linux安全设置

发布时间: 2023-04-26 18:25:39

① linux服务器的安全防护都有哪些措施

一、强化密码强度
只要涉及到登录，就需要用到密码，如果密码设定不恰当，就很容易被黑客破解，如果是超级管理员(root)用户，如果没有设立良好的密码机制，可能给系统造成无法挽回的后果。
很多用户喜欢用自己的生日、姓名、英文名等信息来设定，这些方式可以通过字典或者社会工程的手段去破解，因此建议用户在设定密码时，尽量使用非字典中出现的组合字符，且采用数字与字符、大小写相结合的密码，增加密码被破译的难度。
二、登录用户管理
进入Linux系统前，都是需要登录的，只有通过系统验证后，才能进入Linux操作系统，而Linux一般将密码加密后，存放在/etc/passwd文件中，那么所有用户都可以读取此文件，虽然其中保存的密码已加密，但安全系数仍不高，因此可以设定影子文件/etc/shadow，只允许有特殊权限的用户操作。
三、账户安全等级管理
在Linux操作系统上，每个账户可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应根据需要赋予该账号不同的权限，且归并到不同的用户组中。每个账号ID应有专人负责，在企业中，如果负责某个ID的员工离职，该立即从系统中删除该账号。
四、谨慎使用"r"系列远程程序管理
在Linux操作系统中，有一系列r开头的公用程序，如rlogin、rcp等，非常容易被不法分子用来攻击我们的系统，因此千万不要将root账号开放给这些公用程序，现如今很多安全工具都是针对此漏洞而设计的，比如PAM工具，就可以将其有效地禁止掉。
五、root用户权限管理
root可谓是Linux重点保护对象，因为其权利是最高的，因此千万不要将它授权出去，但有些程序的安装、维护必须要求是超级用户权限，在此情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。
六、综合防御管理
防火墙、IDS等防护技术已成功应用到网络安全的各个领域，且都有非常成熟的产品，需要注意的是：在大多数情况下，需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口对来过滤网络流量，而IDS更加具体，它需要通过具体的数据包(部分或者全部)来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势，最终实现综合防御。

② Linux服务器的安全防护都有哪些措施

③ 如何设置让自己的linux操作系统更加安全

BIOS安全

记着要在BIOS设置中设定一个BIOS密码，不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统，并避免别人更改BIOS设置，如更改软盘启动设置或不弹出密码框直接启动服务器等。

LILO安全

在“/etc/lilo.conf”文件中添加3个参数：time-out、restricted 和 password。这些选项会在启动时间(如“linux single”)转到启动转载程序过程中，要求提供密码。

步骤1

编辑lilo.conf文件(/etc/lilo.conf)，添加和更改这三个选项：

QUOTE:

boot=/dev/hda

map=/boot/map

install=/boot/boot.b

time-out=00 #change this line to 00

prompt

Default=linux

restricted #add this line

password= #add this line and put your password

image=/boot/vmlinuz-2.2.14-12

label=linux

initrd=/boot/initrd-2.2.14-12.img

root=/dev/hda6

read-only

步骤2

由于其中的密码未加密，“/etc/lilo.conf”文件只对根用户为可读。

[root@kapil /]# chmod 600 /etc/lilo.conf (不再为全局可读)

步骤3

作了上述修改后，更新配置文件“/etc/lilo.conf”。

[Root@kapil /]# /sbin/lilo -v (更新lilo.conf文件)

步骤4

还有一个方法使“/etc/lilo.conf”更安全，那就是用chattr命令将其设为不可改：

[root@kapil /]# chattr i /etc/lilo.conf

它将阻止任何对“lilo.conf”文件的更改，无论是否故意。

关于lilo安全的更多信息，请参考LILO。

禁用所有专门帐号

在lp, sync, shutdown, halt, news, uucp, operator, games, gopher等系统中，将你不使用的所有默认用户帐号和群组帐号删除。

要删除用户帐号：

[root@kapil /]# userdel LP

要删除群组帐号：

[root@kapil /]# groupdel LP

选择恰当的密码

选择密码时要遵循如下原则：

密码长度：安装Linux系统时默认的最短密码长度为5个字符。这个长度还不够，应该增为8个。要改为8个字符，必须编辑 login.defs 文件(/etc/login.defs)：

PASS_MIN_LEN 5

改为：

PASS_MIN_LEN 8

“login.defs”是登录程序的配置文件。

启用盲区密码支持

请启用盲区密码功能。要实现这一点，使用“/usr/sbin/authconfig”实用程序。如果想把系统中现有的密码和群组改为盲区密码和群组，则分别用 pwconv 和 grpconv 命令。

④ Linux系统安全管理高级技巧

由于Linux操作系统是一个开放源代码的免费操作系统，因此受到越来越多用户的欢迎。随着Linux操作系统在我国的不断普及，有关的政府部门更是将基于Linux开发具有自主版权的操作系统提高到保卫国家信息安全的高度来看待，因此我们不难预测今后Linux操作系统在我国将得到更快更大的发展。虽然Linux与UNIX很类似，但它们之间也有一些重要的差别。对于众多的习惯了UNIX和Windows NT的系统管理员来讲，如何保证Linux操作系统的安全将面临许多新的挑战。本文介绍了一系列实用的Linux安全管理经验。

一、文件系统在Linux系统中，分别为不同的应用安装单独的主分区将关键的分区设置为只读将大大提高文件系统的安全。这主要涉及到Linux自身的ext2文件系统的只添加（只添加）和不可变这两大属性。

●文件分区Linux的文件系统可以分成几个主要的分区，每个分区分别进行不同的'配置和安装，一般情况下至少要建立/、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生了改变，那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽量将它们设置为只读，并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。

当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等，其自身的性质就决定了不能将它们设置为只读，但应该不允许它具有执行权限。

●扩展ext2使用ext2文件系统上的只添加和不可变这两种文件属性可以进一步提高安全级别。不可变和只添加属性只是两种扩展ext2文件系统的属性标志的方法。一个标记为不可变的文件不能被修改，甚至不能被根用户修改。一个标记为只添加的文件可以被修改，但只能在它的后面添加内容，即使根用户也只能如此。

可以通过chattr命令来修改文件的这些属性，如果要查看其属性值的话可以使用lsattr命令。要想了解更多的关于ext2文件属性的信息，可使用命令man chattr来寻求帮助。这两上文件属性在检测黑客企图在现有的文件中安装入侵后门时是很有用的。为了安全起见，一旦检测到这样的活动就应该立即将其阻止并发出报警信息。

如果你的关键的文件系统安装成只读的并且文件被标记为不可变的，入侵者必须重新安装系统才能删除这些不可变的文件但这会立刻产生报警，这样就大大减少了被非法入侵的机会。

●保护log文件当与log文件和log备份一起使用时不可变和只添加这两种文件属性特别有用。系统管理员应该将活动的log文件属性设置为只添加。当log被更新时，新产生的log备份文件属性应该设置成不可变的，而新的活动的log文件属性又变成了只添加。这通常需要在log更新脚本中添加一些控制命令。

二、备份在完成Linux系统的安装以后应该对整个系统进行备份，以后可以根据这个备份来验证系统的完整性，这样就可以发现系统文件是否被非法窜改过。如果发生系统文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。

⑤ 如何给安装好Linux服务器进行优化设置和安全设置

1、关闭不需要的服务
这个应该很容易理解的，凡是我们的系统不需要的服务，一概关闭，这样一个好处是减少内存和CPU时间的占用，另一个好处相对可以提高安全性
那么哪些服务是肯定要保留的呢?
在linux机器上通常有四项服务是必须保留的
iptables
linux下强大的防火墙，只要机器需要连到网上，哪里离得开它
network
linux机器的网络，如果不上网可以关闭，只要上网当然要打开它
sshd
这是openssh server,如果你的机器不是本地操作，而是托管到IDC机房，
那么访问机器时需要通过这个sshd服务进行
syslog
这是linux系统的日志系统，必须要有，
否则机器出现问题时会找不到原因
除了这四项必需的服务之外，其他的服务需要保留哪些呢?
这时就可以根据系统的用途而定，比如：数据库服务器，就需要启用mysqld(或oracle)
web服务器，就需要启用apache
2、关闭不需要的tty
请编辑你的/etc/inittab
找到如下一段：
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6
这段命令使init为你打开了6个控制台，分别可以用alt+f1到alt+f6进行访问
此6个控制台默认都驻留在内存中，事实上没有必要使用这么多的
你用ps auxf这个命令可以看到，是六个进程
root 3004 0.0 0.0 1892 412 tty1 Ss+ Jun29 0:00 /sbin/mingetty tty1
root 3037 0.0 0.0 2492 412 tty2 Ss+ Jun29 0:00 /sbin/mingetty tty2
root 3038 0.0 0.0 2308 412 tty3 Ss+ Jun29 0:00 /sbin/mingetty tty3
root 3051 0.0 0.0 1812 412 tty4 Ss+ Jun29 0:00 /sbin/mingetty tty4
root 3056 0.0 0.0 2116 412 tty5 Ss+ Jun29 0:00 /sbin/mingetty tty5
root 3117 0.0 0.0 2396 412 tty6 Ss+ Jun29 0:00 /sbin/mingetty tty6
3. 如何关闭这些进程?
通常我们保留前2个控制台就可以了，
把后面4个用#注释掉就可以了
然后无需重启机器，只需要执行 init q 这个命令即可
init q
q作为参数的含义：重新执行/etc/inittab中的命令

修改完成后需重启机器使之生效
4 、如何关闭atime?
一个linux文件默认有3个时间：
atime:对此文件的访问时间
ctime:此文件inode发生变化的时间
mtime:此文件的修改时间
如果有多个小文件时通常没有必要记录文件的访问时间，
这样可以减少磁盘的io,比如web服务器的页面上有多个小图片
如何进行设置呢?
修改文件系统的配置文件：vi /etc/fstab
在包含大量小文件的分区中使用noatime,nodiratime两项
例如：
/dev/md5 /data/pics1 ext3 noatime,nodiratime 0 0
这样文件被访问时就不会再产生写磁盘的io
5、一定要让你的服务器运行在level 3上
做法：
vi /etc/inittab
id:3:initdefault:
让服务器运行X是没有必要的
6, 优化sshd
X11Forwarding no //不进行x图形的转发
UseDNS no //不对IP地址做反向的解析
7、优化shell
修改命令history记录
# vi /etc/profile
找到 HISTSIZE=1000 改为 HISTSIZE=100
然后 source /etc/profile

阅读全文

热点内容

帆布压缩袋发布：2025-05-17 13:26:27 浏览：456

c语言16进制表示方法发布：2025-05-17 13:11:25 浏览：479

ftp单位发布：2025-05-17 13:10:03 浏览：141

c语言编写n的阶乘发布：2025-05-17 13:10:02 浏览：684

lockjava 发布：2025-05-17 13:02:08 浏览：310

只狼和看门狗哪个配置高发布：2025-05-17 12:50:21 浏览：205

扁桃玩的服务器地址发布：2025-05-17 12:18:25 浏览：511

u盘上传歌发布：2025-05-17 12:14:51 浏览：615

入门c语言设计发布：2025-05-17 12:08:31 浏览：41

c3算法发布：2025-05-17 12:04:19 浏览：365

linux安全设置

与linux安全设置相关的资讯