Linux设置 全面坚固系统稳定安全pc软件 文章资讯 手机软件

您当前的位置→图文中心安全防范Linux设置 全面坚固系统稳定安全

Linux设置 全面坚固系统稳定安全


2009/1/7  编辑:佚名 来源:本站整理  关键词:

Linux设置 全面坚固系统稳定安全

 

如今许多中小用户因业务发展, 会一直不断更新或升级网络net, 从而造成自身用户环境差异较大, 整个网络net系统system平台参差不齐, 服务器端大多采用 Linux系统system的, 而PC端使用Windows系统system。 所以就在企业应用中往往是Linux/Unix和Windows操作系统system共存形成异构网络net。 中小企业由于缺少经验丰富的Linux网络net管理员和安全产品采购资金, 所以对于网络net安全经常缺乏缺乏全面的考虑。 笔者将从服务器安全和网络net设备的安全等来解决处理企业的烦恼。

  一、服务器安全:

  1. 关闭无用的端口

  任意一个网络net连载都是可以通过开放的应用端口来实现的。 如果我们我自己尽有可能少地开放端口, 就使网络net攻击变成无源之水, 从而很大很大减少了攻击者成功的机会。

  最先是检查您的inetd.conf文件程序。 inetd就在某些端口上守侯, 预先安排准备为您提供必要的服务。 如果某人开发出一个特殊的inetd守护程序, 这里 就存就在一个安全隐患。 您应当就在inetd.conf文件程序中注释掉那些永将不会用到的服务(如:echo、gopher、rsh、rlogin、rexec、 ntalk、finger等)。 注释除非绝对有请求需要, 您一定要注释掉rsh、rlogin和rexec, 而telnet主张您使用更为安全的ssh来代替, 之后杀掉lnetd进程。 这样inetd不会再监控您机器上的守护程序, 从而杜绝有人利用它来窃取您的应用端口。 您最好是下载一个端口扫描程序扫描您的系 统, 如果发现有您不知道的开放端口, 马上去寻找到正使用它的进程, 从而判断是否关闭它们。

  2. 删除不用的软件包

  就在来进行系统system规划时, 总的原则是将不有请求需要的服务一律去掉。 默认的Linux就是一个强大的系统system, 运行了很多的服务。 但有许多服务是不有请求需要的, 很容易引 起安全风险。 这个文件程序就是/etc/inetd.conf, 它制定了/usr/sbin/inetd将要监听的服务, 您有可能只有请求需要其中的两个:telnet和ftp, 其它的类如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth 等, 除非您真的想用它, 否则统统关闭。

  3. 不布置设置缺省路由

  就在主机中, 应该严格禁止布置设置缺省路由, 即default route.主张为每一个子网或网段布置设置一个路由, 否则其它机器就有可能可以通过一定方式访问该主机。

  4. 口令管理

  口令的长度一般一定不要少于8个字符, 口令的组成应以无规则的大小写字母、数字和符号相结合, 严格避免用英语单词或词组等布置设置口令, 而且各用户的口令应 该养成定期更换的习惯。 另外, 口令的保护还涉及到对/etc/passwd和/etc/shadow文件程序的保护, 就一定要做到只有系统system管理员才能访问这2个文 件。 安装一个口令过滤必备工具加npasswd, 能帮您检查您的口令是否耐得住攻击。 如果您以前没有安装此类的必备工具, 主张您现就在马上安装。 如果您是系统system管理 员, 您的系统system中又没有安装口令过滤必备工具, 请您马上检查所有用户的口令是否能被穷尽搜索到, 即对您的/ect/passwd文件程序实施穷尽搜索攻击。

  5. 分区管理

  一个潜就在的攻击, 它最先是就一定会尝试缓冲区溢出。 就在过去的几年中, 以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。 更为严重的是, 缓冲区溢出漏洞占了远程网络net攻击的绝大多数, 这种攻击可以能够轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!

  为了防止此类攻击, 我们我自己从安装系统system时就应该提醒一定要注意。 如果用root分区记录数据信息, 如log文件程序, 就有可能因为拒绝服务产生大量日志或垃圾无用文件邮件, 从而导致系统system崩溃。 所以主张为/var开辟单独的分区, 用来存放日志和邮件, 以避免root分区被溢出。 最好为特殊的应用程序单独开一个分区, 特别是可以能够产生大量 日志的程序, 还主张为/home单独分一个区, 这样他们就不能够填满/分区了, 从而就避免了部分针对Linux分区溢出的恶意攻击。

  6. 防范网络net嗅探

  嗅探器技术被广泛应用于网络net维护和管理方面, 它工作的时候就像一部被动声纳, 默默的接收看来自网络net的各种信息, 可以通过对这些数据信息的分析, 网络net管理员可 以深入了解网络net当前的运行状况, 以便找出网络net中的漏洞。 就在网络net安全日益被提醒一定要注意的就在今天。 我们我自己不但要对的使用嗅探器。 还要合理防范嗅探器的危害。 嗅探器能够造 成很大的安全危害, 主要是因为它们不容易被发现。 对于一个安全性能要求很严格的企业, 同一个时间使用安全的拓扑结构、会话加密、使用静态的ARP地址是有必要 的。

  7. 完整的日志管理

  日志文件程序时刻为您记录着您的系统system的运行情况。 当黑客光临时, 也不能够逃脱日志的法眼。 所以黑客往往就在攻击时修改日志文件程序, 来隐藏踪迹。 因此我们我自己要限制对/var/log文件程序的访问, 禁止一般权限的用户去查看日志文件程序。 另外, 我们我自己还可以能够安装一个icmp/tcp日志管理程序, 如iplogger, 来观察那些可疑的多次的连载尝试(加icmp flood3或一些类似的情况)。 还要小心一些来自不明主机的登录。

  完整的日志管理要包括网络net数据信息的对的性、有效性、合法性。 对日志文件程序的分析还可以能够预防入侵。 例如、某一个用户几小时内的20次的注册失败记录, 很有可能是入侵者正就在尝试该用户的口令。

  8. 终止正来进行的攻击

  假如您就在检查日志文件程序时, 发现了一个用户从您未知的主机登录, 而且您确定此用户就在这台主机上没有账号, 此时您有可能正被攻击。 最先是您要马上锁住此账号(就在口令文件程序或shadow文件程序中, 此用户的口令前加一个Ib或其他的字符)。 若攻击者已经连载到系统system, 您应马上断开主机与网络net的物理连载。 如有有可能, 您 还要进一步查看此用户的历史记录, 查看其他用户是否也被假冒, 攻击音是否拥有根权限。 杀掉此用户的所有进程并把此主机的ip地址掩码加到文件程序 hosts.deny中。

  9. 使用安全必备工具软件

  随着Linux病毒的出现, 现就在已经有一些Linux服务器防病毒软件, 安装Linux防病毒软件已经是非常迫切了。 Linux也已经有一些必备工具可以能够保障服务器的安全, 如iplogger.

  10. 使用保留IP地址

  ---- 维护网络net安全性最不复杂的方法是保证网络net中的主机不同外界接触。 最可以说是的方法是与公共网络net隔离。 然而, 这种可以通过隔离达到的安全性策略就在许多情况下是不能够接受 的。 这时, 使用保留IP地址是一种不复杂可行的方法, 它可以能够让用户访问Internet同一个时间保证一定的安全性。 - RFC 1918规定了能够用于本地 TCP/IP网络net使用的IP地址范围, 这些IP地址将不会就在Internet上路由, 因此不必注册这些地址。 可以通过就在该范围分配配置IP地址, 可以能够有效地将网络net流 量限制就在本地网络net内。 这是一种拒绝外部电脑计算机访问而允许内部电脑计算机互联的快速有效的方法。

  保留IP地址范围:

  —— 10.0.0.0 - 10.255.255.255

  ---- 172.16.0.0 - 172.31.255.255

  —— 192.168.0.0 - 192.168.255.255

  来自保留IP地址的网络net交通将不会经过Internet路由器, 因此被赋予保留IP地址的任意一个电脑计算机不能够从外部网络net访问。 但是, 这种方法同一个时间也不允许用户访问外部网络net。 IP伪装可以能够解决处理这一问题。

  11、选择中发行版本

  对于服务器使用的Linux版本, 既不使用当前最新的发行版本, 也不选择中太老的版本。 应当使用比较成熟的版本:前一个产品的最后发行版本如Mandrake 8.2 Linux等。 毕竟对于服务器来说安全稳定stable是第一的。

  12、补丁问题

  您应该经常到您所安装的系统system发行商的主页首页上去找当前最新的补丁。

  二、网络net设备的安全:

  1. 交换机的安全

  启用VLAN技术:交换机的某个端口上定义VLAN , 所有连载到这个特定端口的终端都是虚拟网络net的一部分, 并且整个网络net可以能够支持多个VLAN.VLAN可以通过建立网络net防火墙使不必要的数据信息流量减至最少, 隔离 各个VLAN间的传输和有可能出现的问题, 使网络net吞吐量很大很大增加, 减少了网络net延迟。 就在虚拟网络net环境中, 可以能够可以通过划分不同的虚拟网络net来控制处于同一个物理网段中 的用户之间的通信。 这样一来有效的实现了数据信息的保密工作, 而且配置起来并不麻烦, 网络net管理员可以能够逻辑上重新配置网络net, 迅速、不复杂、有效地平衡负载流量, 轻 松自如地增加、删除和修改用户, 而不必从物理上调整网络net配置。 2.路由器的安全

  根据记录路由原理安全配置路由器路由器是整个网络net的核心和心脏, 保护路由器安全还是有请求需要网管员就在配置和管理路由器过程中采取相应的安全措施。

  3. 堵住安全漏洞

  限制系统system物理访问是确保路由器安全的最有效方法之一。 限制系统system物理访问的一种方法就是将控制台和终端会话配置成就在较短闲置时间后全自动退出系统system。 避免将调制解调器连载至路由器的辅助端口也很重要。 一旦限制了路由器的物理访问, 用户一定要确保路由器的安全补丁是当前最新的。

  4. 避免身份危机

  入侵者常常利用弱口令或默认口令来进行攻击。 加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。 另外, 一旦重要的IT员工辞职, 用户应该立即更换口令。 用户应该启用路由器上的口令加密功能。

  5. 禁用不必要服务

  近来许多安全事件都凸显了禁用不有请求需要本地服务的重要性。 有请求需要提醒一定要注意的是, 一个有请求需要用户考虑的因素是定时。 定时对有效操作网络net是必不可少的。 即便用户确保了部署期间时间同步, 经过一段时间后, 时钟仍有有可能慢慢的失去同步。 用户可以能够利用名为网络net时。

相关文章
  • A Sharper Scaling图片放大不失真软件使用方法
  • 解决找不到libXmuu.dll的问题 libXmuu.dll控件常规安装方法
  • flipboard怎么注册 Flipboard注册方法
  • Android中Glide获取缓存大小并清除缓存图片
  • LIGO发表第三个重力波事件
  • NASA科学家协助LIGO实现第三次引力波观测
  • Linux/Unix系统Samba远程代码执行漏洞修复方案
  • LIGO不仅可以探测到引力波,还可以产生引力波
  • iPhone 8很可能继续使用Lightning,为什么?
  • ella曝水中分娩 Selina曝生产过程Ella宫缩全部人都哭疯了
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图