• <td id="ssscw"></td>
  • 北京Linux培訓
    達內北京天壇中心

    010-62126400

    北京linux培訓 > linux知識庫 >25條安全小竅門(上),讓運維2021無洞可漏!

    25條安全小竅門(上),讓運維2021無洞可漏!

    • 時間:2020-12-24 10:23
    • 發布:北京linux培訓
    • 來源:linux知識庫

    25條安全小竅門(上),讓運維的2021無“洞”可漏!下面和達內北京Linux培訓機構一起來看看吧!

    1、物理系統的安全性

    配置BIOS,禁用從CD/DVD、外部設備、軟驅啟動。下一步,啟用BIOS密碼,同時啟用GRUB的密碼保護,這樣可以限制對系統的物理訪問。

    2、磁盤分區

    使用不同的分區很重要,對于可能得災難,這可以保證更高的數據安全性。通過劃分不同的分區,數據可以進行分組并隔離開來。當意外發生時,只有出問題的分區的數據才會被破壞,其他分區的數據可以保留下來。你最好有以下的分區,并且第三方程序最好安裝在單獨的文件系統/opt下。

    3、最小包安裝,最少漏洞

    你真的需要安裝所有的服務么?建議不要安裝無用的包,避免由這些包帶來的漏洞。

    這將最小化風險,因為一個服務的漏洞可能會危害到其他的服務。找到并去除或者停止不用的服務,把系統漏洞減少到最小。使用‘chkconfig‘命令列出運行級別3的運行所有服務。

    當你發現一個不需要的服務在運行時,使用下面的命令停止這個服務。

    使用RPM包管理器,例如YUM或者apt-get 工具來列出所有安裝的包,并且利用下的命令來卸載他們。

    4、檢查網絡監聽端口

    在網絡命令 ‘netstat‘ 的幫助下,你將能夠看到所有開啟的端口,以及相關的程序。使用我上面提到的 ‘chkconfig‘ 命令關閉系統中不想要的網絡服務。

    5、使用SSH(Secure Shell)

    Telnet 和 rlogin 協議只能用于純文本,不能使用加密的格式,這或將導致安全漏洞的產生。SSH 是一種在客戶端與服務器端通訊時使用加密技術的安全協議。

    除非必要,永遠都不要直接登錄 root 賬戶。使用 “sudo” 執行命令。sudo 由 /etc/sudoers 文件制定,同時也可以使用 “visudo” 工具編輯,它將通過 VI 編輯器打開配置文件。

    同時,建議將默認的 SSH 22 端口號改為其他更高的端口號。打開主要的 SSH 配置文件并做如下修改,以限制用戶訪問。

    關閉 root 用戶登錄

    特定用戶通過

    使用第二版 SSH 協議

    6、保證系統是最新的

    得一直保證系統包含了最新版本的補丁、安全修復和可用內核。

    7、鎖定Cron 任務

    Cron有它自己內建的特性,這特性允許定義哪些人能哪些人不能跑任務。這是通過兩個文件/etc/cron.allow 和 /etc/cron.deny 控制的。要鎖定在用Cron的用戶時可以簡單的將其名字寫到corn.deny里,而要允許用戶跑cron時將其名字加到cron.allow即可。

    如果你要禁止所有用戶使用corn,那么可以將“ALL”作為一行加到cron.deny里。

    8、禁止USB探測

    很多情況下我們想去限制用戶使用USB,來保障系統安全和數據的泄露。建立一個文件‘/etc/modprobe.d/no-usb‘并且利用下面的命令來禁止探測USB存儲。

    9、打開SELinux

    SELinux(安全增強linux)是linux內核提供的一個強制的訪問控制安全機制。禁用SELinux意味著系統丟掉了安全機制。要去除SELinux之前仔細考慮下,如果你的系統需要發布到網絡,并且要在公網訪問,你就要更加注意一下。

    SELinux 提供了三個基本的操作模式,他們是:

    強制執行:這是默認是模式,用來啟用和強制執行SELinux安全措略。

    許可模式:這種模式下SELinux不會強制執行安全措略,只有警告和日志記錄。這種模式在SELinux相關問題的故障排除時候非常有用。

    關閉模式:SELinux被關閉。

    你可以使用命令行‘system-config-selinux‘, ‘getenforce‘ or ‘sestatus‘來瀏覽當前的SEliux的狀態。

    如果是關閉模式,通過下面的命令開啟SELinux

    你也可以通過配置文件‘/etc/selinux/config‘來進行SELinux的開關操作。

    10、移除KDE或GNOME桌面

    沒必要在專用的LAMP服務器上運行X Window桌面比如KDE和GNOME。可以移掉或關閉它們,以提高系統安全性和性能。打開/etc/inittab然后將run level改成3就可以關閉這些桌面。如果你將它徹底的從系統中移走,可以用下面這個命令:

    11、關閉IPv6

    如果不用IPv6協議,那就應該關閉掉它,因為大部分的應用和策略都不會用到IPv6,而且當前它不是服務器必需的。可以在網絡配置文件中加入如下幾行來關掉它。

    12、限制用戶使用舊密碼

    如果你不希望用戶繼續使用老密碼,這一條很有用。老的密碼文件位于 /etc/security/opasswd。你可以使用 PAM 模塊實現。

    RHEL / CentOS / Fedora 中打開 ‘/etc/pam.d/system-auth‘ 文件。

    Ubuntu/Debian/Linux Mint 中打開 ‘/etc/pam.d/common-password‘ 文件。

    在 ‘auth‘ 塊中添加下面一行。

    在 ‘password‘ 塊添加下面一行,禁止用戶重新使用其過去最后用過的 5個密碼。

    服務器只記錄最后的 5 個密碼。如果你試圖使用曾用的最后 5個老密碼中的任意一個,你將看到如下的錯誤提示。

    達內北京Linux培訓機構為幫助零基礎想轉行的學員選對方向,特推出為期5天26門熱門互聯網技術任意免費學,12月免費課程搶先中!運維技術免費學,莫錯良機!

    上一篇:8 個有關 Linux shell 腳本的靠譜建議!
    下一篇:25條安全小竅門(下),讓運維2021無洞可漏!

    馬上預約七天免費體驗課

    姓名:

    電話:

    運維加固Linux工作站的 6 個方法!

    達內北京Linux培訓班:另類解說秒懂云計算

    達內北京linux培訓:7 款數據恢復工具助你“保命”

    能讓運維技術迅速 Up 的 5 個技能!

    • 關注微信公眾號

      回復關鍵字:視頻資料

      免費領取 達內課程視頻學習資料

    • 視頻學習QQ群

      添加QQ群:1143617948

      免費領取達內課程視頻學習資料

    Copyright ? 2018 Tedu.cn All Rights Reserved 京ICP備08000853號-56 京公網安備 11010802029508號 達內時代科技集團有限公司 版權所有

    選擇城市和中心
    江西省

    貴州省

    廣西省

    海南省

    中国农村夫妇做人爱视频,亚洲91在线97,欧美色在线精品视频,7m视频最新的路线二