LINUX安全管理10要點

2022-04-05 00:27:57 字數 2987 閱讀 7638

linux的組網能力非常強大,它的tcp/ip**是最高端的。linux提供了對於當前的tcp/ip協議的完全支援,並且包括了對下一代internet協議ipv6的支援。網際網路中接入的機器中,有相當大一部分使用的是linux作業系統。但linux是乙個多使用者的系統,黑客們為了在攻擊中隱藏自己,往往選擇linux系統作為首先攻擊的物件,進而利用它來做一些非法的勾當,如:進行dos(拒絕服務)攻擊、執行irc bot、發布非法軟體等。作為乙個linux使用者,時刻要防止攻擊,以下十項建議可以使你的linux系統更加安全。

關閉無用的埠

任何網路連線都是通過開放的應用埠來實現的。如果我們盡可能少地開放埠,就使網路攻擊變成無源之水,從而大大減少了攻擊者成功的機會。

首先檢查你的inetd.conf檔案。inetd在某些埠上守侯,準備為你提供必要的服務。如果某人開發出乙個特殊的inetd守護程式,這裡就存在乙個安全隱患。你應當在inetd.conf檔案中注釋掉那些永不會用到的服務(如:echo、gopher、rsh、rlogin、rexec、talk、ntalk、pop-2、finger等)。注釋除非絕對需要,你一定要注釋掉rsh、rlogin和rexec,而telnet建議你使用更為安全的ssh來代替,然後殺掉lnetd程序。這樣inetd不再監控你機器上的守護程式,從而杜絕有人利用它來竊取你的應用埠。你最好是**乙個埠掃瞄程式掃瞄你的系統,如果發現有你不知道的開放埠,馬上找到正使用它的程序,從而判斷是否關閉它們。

刪除不用的軟體包

在進行系統規劃時,總的原則是將不需要的服務一律去掉。預設的linux就是乙個強大的系統,執行了很多的服務。但有許多服務是不需要的,很容易引起安全風險。這個檔案就是/etc/inetd.conf,它制定了/usr/sbin/inetd將要監聽的服務,你可能只需要其中的兩個:telnet和ftp,其它的類如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth等,除非你真的想用它,否則統統關閉。

需要提醒你的是以下三個服務漏洞很多,強烈建議你關閉它們:s34yppasswdd(nis伺服器)、s35ypserv(nis伺服器)和s60nfs(nfs伺服器)。

不設定預設路由

在主機中,應該嚴格禁止設定預設路由,即default route。建議為每乙個子網或網段設定乙個路由,否則其它機器就可能通過一定方式訪問該主機。

口令管理

口令的長度一般不要少於8個字元,口令的組成應以無規則的大小寫字母、數字和符號相結合,嚴格避免用英語單詞或片語等設定口令,而且各使用者的口令應該養成定期更換的習慣。另外,口令的保護還涉及到對/etc/passwd和/etc/shadow檔案的保護,必須做到只有系統管理員才能訪問這2個檔案。安裝乙個口令過濾工具加npasswd,能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具,建議你現在馬上安裝。如果你是系統管理員,你的系統中又沒有安裝口令過濾工具,請你馬上檢查所有使用者的口令是否能被窮盡搜尋到,即對你的/ect/passwd檔案實施窮盡搜尋攻擊。對那些糟糕的口令,強令它們的主人修改它,或乾脆鎖住它們的賬號。

分割槽管理

乙個潛在的攻擊,它首先就會嘗試緩衝區溢位。在過去的幾年中,以緩衝區溢位為型別的安全漏洞是最為常見的一種形式了。更為嚴重的是,緩衝區溢位漏洞佔了遠端網路攻擊的絕大多數,這種攻擊可以輕易使得乙個匿名的internet使用者有機會獲得一台主機的部分或全部的控制權!

為了防止此類攻擊,我們從安裝系統時就應該注意。如果用root分割槽紀錄資料,如log檔案和email,就可能因為拒絕服務產生大量日誌或垃圾郵件,從而導致系統崩潰。所以建議為/var開闢單獨的分割槽,用來存放日誌和郵件,以避免root分割槽被溢位。最好為特殊的應用程式單獨開乙個分割槽,特別是可以產生大量日誌的程式,還建議為/home單獨分乙個區,這樣他們就不能填滿/分割槽了,從而就避免了部分針對linux分割槽溢位的惡意攻擊。

謹慎使用.rhosts檔案

.rhosts檔案中儲存的是可以直接遠端訪問本系統的主機及使用者名稱。當你用telnet命令或r*命令(如rlogin、rcp等)來遠端訪問本系統時,系統首先檢查.rhosts檔案中是否存有你此時的主機名和使用者名稱。當找到你的主機名和使用者名稱後,它將允許你直接訪問它,而不需輸入口令。當黑客一旦攻破你的系統,他必將要在你的系統中留下乙個供他日後自由出入的後門。只要他將自己的主機名和使用者名稱寫進.rhosts檔案,就達到了這一目的。

所以我們要時刻檢查我們的orhosts檔案,一旦發現裡面出現莫名其妙的主機名和使用者名稱,馬上刪除它們。並把它們報告給它們的服務提供商,警告他們的行為。

日誌管理

日誌檔案時刻為你記錄著你的系統的運**況。當黑客光臨時,也不能逃脫日誌的法眼。所以黑客往往在攻擊時修改日誌檔案,來隱藏蹤跡。因此我們要限制對/var/log檔案的訪問,禁止一般許可權的使用者去檢視日誌檔案。

另外,我們還可以安裝乙個icmp/tcp日誌管理程式,如iplogger,來觀察那些可疑的多次的連線嘗試(加icmp flood3或一些類似的情況)。還要小心一些來自不明主機的登入。

終止正進行的攻擊

假如你在檢查日誌檔案時,發現了乙個使用者從你未知的主機登入,而且你確定此使用者在這台主機上沒有賬號,此時你可能正被攻擊。首先你要馬上鎖住此賬號(在口令檔案或shadow檔案中,此使用者的口令前加乙個ib或其他的字元)。若攻擊者已經連線到系統,你應馬上斷開主機與網路的物理連線。如有可能,你還要進一步檢視此使用者的歷史記錄,檢視其他使用者是否也被假冒,攻擊音是否擁有根許可權。殺掉此使用者的所有程序並把此主機的ip位址掩碼加到檔案hosts.deny中。

防範身邊的攻擊

如果你的身邊躲藏有攻擊的人,要做到對他們的防範難上加難。因為他們甚至可以用如下方法獲得你的根許可權:攻擊者首先用引導磁碟來啟動系統,然後mount你的硬碟,改掉根口令,再重啟動機器。此時攻擊者擁有了根口令,而作為管理員的你卻被拒之門外。要避免此類情況的發生,最簡單的方法是改變機器中bios的配置,使機器的啟動順序改為硬碟第一序,並為你的bios設定乙個口令。

補丁問題

你應該經常到你所安裝的linux系統發行商的主頁上去找最新的補丁。例如:對於redhat系統而言,可上找到補丁。在redhat6.1以後的版本帶有乙個自動公升級工具up2date,它能自動測定哪些rpm包需要公升級,然後自動從redhat的站點**並完成安裝

linux安全 linux口令管理

口令老化 password aging 是一種增強的系統口令生命期認證機制,雖然它會一定程式的削弱使用者使用的便利性,但是它能夠確保使用者的口令定期更換,這是一種非常好的安全措施。大部分的linux發行版預設都不會開啟口令老化功能,但是我們可以很容易地啟用它。password aging contr...

10 安全運維管理 10 10變更管理

等級保護物件在執行過程中會面臨各種各樣的變更操作。如果變更過程缺乏管理和控制,會給等級保護物件帶來重大的安全風險。因此,需要對變更操作實施全程管控,做到各項變更內容有章可循有案可查,遇到問題有路可退,確保變更操作不給系統造成安全風險。10.10.1應明確變更需求,變更前根據變更需求制定變更方案,變更...

10 安全運維管理 10 2資產管理

等級保護物件的資產包括各種硬體裝置 如網路裝置 安全裝置 伺服器裝置 操作終端 儲存裝置和儲存介質,以及供電和通訊用線纜等 各種軟體 如作業系統 資料庫管理系統 應用系統等 各種資料 如配置資料 業務資料 備份資料等 和各種檔案等。由於等級保護物件資產種類較多,必須對所有資產實施有效的管理,確保資產...