眾所周知����,就安全性而言����,Linux相對于Windows具有更多的優(yōu)勢。但是��,不管選擇哪一種Linux發(fā)行版本����,在安裝完成以后都應該進行一些必要的配置,來增強它的安全性����。下面就通過幾個步驟來加固的Linux服務器。目前����,許多中小用戶因業(yè)務發(fā)展,不斷更新或升級網(wǎng)絡從而造成自身用戶環(huán)境差異較大����,整個網(wǎng)絡系統(tǒng)平臺參差不齊,在服務器端大多使用Linux和Unix的��,PC端使用Windows 和Mac。所以在企業(yè)應用中往往是Linux�����、Unix和Windows操作系統(tǒng)共存形成異構網(wǎng)絡�����。
1.安裝和配置一個防火墻
一個配置適當?shù)姆阑饓Σ粌H是系統(tǒng)有效應對外部攻擊的第一道防線����,也是最重要的一道防線。在新系統(tǒng)第一次連接上Internet之前��,防火墻就應該被安裝并且配置好�����。防火墻配置成拒絕接收所有數(shù)據(jù)包�����,然后再打開允許接收的數(shù)據(jù)包�����,將有利于系統(tǒng)的安全。Linux為我們提供了一個非常優(yōu)秀的防火墻工具����,它就是netfilter/iptables(http://www.netfilter.org/)���。它完全是免費的����,并且可以在一臺低配置的老機器上很好地運行���。防火墻的具體設置方法請參見iptables使用方法��。
2.關閉無用的服務和端口
任何網(wǎng)絡連接都是通過開放的應用端口來實現(xiàn)的�。如果我們盡可能少地開放端口���,就使網(wǎng)絡攻擊變成無源之水��,從而大大減少了攻擊者成功的機會���。把Linux作為專用服務器是個明智的舉措。例如,希望Linux成為的Web服務器����,可以取消系統(tǒng)內所有非必要的服務,只開啟必要服務�����。這樣做可以盡量減少后門�,降低隱患,而且可以合理分配系統(tǒng)資源����,提高整機性能。以下是幾個不常用的服務:
1. fingerd(finger服務器)報告指定用戶的個人信息���,包括用戶名����、真實姓名����、shell、目錄和聯(lián)系方式�����,它將使系統(tǒng)暴露在不受歡迎的情報收集活動下,應避免啟動此服務��。
2. R服務(rshd�����、rlogin��、rwhod���、rexec)提供各種級別的命令,它們可以在遠程主機上運行或與遠程主機交互����,在封閉的網(wǎng)絡環(huán)境中登錄而不再要求輸入用戶名和口令,相當方便����。然而在公共服務器上就會暴露問題,導致安全威脅�����。
3.刪除不用的軟件包
在進行系統(tǒng)規(guī)劃時,總的原則是將不需要的服務一律去掉�。默認的Linux就是一個強大的系統(tǒng),運行了很多的服務�。但有許多服務是不需要的,很容易引起安全風險����。這個文件就是/etc/xinetd.conf,它制定了/usr/sbin/xinetd將要監(jiān)聽的服務�,你可能只需要其中的一個:ftp,其它的類如telnet����、shell、login��、exec�、talk、ntalk����、imap、finger�����、auth等,除非你真的想用它��,否則統(tǒng)統(tǒng)關閉�。
4.不設置缺省路由
在主機中,應該嚴格禁止設置缺省路由�����,即default route�。建議為每一個子網(wǎng)或網(wǎng)段設置一個路由,否則其它機器就可能通過一定方式訪問該主機�。
5.口令管理
口令的長度一般不要少于8個字符,口令的組成應以無規(guī)則的大小寫字母���、數(shù)字和符號相結合,嚴格避免用英語單詞或詞組等設置口令���,而且各用戶的口令應該養(yǎng)成定期更換的習慣�����。另外�����,口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護�����,必須做到只有系統(tǒng)管理員才能訪問這2個文件�。安裝一個口令過濾工具加npasswd,能幫你檢查你的口令是否耐得住攻擊���。如果你以前沒有安裝此類的工具��,建議你現(xiàn)在馬上安裝�。如果你是系統(tǒng)管理員����,你的系統(tǒng)中又沒有安裝口令過濾工具,請你馬上檢查所有用戶的口令是否能被窮盡搜索到�����,即對你的/ect/passwd文件實施窮盡搜索攻擊��。用單詞作密碼是根本架不住暴力攻擊的���。黑客們經常用一些常用字來破解密碼�����。曾經有一位美國黑客表示�����,只要用"password"這個字����,就可以打開全美多數(shù)的計算機。其它常用的單詞還有:account����、ald、alpha����、beta�����、computer����、dead���、demo、dollar�、games、bod���、hello����、help��、intro�、kill、love����、no、ok��、okay�����、please、sex�����、secret����、superuser、system��、test、work、yes等����。密碼設置和原則:
1)足夠長��,指頭只要多動一下為密碼加一位���,就可以讓攻擊者的辛苦增加十倍;
2)不要用完整的單詞,盡可能包括數(shù)字��、標點符號和特殊字符等;
3)混用大小寫字符;
4)經常修改�����。
6.分區(qū)管理
一個潛在的攻擊�����,它首先就會嘗試緩沖區(qū)溢出�����。在過去的幾年中�����,以緩沖區(qū)溢出為類型的安全漏洞是最為常見的一種形式了�����。更為嚴重的是�����,緩沖區(qū)溢出漏洞占了遠程網(wǎng)絡攻擊的絕大多數(shù)�����,這種攻擊可以輕易使得一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權�����!
為了防止此類攻擊,我們從安裝系統(tǒng)時就應該注意�����。如果用root分區(qū)記錄數(shù)據(jù)�����,如log文件�����,就可能因為拒絕服務產生大量日志或垃圾郵件�����,從而導致系統(tǒng)崩潰�����。所以建議為/var開辟單獨的分區(qū)�����,用來存放日志和郵件,以避免root分區(qū)被溢出�����。最好為特殊的應用程序單獨開一個分區(qū)�����,特別是可以產生大量日志的程序�����,還建議為/home單獨分一個區(qū)�����,這樣他們就不能填滿/分區(qū)了�����,從而就避免了部分針對Linux分區(qū)溢出的惡意攻擊�����。
很多Linux桌面用戶往往是使用Windows�����、Linux雙系統(tǒng)�����。最好使用雙硬盤�����。方法如下:首先將主硬盤的數(shù)據(jù)線拆下�����,找一個10GB左右的硬盤掛在計算機上�����,將小硬盤設置為從盤�����,按照平常的操作安裝Linux服務器版本�����,除了啟動的引導程序放在MBR外,其它沒有區(qū)別�����。 安裝完成�����,調試出桌面后�����,關閉計算機�����。將小硬盤的數(shù)據(jù)線拆下�����,裝上原硬盤�����,并設定為主盤(這是為了原硬盤和小硬盤同時掛接在一個數(shù)據(jù)線上)�����,然后安裝Windows軟件�����。將兩個硬盤都掛在數(shù)據(jù)線上�����,數(shù)據(jù)線是IDE 0接口�����,將原硬盤設定為主盤�����,小硬盤設定為從盤�����。如果要從原硬盤啟動�����,就在CMOS里將啟動的順序設定為"C、D�����、CDROM"�����,或者是"IDE0(HDD-0)"�����。這樣計算機啟動的時候�����,進入Windows界面�����。如果要從小硬盤啟動�����,就將啟動順序改為"D�����、C�����、CDROM"�����,或者是"IDE1(HDD-1)"�����,啟動之后�����,將進入Linux界面�����。平時兩個操作系統(tǒng)是互相不能夠訪問的�����。
7.防范網(wǎng)絡嗅探:
嗅探器技術被廣泛應用于網(wǎng)絡維護和管理方面,它工作的時候就像一部被動聲納�����,默默的接收看來自網(wǎng)絡的各種信息�����,通過對這些數(shù)據(jù)的分析�����,網(wǎng)絡管理員可以深入了解網(wǎng)絡當前的運行狀況�����,以便找出網(wǎng)絡中的漏洞�����。在網(wǎng)絡安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防范嗅探器的危害.嗅探器能夠造成很大的安全危害�����,主要是因為它們不容易被發(fā)現(xiàn)�����。對于一個安全性能要求很嚴格的企業(yè)�����,同時使用安全的拓撲結構�����、會話加密�����、使用靜態(tài)的ARP地址是有必要的�����。
8.完整的日志管理
日志文件時刻為你記錄著你的系統(tǒng)的運行情況�����。當黑客光臨時�����,也不能逃脫日志的法眼。所以黑客往往在攻擊時修改日志文件�����,來隱藏蹤跡�����。因此我們要限制對/var/log文件的訪問�����,禁止一般權限的用戶去查看日志文件�����。
另外要使用日志服務器�����。將客戶機的日志信息保存副本是好主意�����,創(chuàng)建一臺服務器專門存放日志文件�����,可以通過檢查日志來發(fā)現(xiàn)問題�����。修改/etc/sysconfig/syslog文件加入接受遠程日志記錄�����。
/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-m r 0"
還應該設定日志遠程保存�����。修改/etc/syslog.conf文件加入日志服務器的設置�����,syslog將保存副本在日志服務器上�����。
/etc/syslog.conf
*.* @log_server_IP
可以使用彩色日志過濾器�����。彩色日志loco過濾器,目前版本是0.32�����。使用loco /var/log/messages more可以顯示出彩色的日志�����,明顯標記出root的位置和日志中異常的命令�����。這樣可以減少分析日志時人為遺漏�����。還要進行日志的定期檢查�����。Red Hat Linux中提供了logwatch工具�����,定期自動檢查日志并發(fā)送郵件到管理員信箱�����。需要修改/etc/log.d/conf/ logwatch.conf文件�����,在MailTo = root參數(shù)后增加管理員的郵件地址�����。Logwatch會定期檢查日志�����,過濾有關使用root�����、sudo�����、telnet�����、ftp登錄等信息,協(xié)助管理員分析日常安全�����。完整的日志管理要包括網(wǎng)絡數(shù)據(jù)的正確性�����、有效性�����、合法性�����。對日志文件的分析還可以預防入侵�����。例如�����、某一個用戶幾小時內的20次的注冊失敗記錄,很可能是入侵者正在嘗試該用戶的口令�����。
9.終止正進行的攻擊
假如你在檢查日志文件時�����,發(fā)現(xiàn)了一個用戶從你未知的主機登錄�����,而且你確定此用戶在這臺主機上沒有賬號�����,此時你可能正被攻擊�����。首先你要馬上鎖住此賬號(在口令文件或shadow文件中�����,此用戶的口令前加一個Ib或其他的字符)�����。若攻擊者已經連接到系統(tǒng)�����,你應馬上斷開主機與網(wǎng)絡的物理連接�����。如有可能�����,你還要進一步查看此用戶的歷史記錄�����,查看其他用戶是否也被假冒�����,攻擊音是否擁有根權限�����。殺掉此用戶的所有進程并把此主機的ip地址掩碼加到文件hosts.deny中。
10.使用安全工具軟件:
Linux已經有一些工具可以保障服務器的安全�����。如bastille linux和Selinux�����。
bastille linux對于不熟悉 linux 安全設定的使用者來說�����,是一套相當方便的軟件�����,bastille linux 目的是希望在已經存在的 linux 系統(tǒng)上�����,建構出一個安全性的環(huán)境�����。
增強安全性的Linux(SELinux)是美國安全部的一個研發(fā)項目�����,它的目的在于增強開發(fā)代碼的Linux內核�����,以提供更強的保護措施�����,防止一些關于安全方面的應用程序走彎路�����,減輕惡意軟件帶來的災難�����。普通的Linux系統(tǒng)的安全性是依賴內核的�����,這個依賴是通過setuid/setgid產生的�����。在傳統(tǒng)的安全機制下,暴露了一些應用授權問題�����、配置問題或進程運行造成整個系統(tǒng)的安全問題�����。這些問題在現(xiàn)在的操作系統(tǒng)中都存在�����,這是由于他們的復雜性和與其它程序的互用性造成的�����。SELinux只
關鍵詞標簽:Linux服務器
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程