linux安全設置

發布時間: 2023-04-26 18:25:39

① linux伺服器的安全防護都有哪些措施

一、強化密碼強度
只要涉及到登錄，就需要用到密碼，如果密碼設定不恰當，就很容易被黑客破解，如果是超級管理員(root)用戶，如果沒有設立良好的密碼機制，可能給系統造成無法挽回的後果。
很多用戶喜歡用自己的生日、姓名、英文名等信息來設定，這些方式可以通過字典或者社會工程的手段去破解，因此建議用戶在設定密碼時，盡量使用非字典中出現的組合字元，且採用數字與字元、大小寫相結合的密碼，增加密碼被破譯的難度。
二、登錄用戶管理
進入Linux系統前，都是需要登錄的，只有通過系統驗證後，才能進入Linux操作系統，而Linux一般將密碼加密後，存放在/etc/passwd文件中，那麼所有用戶都可以讀取此文件，雖然其中保存的密碼已加密，但安全系數仍不高，因此可以設定影子文件/etc/shadow，只允許有特殊許可權的用戶操作。
三、賬戶安全等級管理
在Linux操作系統上，每個賬戶可以被賦予不同的許可權，因此在建立一個新用戶ID時，系統管理員應根據需要賦予該賬號不同的許可權，且歸並到不同的用戶組中。每個賬號ID應有專人負責，在企業中，如果負責某個ID的員工離職，該立即從系統中刪除該賬號。
四、謹慎使用"r"系列遠程程序管理
在Linux操作系統中，有一系列r開頭的公用程序，如rlogin、rcp等，非常容易被不法分子用來攻擊我們的系統，因此千萬不要將root賬號開放給這些公用程序，現如今很多安全工具都是針對此漏洞而設計的，比如PAM工具，就可以將其有效地禁止掉。
五、root用戶許可權管理
root可謂是Linux重點保護對象，因為其權利是最高的，因此千萬不要將它授權出去，但有些程序的安裝、維護必須要求是超級用戶許可權，在此情況下，可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。
六、綜合防禦管理
防火牆、IDS等防護技術已成功應用到網路安全的各個領域，且都有非常成熟的產品，需要注意的是：在大多數情況下，需要綜合使用這兩項技術，因為防火牆相當於安全防護的第一層，它僅僅通過簡單地比較IP地址/埠對來過濾網路流量，而IDS更加具體，它需要通過具體的數據包(部分或者全部)來過濾網路流量，是安全防護的第二層。綜合使用它們，能夠做到互補，並且發揮各自的優勢，最終實現綜合防禦。

② Linux伺服器的安全防護都有哪些措施

③ 如何設置讓自己的linux操作系統更加安全

BIOS安全

記著要在BIOS設置中設定一個BIOS密碼，不接收軟盤啟動。這樣可以阻止不懷好意的人用專門的啟動盤啟動你的Linux系統，並避免別人更改BIOS設置，如更改軟盤啟動設置或不彈出密碼框直接啟動伺服器等。

LILO安全

在「/etc/lilo.conf」文件中添加3個參數：time-out、restricted 和 password。這些選項會在啟動時間(如「linux single」)轉到啟動轉載程序過程中，要求提供密碼。

步驟1

編輯lilo.conf文件(/etc/lilo.conf)，添加和更改這三個選項：

QUOTE:

boot=/dev/hda

map=/boot/map

install=/boot/boot.b

time-out=00 #change this line to 00

prompt

Default=linux

restricted #add this line

password= #add this line and put your password

image=/boot/vmlinuz-2.2.14-12

label=linux

initrd=/boot/initrd-2.2.14-12.img

root=/dev/hda6

read-only

步驟2

由於其中的密碼未加密，「/etc/lilo.conf」文件只對根用戶為可讀。

[root@kapil /]# chmod 600 /etc/lilo.conf (不再為全局可讀)

步驟3

作了上述修改後，更新配置文件「/etc/lilo.conf」。

[Root@kapil /]# /sbin/lilo -v (更新lilo.conf文件)

步驟4

還有一個方法使「/etc/lilo.conf」更安全，那就是用chattr命令將其設為不可改：

[root@kapil /]# chattr i /etc/lilo.conf

它將阻止任何對「lilo.conf」文件的更改，無論是否故意。

關於lilo安全的更多信息，請參考LILO。

禁用所有專門帳號

在lp, sync, shutdown, halt, news, uucp, operator, games, gopher等系統中，將你不使用的所有默認用戶帳號和群組帳號刪除。

要刪除用戶帳號：

[root@kapil /]# userdel LP

要刪除群組帳號：

[root@kapil /]# groupdel LP

選擇恰當的密碼

選擇密碼時要遵循如下原則：

密碼長度：安裝Linux系統時默認的最短密碼長度為5個字元。這個長度還不夠，應該增為8個。要改為8個字元，必須編輯 login.defs 文件(/etc/login.defs)：

PASS_MIN_LEN 5

改為：

PASS_MIN_LEN 8

「login.defs」是登錄程序的配置文件。

啟用盲區密碼支持

請啟用盲區密碼功能。要實現這一點，使用「/usr/sbin/authconfig」實用程序。如果想把系統中現有的密碼和群組改為盲區密碼和群組，則分別用 pwconv 和 grpconv 命令。

④ Linux系統安全管理高級技巧

由於Linux操作系統是一個開放源代碼的免費操作系統，因此受到越來越多用戶的歡迎。隨著Linux操作系統在我國的不斷普及，有關的政府部門更是將基於Linux開發具有自主版權的操作系統提高到保衛國家信息安全的高度來看待，因此我們不難預測今後Linux操作系統在我國將得到更快更大的發展。雖然Linux與UNIX很類似，但它們之間也有一些重要的差別。對於眾多的習慣了UNIX和Windows NT的系統管理員來講，如何保證Linux操作系統的安全將面臨許多新的挑戰。本文介紹了一系列實用的Linux安全管理經驗。

一、文件系統在Linux系統中，分別為不同的應用安裝單獨的主分區將關鍵的分區設置為只讀將大大提高文件系統的安全。這主要涉及到Linux自身的ext2文件系統的只添加（只添加）和不可變這兩大屬性。

●文件分區Linux的文件系統可以分成幾個主要的分區，每個分區分別進行不同的'配置和安裝，一般情況下至少要建立/、/usr/local、/var和/home等分區。/usr可以安裝成只讀並且可以被認為是不可修改的。如果/usr中有任何文件發生了改變，那麼系統將立即發出安全報警。當然這不包括用戶自己改變/usr中的內容。/lib、/boot和/sbin的安裝和設置也一樣。在安裝時應該盡量將它們設置為只讀，並且對它們的文件、目錄和屬性進行的任何修改都會導致系統報警。

當然將所有主要的分區都設置為只讀是不可能的,有的分區如/var等，其自身的性質就決定了不能將它們設置為只讀，但應該不允許它具有執行許可權。

●擴展ext2使用ext2文件系統上的只添加和不可變這兩種文件屬性可以進一步提高安全級別。不可變和只添加屬性只是兩種擴展ext2文件系統的屬性標志的方法。一個標記為不可變的文件不能被修改，甚至不能被根用戶修改。一個標記為只添加的文件可以被修改，但只能在它的後面添加內容，即使根用戶也只能如此。

可以通過chattr命令來修改文件的這些屬性，如果要查看其屬性值的話可以使用lsattr命令。要想了解更多的關於ext2文件屬性的信息，可使用命令man chattr來尋求幫助。這兩上文件屬性在檢測黑客企圖在現有的文件中安裝入侵後門時是很有用的。為了安全起見，一旦檢測到這樣的活動就應該立即將其阻止並發出報警信息。

如果你的關鍵的文件系統安裝成只讀的並且文件被標記為不可變的，入侵者必須重新安裝系統才能刪除這些不可變的文件但這會立刻產生報警，這樣就大大減少了被非法入侵的機會。

●保護log文件當與log文件和log備份一起使用時不可變和只添加這兩種文件屬性特別有用。系統管理員應該將活動的log文件屬性設置為只添加。當log被更新時，新產生的log備份文件屬性應該設置成不可變的，而新的活動的log文件屬性又變成了只添加。這通常需要在log更新腳本中添加一些控制命令。

二、備份在完成Linux系統的安裝以後應該對整個系統進行備份，以後可以根據這個備份來驗證系統的完整性，這樣就可以發現系統文件是否被非法竄改過。如果發生系統文件已經被破壞的情況，也可以使用系統備份來恢復到正常的狀態。

⑤ 如何給安裝好Linux伺服器進行優化設置和安全設置

1、關閉不需要的服務
這個應該很容易理解的，凡是我們的系統不需要的服務，一概關閉，這樣一個好處是減少內存和CPU時間的佔用，另一個好處相對可以提高安全性
那麼哪些服務是肯定要保留的呢?
在linux機器上通常有四項服務是必須保留的
iptables
linux下強大的防火牆，只要機器需要連到網上，哪裡離得開它
network
linux機器的網路，如果不上網可以關閉，只要上網當然要打開它
sshd
這是openssh server,如果你的機器不是本地操作，而是託管到IDC機房，
那麼訪問機器時需要通過這個sshd服務進行
syslog
這是linux系統的日誌系統，必須要有，
否則機器出現問題時會找不到原因
除了這四項必需的服務之外，其他的服務需要保留哪些呢?
這時就可以根據系統的用途而定，比如：資料庫伺服器，就需要啟用mysqld(或oracle)
web伺服器，就需要啟用apache
2、關閉不需要的tty
請編輯你的/etc/inittab
找到如下一段：
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6
這段命令使init為你打開了6個控制台，分別可以用alt+f1到alt+f6進行訪問
此6個控制台默認都駐留在內存中，事實上沒有必要使用這么多的
你用ps auxf這個命令可以看到，是六個進程
root 3004 0.0 0.0 1892 412 tty1 Ss+ Jun29 0:00 /sbin/mingetty tty1
root 3037 0.0 0.0 2492 412 tty2 Ss+ Jun29 0:00 /sbin/mingetty tty2
root 3038 0.0 0.0 2308 412 tty3 Ss+ Jun29 0:00 /sbin/mingetty tty3
root 3051 0.0 0.0 1812 412 tty4 Ss+ Jun29 0:00 /sbin/mingetty tty4
root 3056 0.0 0.0 2116 412 tty5 Ss+ Jun29 0:00 /sbin/mingetty tty5
root 3117 0.0 0.0 2396 412 tty6 Ss+ Jun29 0:00 /sbin/mingetty tty6
3. 如何關閉這些進程?
通常我們保留前2個控制台就可以了，
把後面4個用#注釋掉就可以了
然後無需重啟機器，只需要執行 init q 這個命令即可
init q
q作為參數的含義：重新執行/etc/inittab中的命令

修改完成後需重啟機器使之生效
4 、如何關閉atime?
一個linux文件默認有3個時間：
atime:對此文件的訪問時間
ctime:此文件inode發生變化的時間
mtime:此文件的修改時間
如果有多個小文件時通常沒有必要記錄文件的訪問時間，
這樣可以減少磁碟的io,比如web伺服器的頁面上有多個小圖片
如何進行設置呢?
修改文件系統的配置文件：vi /etc/fstab
在包含大量小文件的分區中使用noatime,nodiratime兩項
例如：
/dev/md5 /data/pics1 ext3 noatime,nodiratime 0 0
這樣文件被訪問時就不會再產生寫磁碟的io
5、一定要讓你的伺服器運行在level 3上
做法：
vi /etc/inittab
id:3:initdefault:
讓伺服器運行X是沒有必要的
6, 優化sshd
X11Forwarding no //不進行x圖形的轉發
UseDNS no //不對IP地址做反向的解析
7、優化shell
修改命令history記錄
# vi /etc/profile
找到 HISTSIZE=1000 改為 HISTSIZE=100
然後 source /etc/profile

閱讀全文

熱點內容

演算法設計與分析課件發布：2025-05-17 18:21:11 瀏覽：765

安卓禁止軟體安裝怎麼解除發布：2025-05-17 18:16:52 瀏覽：218

絕地求生極客電腦怎麼配置發布：2025-05-17 18:16:50 瀏覽：50

顯卡編程語言發布：2025-05-17 18:11:46 瀏覽：919

編程用什麼軸機械鍵盤發布：2025-05-17 18:10:35 瀏覽：960

金融工程編程發布：2025-05-17 18:10:33 瀏覽：224

私密模式訪問發布：2025-05-17 18:09:44 瀏覽：787

資料庫崩潰原因發布：2025-05-17 18:09:42 瀏覽：306

對蝦養殖增氧機如何配置發布：2025-05-17 18:08:20 瀏覽：442

linux讀寫許可權發布：2025-05-17 18:08:12 瀏覽：314

linux安全設置

與linux安全設置相關的資訊