用埠來實現的。如果我們盡可能少地開放埠,就使網路攻擊變成無源之水,從而大大減少了攻擊者成功的機會。把linux作為專用伺服器是個明智的舉措。例如,希望linux成為的web伺服器,可以取消系統內所有非必要的服務,只開啟必要服務。這樣做可以儘量減少後門,降低隱患,而且可以合理分配系統資源,提高整機效能。以下是幾個不常用的服務:
fingerd(finger伺服器)報告指定使用者的個人資訊,包括使用者名稱、真實姓名、shell、目錄和****,它將使系統暴露在不受歡迎的情報收集活動下,應避免啟動此服務。
r服務(rshd、rlogin、rwhod、rexec)提供各種級別的命令,它們可以在遠端主機上執行或與遠端主機互動,在封閉的網路環境中登入而不再要求輸入使用者名稱和口令,相當方便。然而在公共伺服器上就會暴露問題,導致安全威脅。
三.刪除不用的軟體包在進行系統規劃時,總的原則是將不需要的服務一律去掉。預設的linux就是乙個強大的系統,執行了很多的服務。但有許多服務是不需要的,很容易引起安全風險。這個檔案就是/etc/xinetd.conf,它制定了/usr/sbin/xinetd將要監聽的服務,你可能只需要其中的乙個:ftp,其它的類如telnet、shell、login、exec、talk、ntalk、imap、finger、auth等,除非你真的想用它,否則統統關閉。
四.不設定預設路由在主機中,應該嚴格禁止設定預設路由,即default route。建議為每乙個子網或網段設定乙個路由,否則其它機器就可能通過一定方式訪問該主機。
五.口令管理口令的長度一般不要少於8個字元,口令的組成應以無規則的大小寫字母、數字和符號相結合,嚴格避免用英語單詞或片語等設定口令,而且各使用者的口令應該養成定期更換的習慣。另外,口令的保護還涉及到對/etc/passwd和/etc/shadow檔案的保護,必須做到只有系統管理員才能訪問這2個檔案。安裝乙個口令過濾工具加npasswd,能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具,建議你現在馬上安裝。如果你是系統管理員,你的系統中又沒有安裝口令過濾工具,請你馬上檢查所有使用者的口令是否能被窮盡搜尋到,即對你的/ect/passwd檔案實施窮盡搜尋攻擊。用單詞作密碼是根本架不住暴力攻擊的。黑客們經常用一些常用字來破解密碼。曾經有一位美國黑客表示,只要用「password」這個字,就可以開啟全美多數的計算機。
其它常用的單詞還有:account、ald、alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、love、no、ok、okay、please、***、secret、superuser、system、test、work、yes等。密碼設定和原則:
1.足夠長,指頭只要多動一下為密碼加一位,就可以讓攻擊者的辛苦增加十倍;
2.不要用完整的單詞,盡可能包括數字、標點符號和特殊字元等;
3.混用大小寫字元;
4.經常修改。
5.分割槽管理以上就是linux伺服器的安全知識,我們可以通過幾個步驟來加固的linux伺服器。我們在伺服器端大多使用linux和unix的,pc端使用windows和mac。所以在企業應用中往往是linux、unix和windows作業系統共存形成異構網路。
linux伺服器安全
一 系統安全記錄檔案 作業系統內部的記錄檔案是檢測是否有網路入侵的重要線索。如果您的系統是直接連到internet,您發現有很多人對您的系統做telnet ftp登入嘗試,可以執行 more var log secure grep refused 來檢查系統所受到的攻擊,以便採取相應的對策,如使用s...
Linux伺服器安全教程
一 系統安全記錄檔案 作業系統內部的記錄檔案是檢測是否有網路入侵的重要線索。如果您的系統是直接連到internet,您發現有很多人對您的系統做telnet ftp登入嘗試,可以執行 more var log secure grep refused 來檢查系統所受到的攻擊,以便採取相應的對策,如使用s...
Linux之伺服器安全
1 dns伺服器是什麼 計算機之間的連線只能通過ip位址,為什麼我們可以通過輸入不同的網域名稱訪問散落在 世界各地的計算機呢?我們輸入網域名稱的時候,其實實質是指向了乙個具體的ip,所以我們才可以通簡單的 顧名思義 的網域名稱去訪問散落在世界各地的主機。而幫我們實現這個從網域名稱到ip轉換的就是dn...