Linux系統安全的九個(gè)關(guān)鍵點(diǎn)

　　Linux，全稱(chēng)GNU/Linux，是一種免費使用和自由傳播的類(lèi)UNIX操作系統，其內核由林納斯·本納第克特·托瓦茲于1991年10月5日首次發(fā)布，它主要受到Minix和Unix的啟發(fā)，是一個(gè)基于POSIX的多用戶(hù)、多任務(wù)、支持多線(xiàn)程和多CPU的操作系統。以下是小編精心整理的Linux系統安全的九個(gè)關(guān)鍵點(diǎn)，希望對大家有所幫助。

　　Linux系統安全的九個(gè)關(guān)鍵點(diǎn)

　　1.使用SELinux

　　SELinux是用來(lái)對Linux的進(jìn)行安全加固的，有了它，用戶(hù)和管理員們就可以對訪(fǎng)問(wèn)控制進(jìn)行更多控制。SELinux為訪(fǎng)問(wèn)控制添加了更細的顆粒度控制。與僅可以指定誰(shuí)可以讀、寫(xiě)或執行一個(gè)文件的權限不同的是，SELinux可以讓你指定誰(shuí)可以刪除鏈接、只能追加、移動(dòng)一個(gè)文件之類(lèi)的更多控制。(LCTT譯注：雖然NSA也給SELinux貢獻過(guò)很多代碼，但是目前尚無(wú)證據證明 SELinux有潛在后門(mén))

　　2.訂閱漏洞警報服務(wù)

　　安全缺陷不一定是在你的操作系統上。事實(shí)上，漏洞多見(jiàn)于安裝的應用程序之中。為了避免這個(gè)問(wèn)題的發(fā)生，你必須保持你的應用程序更新到最新版本。此外，訂閱漏洞警報服務(wù)，如SecurityFocus。

　　3.禁用不用的服務(wù)和應用

　　通常來(lái)講，用戶(hù)大多數時(shí)候都用不到他們系統上的服務(wù)和應用的一半。然而，這些服務(wù)和應用還是會(huì )運行，這會(huì )招來(lái)攻擊者。因而，最好是把這些不用的服務(wù)停掉。(LCTT譯注：或者干脆不安裝那些用不到的服務(wù)，這樣根本就不用關(guān)注它們是否有安全漏洞和該升級了。)

　　4.檢查系統日志

　　你的系統日志告訴你在系統上發(fā)生了什么活動(dòng)，包括攻擊者是否成功進(jìn)入或試著(zhù)訪(fǎng)問(wèn)系統。時(shí)刻保持警惕，這是你第一條防線(xiàn)，而經(jīng)常性地監控系統日志就是為了守好這道防線(xiàn)。

　　5.考慮使用端口試探

　　設置端口試探(Port knocking)是建立服務(wù)器安全連接的好方法。一般做法是發(fā)生特定的包給服務(wù)器，以觸發(fā)服務(wù)器的回應/連接(打開(kāi)防火墻)。端口敲門(mén)對于那些有開(kāi)放端口的系統是一個(gè)很好的防護措施。

　　6.使用Iptables

　　Iptables是什么?這是一個(gè)應用框架，它允許用戶(hù)自己為系統建立一個(gè)強大的防火墻。因此，要提升安全防護能力，就要學(xué)習怎樣一個(gè)好的防火墻以及怎樣使用Iptables框架。

　　7.默認拒絕所有

　　防火墻有兩種思路：一個(gè)是允許每一點(diǎn)通信，另一個(gè)是拒絕所有訪(fǎng)問(wèn)，提示你是否許可。第二種更好一些。你應該只允許那些重要的通信進(jìn)入。(LCTT譯注：即默認許可策略和默認禁止策略，前者你需要指定哪些應該禁止，除此之外統統放行;后者你需要指定哪些可以放行，除此之外全部禁止。)

　　8.使用入侵檢測系統

　　入侵檢測系統，或者叫IDS，允許你更好地管理系統上的通信和受到的攻擊。Snort是目前公認的Linux上的最好的IDS。

　　9.使用全盤(pán)加密

　　加密的數據更難竊取，有時(shí)候根本不可能被竊取，這就是你應該對整個(gè)驅動(dòng)器加密的原因。采用這種方式后，如果有某個(gè)人進(jìn)入到你的系統，那么他看到這些加密的數據后，就有得頭痛了。根據一些報告，大多數數據丟失源于機器被盜。

　　Linux操作系統的安全模塊要點(diǎn)分析

　　可采用以下措施進(jìn)行預防：

　　(1)刪除所有的特殊賬戶(hù)，包括lp、shutdown、halt、news、uucp、operator、games、gopher 等。

　　可參考以下命令：

　　[root@redhatroot]# userdel lp

　　[root@redhat root]# groupdel lp

　　(2)修改默認root 密碼長(cháng)度。默認root 密碼長(cháng)度是5 位，建議修改為8 位。

　　編輯/etc/login.defs, 把 PASS_MIN_LEN 5 修改為PASS_MIN_LEN 8.

　　(3)打開(kāi)密碼shadow 支持功能，利用md5 算法加密為shadow 文件添加不可更改屬性。

　　具體命令為：

　　[root@redhat root]# chattr +i /etc/shadow

　　(4)取消所有不需要的服務(wù)，如Telnet、HTTP 等默認啟動(dòng)的服務(wù)。關(guān)閉Telnet,編輯/etc/xinetd.d/telnet,修改disable = no 為disable = yes,更改/etc/xinetd.conf 的權限為600,只允許root 來(lái)讀寫(xiě)該文件。

　　具體命令為：

　　[root@redhat root]# chmod 600 /etc/

　　xinetd.conf

　　(5)屏蔽系統登錄信息，包括Linux 發(fā)行版、內核版本名和服務(wù)器主機名等。

　　具體命令為：

　　[root@redhat root]# rm /etc/issue

　　[root@redhat root]# rm /etc/issue.net

　　(6)禁止按Ctrl+Alt+Del 鍵關(guān)閉系統。

　　編輯/etc/inittab,將：

　　ca::ctrlaltdel:/sbin/shutdown-t3 -rnow

　　改為：

　　#ca::ctrlaltdel:/sbin/shutdown-t3-rnow

　　(7)不允許root 從不同的控制臺進(jìn)行登錄。

　　編輯/etc/securetty,在不需要登錄的TTY設備前添加#,禁止從TTY 設備進(jìn)行root 登錄。

　　(8)使用SSH 進(jìn)行遠程連接。通過(guò)SSH 客戶(hù)端軟件連接Linux,在Linux 下利用以下命令連接其他Linux:

　　[root@redhat root]# ssh -l root

　　192.168.2.180

　　(9)禁止隨意通過(guò)su 命令將普通用戶(hù)變?yōu)閞oot 用戶(hù)。編輯/etc/pam.d/su,加入以下內容：

　　auth sufficient /lib/security/pam_

　　rootok.so debug

　　auth required /lib/security/pam_

　　wheel.so group=wheel

　　wheel 為系統中隱含的組，只有wheel 組的成員才能用su 命令成為root.

　　(10)配置防火墻，并隨時(shí)關(guān)注Linux 網(wǎng)站上內核更新，保持最新的系統內核。

【Linux系統安全的九個(gè)關(guān)鍵點(diǎn)】相關(guān)文章：

學(xué)習Linux的七點(diǎn)忠告10-23

Linux認證考試必考知識點(diǎn)01-14

男人練胸肌的關(guān)鍵點(diǎn)07-31

品牌的本質(zhì)與戰略的關(guān)鍵點(diǎn)10-22

營(yíng)銷(xiāo)管理必須做好的關(guān)鍵點(diǎn)12-26

中層管理的9個(gè)關(guān)鍵點(diǎn)09-14

預防寶寶夏季腹瀉的關(guān)鍵點(diǎn)09-11

新生兒護理關(guān)鍵點(diǎn)07-27

街舞學(xué)習有哪些關(guān)鍵點(diǎn)？06-25

linux認證工程師知識點(diǎn)積累08-23