Linux系统安全的九个关键点

Linux系统安全的九个关键点

　　Linux，全称GNU/Linux，是一种免费使用和自由传播的类UNIX操作系统，其内核由林纳斯·本纳第克特·托瓦兹于1991年10月5日首次发布，它主要受到Minix和Unix的启发，是一个基于POSIX的多用户、多任务、支持多线程和多CPU的操作系统。以下是小编精心整理的Linux系统安全的九个关键点，希望对大家有所帮助。

　　Linux系统安全的九个关键点

　　1.使用SELinux

　　SELinux是用来对Linux的进行安全加固的，有了它，用户和管理员们就可以对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅可以指定谁可以读、写或执行一个文件的权限不同的是，SELinux可以让你指定谁可以删除链接、只能追加、移动一个文件之类的更多控制。(LCTT译注：虽然NSA也给SELinux贡献过很多代码，但是目前尚无证据证明 SELinux有潜在后门)

　　2.订阅漏洞警报服务

　　安全缺陷不一定是在你的操作系统上。事实上，漏洞多见于安装的应用程序之中。为了避免这个问题的发生，你必须保持你的应用程序更新到最新版本。此外，订阅漏洞警报服务，如SecurityFocus。

　　3.禁用不用的服务和应用

　　通常来讲，用户大多数时候都用不到他们系统上的服务和应用的一半。然而，这些服务和应用还是会运行，这会招来攻击者。因而，最好是把这些不用的服务停掉。(LCTT译注：或者干脆不安装那些用不到的服务，这样根本就不用关注它们是否有安全漏洞和该升级了。)

　　4.检查系统日志

　　你的系统日志告诉你在系统上发生了什么活动，包括攻击者是否成功进入或试着访问系统。时刻保持警惕，这是你第一条防线，而经常性地监控系统日志就是为了守好这道防线。

　　5.考虑使用端口试探

　　设置端口试探(Port knocking)是建立服务器安全连接的好方法。一般做法是发生特定的包给服务器，以触发服务器的回应/连接(打开防火墙)。端口敲门对于那些有开放端口的系统是一个很好的防护措施。

　　6.使用Iptables

　　Iptables是什么?这是一个应用框架，它允许用户自己为系统建立一个强大的防火墙。因此，要提升安全防护能力，就要学习怎样一个好的防火墙以及怎样使用Iptables框架。

　　7.默认拒绝所有

　　防火墙有两种思路：一个是允许每一点通信，另一个是拒绝所有访问，提示你是否许可。第二种更好一些。你应该只允许那些重要的通信进入。(LCTT译注：即默认许可策略和默认禁止策略，前者你需要指定哪些应该禁止，除此之外统统放行;后者你需要指定哪些可以放行，除此之外全部禁止。)

　　8.使用入侵检测系统

　　入侵检测系统，或者叫IDS，允许你更好地管理系统上的通信和受到的攻击。Snort是目前公认的Linux上的最好的IDS。

　　9.使用全盘加密

　　加密的数据更难窃取，有时候根本不可能被窃取，这就是你应该对整个驱动器加密的原因。采用这种方式后，如果有某个人进入到你的系统，那么他看到这些加密的数据后，就有得头痛了。根据一些报告，大多数数据丢失源于机器被盗。

　　Linux操作系统的安全模块要点分析

　　可采用以下措施进行预防：

　　(1)删除所有的特殊账户，包括lp、shutdown、halt、news、uucp、operator、games、gopher 等。

　　可参考以下命令：

　　[root@redhatroot]# userdel lp

　　[root@redhat root]# groupdel lp

　　(2)修改默认root 密码长度。默认root 密码长度是5 位，建议修改为8 位。

　　编辑/etc/login.defs, 把 PASS_MIN_LEN 5 修改为PASS_MIN_LEN 8.

　　(3)打开密码shadow 支持功能，利用md5 算法加密为shadow 文件添加不可更改属性。

　　具体命令为：

　　[root@redhat root]# chattr +i /etc/shadow

　　(4)取消所有不需要的服务，如Telnet、HTTP 等默认启动的服务。关闭Telnet,编辑/etc/xinetd.d/telnet,修改disable = no 为disable = yes,更改/etc/xinetd.conf 的权限为600,只允许root 来读写该文件。

　　具体命令为：

　　[root@redhat root]# chmod 600 /etc/

　　xinetd.conf

　　(5)屏蔽系统登录信息，包括Linux 发行版、内核版本名和服务器主机名等。

　　具体命令为：

　　[root@redhat root]# rm /etc/issue

　　[root@redhat root]# rm /etc/issue.net

　　(6)禁止按Ctrl+Alt+Del 键关闭系统。

　　编辑/etc/inittab,将：

　　ca::ctrlaltdel:/sbin/shutdown-t3 -rnow

　　改为：

　　#ca::ctrlaltdel:/sbin/shutdown-t3-rnow

　　(7)不允许root 从不同的控制台进行登录。

　　编辑/etc/securetty,在不需要登录的TTY设备前添加#,禁止从TTY 设备进行root 登录。

　　(8)使用SSH 进行远程连接。通过SSH 客户端软件连接Linux,在Linux 下利用以下命令连接其他Linux:

　　[root@redhat root]# ssh -l root

　　192.168.2.180

　　(9)禁止随意通过su 命令将普通用户变为root 用户。编辑/etc/pam.d/su,加入以下内容：

　　auth sufficient /lib/security/pam_

　　rootok.so debug

　　auth required /lib/security/pam_

　　wheel.so group=wheel

　　wheel 为系统中隐含的组，只有wheel 组的成员才能用su 命令成为root.

　　(10)配置防火墙，并随时关注Linux 网站上内核更新，保持最新的系统内核。

【Linux系统安全的九个关键点】相关文章：

学习Linux的七点忠告10-23

Linux认证考试必考知识点01-14

男人练胸肌的关键点07-31

品牌的本质与战略的关键点10-22

营销管理必须做好的关键点12-26

中层管理的9个关键点09-14

预防宝宝夏季腹泻的关键点09-11

新生儿护理关键点07-27

街舞学习有哪些关键点？06-25

linux认证工程师知识点积累08-23