linux伺服器安全配置

㈠ linux伺服器加固滿足等保三級要求

應邀回答行業問題

Linux系統廣泛被應用在伺服器上，伺服器存儲著公司的業務數據，對於互聯網公司數據的安全至關重要，各方面都要都要以安全為最高優先順序，不管是伺服器在雲端還在公司區域網內，都要慎之又慎。

如果黑客入侵到公司的Linux伺服器上，執行下面的命令，好吧，這是要徹底摧毀的節奏，5分鍾後你只能呵呵的看著伺服器了，為什麼要seek呢？給你留個MBR分區。

dd if=/dev/zero of=/dev/sda bs=4M seek=1
Linux系統的安全加固可分為系統加固和網路加固，每個企業的業務需求都不一樣，要根據實際情況來配置。比如SSH安全、賬戶弱口令安全、環境安全、關閉無用服務、開啟防火牆等，已經Centos7為例，簡單說下linux系統SSH網路安全加固。

SSH安全

將ssh服務的默認埠22修改為其他埠，並限制root用戶登陸，配置firewall允許ssh埠通過。

[root@api ~]#sed -i 's#Port 22#Port 6022#' /etc/ssh/sshd_config
[root@api ~]#echo 'PermitRootLogin no' /etc/ssh/sshd_config
[root@api ~]# firewall-cmd --zone=public --add-port=6022/tcp --permanent
[root@api ~]# firewall-cmd --reload
限制訪問ssh的用戶和IP

[root@api ~]#echo 'AllowUsers NAME' >>/etc/ssh/sshd_config
[root@api ~]# echo 'sshd:xxx..x.x:allow' >>/etc/
hosts.allow
[root@api ~]# systemctl restart sshd
禁止ping測試伺服器，禁止IP偽裝。

[root@api ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
[root@api ~]# echo nospoof on >> /etc/host.conf
在Centos7以後iptables將被firewall替代，當然我們還能夠使用iptables，首先需要刪除firewall後，才能夠使用iptables，技術總是在進步的，老的會慢慢被替代。

Linux系統安全加固還有很多，想要繼續可以查閱資料。

㈡ Linux怎麼配置Web伺服器

工具/原料

Linux操作系統

Web伺服器配置詳解

方法/步驟

1.Apache是Linux下的Web伺服器，Apache用的是靜態頁面，需要載入模塊來支持動態頁面，會動態實時的調整進程來處理，最合理的使用多核CPU資源，支持虛擬主機應用，多個Web站點共享一個IP地址。

安裝Web服務

先安裝Web服務，通過命令yum groupinstall命令進行安裝，建議用groupinstall而不用Install是因為groupinstall，會把該服務所有相關的服務包一起安裝，這樣不會有丟失。

㈢ linux伺服器硬體配置要求是多少

大部分linux都差不多
在外觀首選項里關閉特殊「視覺效果」後，下面配置可以流暢地運行Ubuntu：
CPU：700 MHz;
內存：384 MB;
硬碟：6 GB 剩餘空間;
顯卡：800x600以上解析度;

㈣ 如何做好Linux伺服器安全維護

日常維護方面：
1. Linux操作系統安裝、配置、日常維護。
2. Linux操作系統賬戶審核，對賬戶和密碼進行安全性審核，確定賬戶的安全性。
3. Linux操作系統日誌分析，確定系統運行的狀態。
4. Linux操作系統上必須開啟服務的安裝、配置、日常維護，如Apache。具體的服務根據用戶的需求而定。
5. mysql資料庫安裝、配置、日常維護。
6. 用戶網站的數據備份。

安全檢測方面：
1. Linux操作系統漏洞檢測。定期對系統進行漏洞掃描，並模擬黑客從互聯網上對網站伺服器進行滲透測試，以檢測Linux系統的安全狀況。
2. Linux操作系統安全加固，禁止不必要開放的埠、不安全的服務，啟用防火牆安全策略，設置安全的並發會話等。
3. 在檢測到Linux的安全漏洞時，及時對其進行修補，以保障伺服器的安全。

㈤ 如何提高linux伺服器的安全策略

安全是IT行業一個老生常談的話題了，處理好信息安全問題已變得刻不容緩。做為運維人員，就必須了解一些安全運維准則，同時，要保護自己所負責的業務，首先要站在攻擊者的角度思考問題，修補任何潛在的威脅和漏洞。主要分五部分展開：賬戶和登錄安全賬戶安全是系統安全的第一道屏障，也是系統安全的核心，保障登錄賬戶的安全，在一定程度上可以提高伺服器的安全級別，下面重點介紹下Linux系統登錄賬戶的安全設置方法。
1、刪除特殊的賬戶和賬戶組 Linux提供了各種不同角色的系統賬號，在系統安裝完成後，默認會安裝很多不必要的用戶和用戶組，如果不需要某些用戶或者組，就要立即刪除它，因為賬戶越多，系統就越不安全，很可能被黑客利用，進而威脅到伺服器的安全。
Linux系統中可以刪除的默認用戶和組大致有如下這些：
可刪除的用戶，如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。
可刪除的組，如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。
2、關閉系統不需要的服務Linux在安裝完成後，綁定了很多沒用的服務，這些服務默認都是自動啟動的。對於伺服器來說，運行的服務越多，系統就越不安全，越少服務在運行，安全性就越好，因此關閉一些不需要的服務，對系統安全有很大的幫助。具體哪些服務可以關閉，要根據伺服器的用途而定，一般情況下，只要系統本身用不到的服務都認為是不必要的服務。例如：某台Linux伺服器用於www應用，那麼除了httpd服務和系統運行是必須的服務外，其他服務都可以關閉。下面這些服務一般情況下是不需要的，可以選擇關閉： anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv
3、密碼安全策略在Linux下，遠程登錄系統有兩種認證方式：密碼認證和密鑰認證。密碼認證方式是傳統的安全策略，對於密碼的設置，比較普遍的說法是：至少6個字元以上，密碼要包含數字、字母、下劃線、特殊符號等。設置一個相對復雜的密碼，對系統安全能起到一定的防護作用，但是也面臨一些其他問題，例如密碼暴力破解、密碼泄露、密碼丟失等，同時過於復雜的密碼對運維工作也會造成一定的負擔。密鑰認證是一種新型的認證方式，公用密鑰存儲在遠程伺服器上，專用密鑰保存在本地，當需要登錄系統時，通過本地專用密鑰和遠程伺服器的公用密鑰進行配對認證，如果認證成功，就成功登錄系統。這種認證方式避免了被暴力破解的危險，同時只要保存在本地的專用密鑰不被黑客盜用，攻擊者一般無法通過密鑰認證的方式進入系統。因此，在Linux下推薦用密鑰認證方式登錄系統，這樣就可以拋棄密碼認證登錄系統的弊端。Linux伺服器一般通過SecureCRT、putty、Xshell之類的工具進行遠程維護和管理，密鑰認證方式的實現就是藉助於SecureCRT軟體和Linux系統中的SSH服務實現的。
4、合理使用su、sudo命令su命令：是一個切換用戶的工具，經常用於將普通用戶切換到超級用戶下，當然也可以從超級用戶切換到普通用戶。為了保證伺服器的安全，幾乎所有伺服器都禁止了超級用戶直接登錄系統，而是通過普通用戶登錄系統，然後再通過su命令切換到超級用戶下，執行一些需要超級許可權的工作。通過su命令能夠給系統管理帶來一定的方便，但是也存在不安全的因素，例如：系統有10個普通用戶，每個用戶都需要執行一些有超級許可權的操作，就必須把超級用戶的密碼交給這10個普通用戶，如果這10個用戶都有超級許可權，通過超級許可權可以做任何事，那麼會在一定程度上對系統的安全造成了威協。因此su命令在很多人都需要參與的系統管理中，並不是最好的選擇，超級用戶密碼應該掌握在少數人手中，此時sudo命令就派上用場了。sudo命令：允許系統管理員分配給普通用戶一些合理的「權利」，並且不需要普通用戶知道超級用戶密碼，就能讓他們執行一些只有超級用戶或其他特許用戶才能完成的任務。比如：系統服務重啟、編輯系統配置文件等，通過這種方式不但能減少超級用戶登錄次數和管理時間，也提高了系統安全性。因此，sudo命令相對於許可權無限制性的su來說，還是比較安全的，所以sudo也被稱為受限制的su，另外sudo也是需要事先進行授權認證的，所以也被稱為授權認證的su。
sudo執行命令的流程是：將當前用戶切換到超級用戶下，或切換到指定的用戶下，然後以超級用戶或其指定切換到的用戶身份執行命令，執行完成後，直接退回到當前用戶，而這一切的完成要通過sudo的配置文件/etc/sudoers來進行授權。
sudo設計的宗旨是：賦予用戶盡可能少的許可權但仍允許它們完成自己的工作，這種設計兼顧了安全性和易用性，因此，強烈推薦通過sudo來管理系統賬號的安全，只允許普通用戶登錄系統，如果這些用戶需要特殊的許可權，就通過配置/etc/sudoers來完成，這也是多用戶系統下賬號安全管理的基本方式。
5、刪減系統登錄歡迎信息 系統的一些歡迎信息或版本信息，雖然能給系統管理者帶來一定的方便，但是這些信息有時候可能被黑客利用，成為攻擊伺服器的幫凶，為了保證系統的安全，可以修改或刪除某些系統文件，需要修改或刪除的文件有4個，分別是：/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。/etc/issue和/etc/issue.net文件都記錄了操作系統的名稱和版本號，當用戶通過本地終端或本地虛擬控制台等登錄系統時，/etc/issue的文件內容就會顯示，當用戶通過ssh或telnet等遠程登錄系統時，/etc/issue.net文件內容就會在登錄後顯示。在默認情況下/etc/issue.net文件的內容是不會在ssh登錄後顯示的，要顯示這個信息可以修改/etc/ssh/sshd_config文件，在此文件中添加如下內容即可：Banner /etc/issue.net其實這些登錄提示很明顯泄漏了系統信息，為了安全起見，建議將此文件中的內容刪除或修改。/etc/redhat-release文件也記錄了操作系統的名稱和版本號，為了安全起見，可以將此文件中的內容刪除/etc/motd文件是系統的公告信息。每次用戶登錄後，/etc/motd文件的內容就會顯示在用戶的終端。通過這個文件系統管理員可以發布一些軟體或硬體的升級、系統維護等通告信息，但是此文件的最大作用就、是可以發布一些警告信息，當黑客登錄系統後，會發現這些警告信息，進而產生一些震懾作用。看過國外的一個報道，黑客入侵了一個伺服器，而這個伺服器卻給出了歡迎登錄的信息，因此法院不做任何裁決。
遠程訪問和認證安全
1、遠程登錄取消telnet而採用SSH方式 telnet是一種古老的遠程登錄認證服務，它在網路上用明文傳送口令和數據，因此別有用心的人就會非常容易截獲這些口令和數據。而且，telnet服務程序的安全驗證方式也極其脆弱，攻擊者可以輕松將虛假信息傳送給伺服器。現在遠程登錄基本拋棄了telnet這種方式，而取而代之的是通過SSH服務遠程登錄伺服器。
2、合理使用Shell歷史命令記錄功能 在Linux下可通過history命令查看用戶所有的歷史操作記錄，同時shell命令操作記錄默認保存在用戶目錄下的.bash_history文件中，通過這個文件可以查詢shell命令的執行歷史，有助於運維人員進行系統審計和問題排查，同時，在伺服器遭受黑客攻擊後，也可以通過這個命令或文件查詢黑客登錄伺服器所執行的歷史命令操作，但是有時候黑客在入侵伺服器後為了毀滅痕跡，可能會刪除.bash_history文件，這就需要合理的保護或備份.bash_history文件。
3、啟用tcp_wrappers防火牆Tcp_Wrappers是一個用來分析TCP/IP封包的軟體，類似的IP封包軟體還有iptables。Linux默認都安裝了Tcp_Wrappers。作為一個安全的系統，Linux本身有兩層安全防火牆，通過IP過濾機制的iptables實現第一層防護。iptables防火牆通過直觀地監視系統的運行狀況，阻擋網路中的一些惡意攻擊，保護整個系統正常運行，免遭攻擊和破壞。如果通過了第一層防護，那麼下一層防護就是tcp_wrappers了。通過Tcp_Wrappers可以實現對系統中提供的某些服務的開放與關閉、允許和禁止，從而更有效地保證系統安全運行。

文件系統安全
1、鎖定系統重要文件系統運維人員有時候可能會遇到通過root用戶都不能修改或者刪除某個文件的情況，產生這種情況的大部分原因可能是這個文件被鎖定了。在Linux下鎖定文件的命令是chattr，通過這個命令可以修改ext2、ext3、ext4文件系統下文件屬性，但是這個命令必須有超級用戶root來執行。和這個命令對應的命令是lsattr，這個命令用來查詢文件屬性。對重要的文件進行加鎖，雖然能夠提高伺服器的安全性，但是也會帶來一些不便。例如：在軟體的安裝、升級時可能需要去掉有關目錄和文件的immutable屬性和append-only屬性，同時，對日誌文件設置了append-only屬性，可能會使日誌輪換(logrotate)無法進行。因此，在使用chattr命令前，需要結合伺服器的應用環境來權衡是否需要設置immutable屬性和append-only屬性。另外，雖然通過chattr命令修改文件屬性能夠提高文件系統的安全性，但是它並不適合所有的目錄。chattr命令不能保護/、/dev、/tmp、/var等目錄。根目錄不能有不可修改屬性，因為如果根目錄具有不可修改屬性，那麼系統根本無法工作：/dev在啟動時，syslog需要刪除並重新建立/dev/log套接字設備，如果設置了不可修改屬性，那麼可能出問題；/tmp目錄會有很多應用程序和系統程序需要在這個目錄下建立臨時文件，也不能設置不可修改屬性；/var是系統和程序的日誌目錄，如果設置為不可修改屬性，那麼系統寫日誌將無法進行，所以也不能通過chattr命令保護。
2、文件許可權檢查和修改不正確的許可權設置直接威脅著系統的安全，因此運維人員應該能及時發現這些不正確的許可權設置，並立刻修正，防患於未然。下面列舉幾種查找系統不安全許可權的方法。
（1）查找系統中任何用戶都有寫許可權的文件或目錄
查找文件：find / -type f -perm -2 -o -perm -20 |xargs ls -al查找目錄：find / -type d -perm -2 -o -perm -20 |xargs ls –ld
（2）查找系統中所有含「s」位的程序
find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al
含有「s」位許可權的程序對系統安全威脅很大，通過查找系統中所有具有「s」位許可權的程序，可以把某些不必要的「s」位程序去掉，這樣可以防止用戶濫用許可權或提升許可權的可能性。
（3）檢查系統中所有suid及sgid文件
find / -user root -perm -2000 -print -exec md5sum {} \;find / -user root -perm -4000 -print -exec md5sum {} \;
將檢查的結果保存到文件中，可在以後的系統檢查中作為參考。
（4）檢查系統中沒有屬主的文件
find / -nouser -o –nogroup
沒有屬主的孤兒文件比較危險，往往成為黑客利用的工具，因此找到這些文件後，要麼刪除掉，要麼修改文件的屬主，使其處於安全狀態。
3、/tmp、/var/tmp、/dev/shm安全設定在Linux系統中，主要有兩個目錄或分區用來存放臨時文件，分別是/tmp和/var/tmp。存儲臨時文件的目錄或分區有個共同點就是所有用戶可讀寫、可執行，這就為系統留下了安全隱患。攻擊者可以將病毒或者木馬腳本放到臨時文件的目錄下進行信息收集或偽裝，嚴重影響伺服器的安全，此時，如果修改臨時目錄的讀寫執行許可權，還有可能影響系統上應用程序的正常運行，因此，如果要兼顧兩者，就需要對這兩個目錄或分區就行特殊的設置。/dev/shm是Linux下的一個共享內存設備，在Linux啟動的時候系統默認會載入/dev/shm，被載入的/dev/shm使用的是tmpfs文件系統，而tmpfs是一個內存文件系統，存儲到tmpfs文件系統的數據會完全駐留在RAM中，這樣通過/dev/shm就可以直接操控系統內存，這將非常危險，因此如何保證/dev/shm安全也至關重要。對於/tmp的安全設置，需要看/tmp是一個獨立磁碟分區，還是一個根分區下的文件夾，如果/tmp是一個獨立的磁碟分區，那麼設置非常簡單，修改/etc/fstab文件中/tmp分區對應的掛載屬性，加上nosuid、noexec、nodev三個選項即可，修改後的/tmp分區掛載屬性類似如下：LABEL=/tmp /tmp ext3 rw,nosuid,noexec,nodev 0 0 其中，nosuid、noexec、nodev選項，表示不允許任何suid程序，並且在這個分區不能執行任何腳本等程序，並且不存在設備文件。在掛載屬性設置完成後，重新掛載/tmp分區，保證設置生效。對於/var/tmp，如果是獨立分區，安裝/tmp的設置方法是修改/etc/fstab文件即可；如果是/var分區下的一個目錄，那麼可以將/var/tmp目錄下所有數據移動到/tmp分區下，然後在/var下做一個指向/tmp的軟連接即可。也就是執行如下操作：
[root@server ~]# mv /var/tmp/* /tmp[root@server ~]# ln -s /tmp /var/tmp
如果/tmp是根目錄下的一個目錄，那麼設置稍微復雜，可以通過創建一個loopback文件系統來利用Linux內核的loopback特性將文件系統掛載到/tmp下，然後在掛載時指定限制載入選項即可。一個簡單的操作示例如下：
[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000[root@server ~]# mke2fs -j /dev/tmpfs[root@server ~]# cp -av /tmp /tmp.old[root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp[root@server ~]# chmod 1777 /tmp[root@server ~]# mv -f /tmp.old/* /tmp/[root@server ~]# rm -rf /tmp.old
最後，編輯/etc/fstab，添加如下內容，以便系統在啟動時自動載入loopback文件系統：
/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0
Linux後門入侵檢測工具rootkit是Linux平台下最常見的一種木馬後門工具，它主要通過替換系統文件來達到入侵和和隱蔽的目的，這種木馬比普通木馬後門更加危險和隱蔽，普通的檢測工具和檢查手段很難發現這種木馬。rootkit攻擊能力極強，對系統的危害很大，它通過一套工具來建立後門和隱藏行跡，從而讓攻擊者保住許可權，以使它在任何時候都可以使用root許可權登錄到系統。rootkit主要有兩種類型：文件級別和內核級別，下面分別進行簡單介紹。文件級別的rootkit一般是通過程序漏洞或者系統漏洞進入系統後，通過修改系統的重要文件來達到隱藏自己的目的。在系統遭受rootkit攻擊後，合法的文件被木馬程序替代，變成了外殼程序，而其內部是隱藏著的後門程序。通常容易被rootkit替換的系統程序有login、ls、ps、ifconfig、、find、netstat等，其中login程序是最經常被替換的，因為當訪問Linux時，無論是通過本地登錄還是遠程登錄，/bin/login程序都會運行，系統將通過/bin/login來收集並核對用戶的賬號和密碼，而rootkit就是利用這個程序的特點，使用一個帶有根許可權後門密碼的/bin/login來替換系統的/bin/login，這樣攻擊者通過輸入設定好的密碼就能輕松進入系統。此時，即使系統管理員修改root密碼或者清除root密碼，攻擊者還是一樣能通過root用戶登錄系統。攻擊者通常在進入Linux系統後，會進行一系列的攻擊動作，最常見的是安裝嗅探器收集本機或者網路中其他伺服器的重要數據。在默認情況下，Linux中也有一些系統文件會監控這些工具動作，例如ifconfig命令，所以，攻擊者為了避免被發現，會想方設法替換其他系統文件，常見的就是ls、ps、ifconfig、、find、netstat等。如果這些文件都被替換，那麼在系統層面就很難發現rootkit已經在系統中運行了。這就是文件級別的rootkit，對系統維護很大，目前最有效的防禦方法是定期對系統重要文件的完整性進行檢查，如果發現文件被修改或者被替換，那麼很可能系統已經遭受了rootkit入侵。檢查件完整性的工具很多，常見的有Tripwire、 aide等，可以通過這些工具定期檢查文件系統的完整性，以檢測系統是否被rootkit入侵。內核級rootkit是比文件級rootkit更高級的一種入侵方式，它可以使攻擊者獲得對系統底層的完全控制權，此時攻擊者可以修改系統內核，進而截獲運行程序向內核提交的命令，並將其重定向到入侵者所選擇的程序並運行此程序，也就是說，當用戶要運行程序A時，被入侵者修改過的內核會假裝執行A程序，而實際上卻執行了程序B。內核級rootkit主要依附在內核上，它並不對系統文件做任何修改，因此一般的檢測工具很難檢測到它的存在，這樣一旦系統內核被植入rootkit，攻擊者就可以對系統為所欲為而不被發現。目前對於內核級的rootkit還沒有很好的防禦工具，因此，做好系統安全防範就非常重要，將系統維持在最小許可權內工作，只要攻擊者不能獲取root許可權，就無法在內核中植入rootkit。
1、rootkit後門檢測工具chkrootkit chkrootkit是一個Linux系統下查找並檢測rootkit後門的工具，它的官方址:http://www.chkrootkit.org/。 chkrootkit沒有包含在官方的CentOS源中，因此要採取手動編譯的方法來安裝，不過這種安裝方法也更加安全。chkrootkit的使用比較簡單，直接執行chkrootkit命令即可自動開始檢測系統。下面是某個系統的檢測結果：
[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkitChecking `ifconfig』… INFECTEDChecking `ls』… INFECTEDChecking `login』… INFECTEDChecking `netstat』… INFECTEDChecking `ps』… INFECTEDChecking `top』… INFECTEDChecking `sshd』… not infectedChecking `syslogd』… not tested
從輸出可以看出，此系統的ifconfig、ls、login、netstat、ps和top命令已經被感染。針對被感染rootkit的系統，最安全而有效的方法就是備份數據重新安裝系統。chkrootkit在檢查rootkit的過程中使用了部分系統命令，因此，如果伺服器被黑客入侵，那麼依賴的系統命令可能也已經被入侵者替換，此時chkrootkit的檢測結果將變得完全不可信。為了避免chkrootkit的這個問題，可以在伺服器對外開放前，事先將chkrootkit使用的系統命令進行備份，在需要的時候使用備份的原始系統命令讓chkrootkit對rootkit進行檢測。
2、rootkit後門檢測工具RKHunter RKHunter是一款專業的檢測系統是否感染rootkit的工具，它通過執行一系列的腳本來確認伺服器是否已經感染rootkit。在官方的資料中，RKHunter可以作的事情有：MD5校驗測試，檢測文件是否有改動
檢測rootkit使用的二進制和系統工具文件 檢測特洛伊木馬程序的特徵碼 檢測常用程序的文件屬性是否異常 檢測系統相關的測試 檢測隱藏文件 檢測可疑的核心模塊LKM 檢測系統已啟動的監聽埠
在Linux終端使用rkhunter來檢測，最大的好處在於每項的檢測結果都有不同的顏色顯示，如果是綠色的表示沒有問題，如果是紅色的，那就要引起關注了。另外，在執行檢測的過程中，在每個部分檢測完成後，需要以Enter鍵來繼續。如果要讓程序自動運行，可以執行如下命令：
[root@server ~]# /usr/local/bin/rkhunter –check –skip-keypress
同時，如果想讓檢測程序每天定時運行，那麼可以在/etc/crontab中加入如下內容：
30 09 * * * root /usr/local/bin/rkhunter –check –cronjob
這樣，rkhunter檢測程序就會在每天的9:30分運行一次。伺服器遭受攻擊後的處理過程安全總是相對的，再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員，要把握的原則是：盡量做好系統安全防護，修復所有已知的危險行為，同時，在系統遭受攻擊後能夠迅速有效地處理攻擊行為，最大限度地降低攻擊對系統產生的影響。

㈥ 伺服器安全加固 - Linux

查看 /etc/passwd 文件查看是否有無用的賬號，如果存在則刪除，降低安全風險。

操作步驟：

操作步驟：

操作步驟

操作步驟

使用命令 vim /etc/pam.d/su 修改配置文件，在配置文件中添加行。
例如，只允許admin組用戶su到root，則添加 auth required pam_wheel.so group=admin 。

【可選】為了方便操作，可配置admin支持免密sudo：在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL

為了防止使用"su"命令將當前用戶環境變數帶入其它用戶，修改/etc/login.defs添加ALWAYS_SET_PATH=yes並保存。

操作步驟

操作步驟：

查看所有服務列表 systemctl list-units --type=service

操作步驟

使用命令 vim /etc/ssh/sshd_config 編輯配置文件。

配置文件修改完成後，重啟sshd服務生效（systemctl restart sshd）。

操作步驟

修改/etc/profile 配置文件，添加行 umask 027 ， 即新創建的文件屬主擁有讀寫執行許可權，同組用戶擁有讀和執行許可權，其他用戶無許可權。

操作步驟

修改 /etc/profile 配置文件，設置為 TMOUT=600， 表示超時10分鍾無操作自動退出登錄。

操作步驟

Linux系統默認啟用以下類型日誌，配置文件為 /etc/rsyslog.conf：

通過上述步驟，可以在 /var/log/history 目錄下以每個用戶為名新建一個文件夾，每次用戶退出後都會產生以用戶名、登錄IP、時間的日誌文件，包含此用戶本次的所有操作（root用戶除外）

伺服器安全加固 - Linux - wubolive - 博客園

㈦ linux 伺服器 如何進行安全檢查

眾所周知，網路安全是一個非常重要的課題，而伺服器是網路安全中最關鍵的環節。linux被認為是一個比較安全的Internet伺服器，作為一種開放源代碼操作系統，一旦linux系統中發現有安全漏洞，Internet上來自世界各地的志願者會踴躍修補它。然而，系統管理員往往不能及時地得到信息並進行更正，這就給黑客以可乘之機。相對於這些系統本身的安全漏洞，更多的安全問題是由不當的配置造成的，可以通過適當的配置來防止。伺服器上運行的服務越多，不當的配置出現的機會也就越多，出現安全問題的可能性就越大。對此，下面將介紹一些增強linux/Unix伺服器系統安全性的知識。 一、系統安全記錄文件 操作系統內部的記錄文件是檢測是否有網路入侵的重要線索。如果您的系統是直接連到Internet，您發現有很多人對您的系統做Telnet/ftp登錄嘗試，可以運行"#more/var/log/securegreprefused"來檢查系統所受到的攻擊，以便採取相應的對策，如使用SSH來替換Telnet/rlogin等。 二、啟動和登錄安全性 1 #echo》/etc/issue 然後，進行如下操作： #rm-f/etc/issue #rm-f/etc/issue 三、限制網路訪問 1(ro，root_squash) /dir/to/exporthost2(ro，root_squash) /dir/to/export是您想輸出的目錄，host是登錄這個目錄的機器名，ro意味著mount成只讀系統，root_squash禁止root寫入該目錄。為了使改動生效，運行如下命令。 #/usr/sbin/exportfs-a 2"表示允許IP地址192允許通過SSH連接。 配置完成後，可以用tcpdchk檢查： #tcpdchk tcpchk是TCP_Wrapper配置檢查工具，它檢查您的tcpwrapper配置並報告所有發現的潛在/存在的問題。 3.登錄終端設置 /etc/securetty文件指定了允許root登錄的tty設備，由/bin/login程序讀取，其格式是一個被允許的名字列表，您可以編輯/etc/securetty且注釋掉如下的行。 #tty1 #tty2 #tty3 #tty4 #tty5 #tty6 這時，root僅可在tty1終端登錄。 4.避免顯示系統和版本信息。 如果您希望遠程登錄用戶看不到系統和版本信息，可以通過一下操作改變/etc/inetd.conf文件： telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h 加-h表示telnet不顯示系統信息，而僅僅顯示"login:" 四、防止攻擊 1.阻止ping如果沒人能ping通您的系統，安全性自然增加了。為此，可以在/etc/rc.d/rc.local文件中增加如下一行：

㈧ Linux伺服器的安全防護都有哪些措施

一、強化密碼強度
只要涉及到登錄，就需要用到密碼，如果密碼設定不恰當，就很容易被黑客破解，如果是超級管理員(root)用戶，如果沒有設立良好的密碼機制，可能給系統造成無法挽回的後果。
很多用戶喜歡用自己的生日、姓名、英文名等信息來設定，這些方式可以通過字典或者社會工程的手段去破解，因此建議用戶在設定密碼時，盡量使用非字典中出現的組合字元，且採用數字與字元、大小寫相結合的密碼，增加密碼被破譯的難度。
二、登錄用戶管理
進入Linux系統前，都是需要登錄的，只有通過系統驗證後，才能進入Linux操作系統，而Linux一般將密碼加密後，存放在/etc/passwd文件中，那麼所有用戶都可以讀取此文件，雖然其中保存的密碼已加密，但安全系數仍不高，因此可以設定影子文件/etc/shadow，只允許有特殊許可權的用戶操作。
三、賬戶安全等級管理
在Linux操作系統上，每個賬戶可以被賦予不同的許可權，因此在建立一個新用戶ID時，系統管理員應根據需要賦予該賬號不同的許可權，且歸並到不同的用戶組中。每個賬號ID應有專人負責，在企業中，如果負責某個ID的員工離職，該立即從系統中刪除該賬號。
四、謹慎使用"r"系列遠程程序管理
在Linux操作系統中，有一系列r開頭的公用程序，如rlogin、rcp等，非常容易被不法分子用來攻擊我們的系統，因此千萬不要將root賬號開放給這些公用程序，現如今很多安全工具都是針對此漏洞而設計的，比如PAM工具，就可以將其有效地禁止掉。
五、root用戶許可權管理
root可謂是Linux重點保護對象，因為其權利是最高的，因此千萬不要將它授權出去，但有些程序的安裝、維護必須要求是超級用戶許可權，在此情況下，可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。
六、綜合防禦管理
防火牆、IDS等防護技術已成功應用到網路安全的各個領域，且都有非常成熟的產品，需要注意的是：在大多數情況下，需要綜合使用這兩項技術，因為防火牆相當於安全防護的第一層，它僅僅通過簡單地比較IP地址/埠對來過濾網路流量，而IDS更加具體，它需要通過具體的數據包(部分或者全部)來過濾網路流量，是安全防護的第二層。綜合使用它們，能夠做到互補，並且發揮各自的優勢，最終實現綜合防禦。

㈨ Linux下配置FTP伺服器

它可運行在Linux、Solaris等系統中，支持很多其他的FTP 伺服器不支持的特徵：

非常高的安全性需求

帶寬限制

良好的可伸縮性

創建虛擬用戶的可能性

分配虛擬IP地址的可能性

一、vsftpd的啟動

#service vsftpd start

如果允許用戶匿名訪問，需創建用戶ftp和目錄/var/ftp

# mkdir /var/ftp

# useradd –d /var/ftp ftp

二、vsftpd的配置

Vsftpd的配置文件存放在/etc/vsftpd/vsftpd.conf 我們可根據實際數要對如下信息進行配置：

1. 連接選項

☆監聽地址和控制埠

(1) listen_address=ip address

定義主機在哪個IP 地址上監聽FTP請求。即在哪個IP地址上提供FTP服務。

(2) listen_port=port_value

指定FTP伺服器監聽的埠號。默認值為21。

2. 性能與負載控制

☆超時選項

(1) idle_session_timeout=

空閑用戶會話的超時時間，若是超過這段時間沒有數據的傳送或是指令的輸入，則會被迫斷線。默認值是300s

(2) accept_timeout=numerical value

接受建立聯機的超時設定。默認值為60s

☆負載選項

(1) max_clients= numerical value

定義FTP伺服器最大的兵法連接數。當超過此連接數時，伺服器拒絕客戶端連接。默認值為0，表示不限最大連接數。

(2) max_per_ip= numerical value

定義每個IP地址最大的並發連接數目。超過這個數目將會拒絕連接。此選項的設置將會影響到網際快車、迅雷之類的多線程下載軟體。默認值為0，表示不限制。

(3) anon_max_rate=value

設定匿名用戶的最大數據傳輸速度，以B/s為單位。默認無。

(4) local_max_rate=value

設定用戶的最大數據傳輸速度。以B/s為單位。默認無。此選項對所有的用戶都生效。

3. 用戶選項

vsftpd的用戶分為3類：匿名用戶、本地用戶(local user)及虛擬用戶(guest)

☆ 匿名用戶

(1) anonymous_enable=YES|NO

控制是否允許匿名用戶登錄

(2) ftp_username=

匿名用戶使用的系統用戶名。默認情況下，值為ftp

(3) no_anon_password= YES|NO

控制匿名用戶登錄時是否需要密碼。

(4) anon_root=

設定匿名用戶的根目錄，即匿名用戶登錄後，被定位到此目錄下。主配置文件中默認無此項，默認值為/var/ftp/

(5) anon_world_readable_only= YES|NO

控制是否只允許匿名用戶下載可閱讀的文檔。YES，只允許匿名用戶下載可閱讀的文件。NO，允許匿名用戶瀏覽整個伺服器的文件系統。

(6) anon_upload_enable= YES|NO

控制是否允許匿名用戶上傳文件。除了這個參數外，匿名用戶要能上傳文件，還需要兩個條件，write_enable參數為YES;在文件系統上，FTP匿名用戶對某個目錄有寫許可權。

(7) anon_mkdir_wirte_enable= YES|NO

控制是否允許匿名用戶創建新目錄。在文件系統上，FTP匿名用戶必須對新目錄的上層目錄擁有寫許可權。

(8) anon_other_write_enbale= YES|NO

控制匿名用戶是否擁有除了上傳和新建目錄之外的`其他許可權。如刪除、更名等。

(9) chown_uploads= YES|NO

是否修改匿名用戶所上傳文件的所有權。YES，匿名用戶上傳得文件所有權改為另一個不同的用戶所有，用戶由chown_username參數指定。

(10) chown_username=whoever

指定擁有匿名用戶上傳文件所有權的用戶。

☆本地用戶

(1) local_enable= YES|NO

控制vsftpd所在的系統的用戶是否可以登錄vsftpd。

(2) local_root=

定義本地用戶的根目錄。當本地用戶登錄時，將被更換到此目錄下。

☆虛擬用戶

(1) guest_enable= YES|NO

啟動此功能將所有匿名登入者都視為guest

(2) guest_username=

定義vsftpd的guest用戶在系統中的用戶名。

4. 安全措施

☆用戶登錄控制

(1) /etc/vsftpd.ftpusers

Vsftpd禁止列在此文件中的用戶登錄FTP伺服器。此機制是默認設置的。

(2) userlist_enable= YES|NO

此選項激活後，vsftpd將讀取userlist_file參數所指定的文件中的用戶列表。

(3) userlist_file=/etc/vsftpd.user_list

指出userlist_enable選項生效後，被讀取的包含用戶列表的文件。默認值是/etc/vsftpd.user_list

(4) userlist_deny= YES|NO

決定禁止還是只允許由userlist_file指定文件中的用戶登錄FTP伺服器。userlist_enable選項啟動後才能生效。默認值為YES，禁止文中的用戶登錄，同時不向這些用戶發出輸入口令的指令。NO，只允許在文中的用戶登錄FTP伺服器。

☆目錄訪問控制

(1) chroot_list_enable= YES|NO

鎖定某些用戶在自己的目錄中，而不可以轉到系統的其他目錄。

(2) chroot_list_file=/etc/vsftpd/chroot_list

指定被鎖定在主目錄的用戶的列表文件。

(3) chroot_local_users= YES|NO

將本地用戶鎖定在主目中。

㈩ 伺服器安全加固_Linux配置賬戶鎖定策略

使用下面命令，查看系統是否含有pam_tally2.so模塊，如果沒有就需要使用pam_tally.so模塊，兩個模塊的使用方法不太一樣，需要區分開來。

編輯系統/etc/pam.d/system-auth 文件，一定要在pam_env.so後面添加如下策略參數：

上面只是限制了從終端su登陸，如果想限制ssh遠程的話，要改的是/etc/pam.d/sshd這個文件，添加的內容跟上面一樣！

編輯系統/etc/pam.d/sshd文件，注意添加地點在#%PAM-1.0下一行，即第二行添加內容

ssh鎖定用戶後查看：

編輯系統 /etc/pam.d/login 文件，注意添加地點在#%PAM-1.0的下面,即第二行，添加內容

tty登錄鎖定後查看：

編輯 /etc/pam.d/remote文件，注意添加地點在pam_env.so後面,參數和ssh一致