linux 六點安全方法應用

via:

很多人覺得微軟不夠安全，所以很多人選擇linux於是就有很多程式設計師編寫了linux的相關軟體，這麼多的軟體支援，技術支援，也就導致了很多程式設計師選擇linux。可程式設計師的水平不一就導致linux漏洞。這給了黑客的機會，linux安全就受到了重視。怎樣才能保護好linux安全呢？

一、取消不必要的服務

早期的unix版本中，每乙個不同的網路服務都有乙個服務程式在後台執行，後來的版本用統一的/etc/inetd伺服器程式擔此重任。inetd是internetdaemon的縮寫，它同時監視多個網路埠，一旦接收到外界傳來的連線資訊，就執行相應的tcp或udp網路服務。

由於受inetd的統一指揮，因此linux中的大部分tcp或udp服務都是在/etc/inetd.conf檔案中設定。所以取消不必要服務的第一步就是檢查/etc/inetd.conf檔案，在不要的服務前加上「#」號。

一般來說，除了http、smtp、telnet和ftp之外，其他服務都應該取消，諸如簡單檔案傳輸協議tftp、網路郵件儲存及接收所用的imap/ipop傳輸協議、尋找和搜尋資料用的gopher以及用於時間同步的daytime和time等。

還有一些報告系統狀態的服務，如finger、efinger、systat和netstat等，雖然對系統查錯和尋找使用者非常有用，但也給黑客提供了方便之門。例如，黑客可以利用finger服務查詢使用者的**、使用目錄以及其他重要資訊。因此，很多linux系統將這些服務全部取消或部分取消，以增強系統的安全性。

inetd除了利用/etc/inetd.conf設定系統服務項之外，還利用/etc/services檔案查詢各項服務所使用的埠。因此，使用者必須仔細檢查該檔案中各埠的設定，以免有安全上的漏洞。

在linux中有兩種不同的服務型態：一種是僅在有需要時才執行的服務，如finger服務;另一種是一直在執行的永不停頓的服務。這類服務在系統啟動時就開始執行，因此不能靠修改inetd來停止其服務，而只能從修改/etc/rc.d/rc[n].d/檔案或用run level editor去修改它。提供檔案服務的nfs伺服器和提供nntp新聞服務的news都屬於這類服務，如果沒有必要，最好取消這些服務。

二、限制系統的出入

在進入linux系統之前，所有使用者都需要登入，也就是說，使用者需要輸入使用者賬號和密碼，只有它們通過系統驗證之後，使用者才能進入系統。

與其他unix作業系統一樣，linux一般將密碼加密之後，存放在/etc/passwd檔案中。linux系統上的所有使用者都可以讀到/etc/passwd檔案，雖然檔案中儲存的密碼已經經過加密，但仍然不太安全。因為一般的使用者可以利用現成的密碼破譯工具，以窮舉法猜測出密碼。比較安全的方法是設定影子檔案/etc/shadow，只允許有特殊許可權的使用者閱讀該檔案。

在linux系統中，如果要採用影子檔案，必須將所有的公用程式重新編譯，才能支援影子檔案。這種方法比較麻煩，比較簡便的方法是採用插入式驗證模組(pam)。很多linux系統都帶有linux的工具程式pam，它是一種身份驗證機制，可以用來動態地改變身份驗證的方法和要求，而不要求重新編譯其他公用程式。這是因為pam採用封閉包的方式，將所有與身份驗證有關的邏輯全部隱藏在模組內，因此它是採用影子檔案的最佳幫手。

此外，pam還有很多安全功能：它可以將傳統的des加密方法改寫為其他功能更強的加密方法，以確保使用者密碼不會輕易地遭人破譯;它可以設定每個使用者使用電腦資源的上限;它甚至可以設定使用者的上機時間和地點。

linux系統管理人員只需花費幾小時去安裝和設定pam，就能大大提高linux系統的安全性，把很多攻擊阻擋在系統之外。

三、保持最新的系統核心

由於linux流通渠道很多，而且經常有更新的程式和系統補丁出現，因此，為了加強系統安全，一定要經常更新系統核心。

kernel是linux作業系統的核心，它常駐記憶體，用於載入作業系統的其他部分，並實現作業系統的基本功能。由於kernel控制計算機和網路的各種功能，因此，它的安全性對整個系統安全至關重要。

早期的kernel版本存在許多眾所周知的安全漏洞，而且也不太穩定，只有2.0.x以上的版本才比較穩定和安全，新版本的執行效率也有很大改觀。在設定kernel的功能時，只選擇必要的功能，千萬不要所有功能照單全收，否則會使kernel變得很大，既占用系統資源，也給黑客留下可乘之機。

在internet上常常有最新的安全修補程式，linux系統管理員應該訊息靈通，經常光顧安全新聞組，查閱新的修補程式。

四、增強安全防護工具

ssh是安全套接層的簡稱，它是可以安全地用來取代rlogin、rsh和rcp等公用程式的一套程式組。ssh採用公開金鑰技術對網路上兩台主機之間的通訊資訊加密，並且用其金鑰充當身份驗證的工具。

由於ssh將網路上的資訊加密，因此它可以用來安全地登入到遠端主機上，並且在兩台主機之間安全地傳送資訊。實際上，ssh不僅可以保障linux主機之間的安全通訊，windows使用者也可以通過ssh安全地連線到linux伺服器上。

五、限制超級使用者的權力

我們在前面提到，root是linux保護的重點，由於它權力無限，因此最好不要輕易將超級使用者授權出去。但是，有些程式的安裝和維護工作必須要求有超級使用者的許可權，在這種情況下，可以利用其他工具讓這類使用者有部分超級使用者的許可權。sudo就是這樣的工具。

sudo程式允許一般使用者經過組態設定後，以使用者自己的密碼再登入一次，取得超級使用者的許可權，但只能執行有限的幾個指令。

六、設定使用者賬號的安全等級

除密碼之外，使用者賬號也有安全等級，這是因為在linux上每個賬號可以被賦予不同的許可權，因此在建立乙個新使用者id時，系統管理員應該根據需要賦予該賬號不同的許可權，並且歸併到不同的使用者組中。

在linux系統上的tcpd中，可以設定允許上機和不允許上機人員的名單。其中，允許上機人員名單在/etc/hosts.allow中設定，不允許上機人員名單在/etc/hosts.deny中設定。設定完成之後，需要重新啟動inetd程式才會生效。此外，linux將自動把允許進入或不允許進入的結果記錄到/rar/log/secure檔案中，系統管理員可以據此查出可疑的進入記錄。

linux系統中的/etc/securetty檔案包含了一組能夠以root賬號登入的終端機名稱。例如，在redhatlinux系統中，該檔案的初始值僅允許本地虛擬控制台(rtys)以root許可權登入，而不允許遠端使用者以root許可權登入。最好不要修改該檔案，如果一定要從遠端登入為root許可權，最好是先以普通賬號登入，然後利用su命令公升級為超級使用者。

做好上述六點，你就能安全的暢遊在linux系統之中了，好好體驗一下個性化的作業系統。linux安全重中之重，希望你能學會本文的知識。

linux 六點安全方法應用

簡單介紹六點nginx優化的方法

簡單介紹六點nginx優化的方法

HashTable和HashMap的六點區別

linux 六點安全方法應用

簡單介紹六點nginx優化的方法

簡單介紹六點nginx優化的方法

HashTable和HashMap的六點區別

相關推薦