作為一種開放源**的作業系統,linux伺服器以其安全,高效和穩定的顯著優勢而得以廣泛應用,但是,若不加以控制,也不見得安全到**,這篇博文主要從賬號安全控制價、系統引導和登入控制的角度,來進行linux系統安全優化。並且使用輔助工具來查詢安全隱患,以便我們運維人員及時採取相應的措施。
安全方面確實需要注意的比較多,這篇博文從各個方面寫了下來,比較瑣碎,還需要耐心些看,根據需要來配置伺服器的安全性
一、基本安全措施:
1、 系統各種冗餘賬號,如「games」等,可直接刪除,包括一些程式賬號,若解除安裝程式後,賬號沒能被刪除,則需要我們手動進行刪除。
2、 當伺服器中的使用者賬號已經固定,不再進行更改,可以直接鎖定賬號配置檔案,鎖定以後,便不可以新增使用者及更改使用者密碼:
3、密碼的有效期控制:為了降低密碼被暴力破解或被猜出的風險,可以設定密碼有效期來限制密碼最大有效天數,對於密碼已過期的使用者,登入時則必須重置密碼,否則將拒絕登入。
需要注意的是,當正在執行程式**編譯、修改系統配置等耗時較長的操作時,最好不要設定tmout變數。必要時可以執行「unset tmout」命令取消tmout變數設定。
二、使用者切換與提權該怎麼控制:
1、su命令——切換使用者
預設情況下,任何使用者都允許使用su命令,從而有機會反覆嘗試其他使用者(如root)的登入密碼,這樣就有了安全隱患,為了避免這種情況,可以借助於pam_wheel認證模組,只允許極個別使用者使用su命令進行切換。實現過程如下:將授權使用su命令的使用者新增到wheel組,修改/etc/pam.d/su認證配置以啟用pam_wheel認證:
至此,就只有wheel組中的使用者可以使用su命令了,使用su命令切換使用者的操作將會記錄到安全日誌/var/log/secure檔案中,可以根據需要進行檢視。
2、sudo命令——提公升執行許可權
使用su命令可以方便的切換為另乙個使用者,但前提條件是必須知道目標使用者的登入密碼。若想要切換到root使用者,那麼必須知道root使用者的密碼,對於生產環境中的linux伺服器來說,每多乙個人知道root密碼,其安全風險也就增加一分。所以sudo命令就由此而生了。
sudo命令的控制只需在/etc/sudoers配置檔案中新增授權即可,需使用專門的visudo工具進行編輯,用vi也可以,但是儲存時必須執行「 w!」命令來進行強制儲存,否則系統將提示檔案為唯讀檔案而拒絕儲存。
配置檔案/etc/sudoers中,授權記錄的基本配置格式如下所示:
user machine=commands
三、終端及登入控制:
1、禁止root使用者登入:
login程式是通過讀取 /etc/securetty檔案,以決定允許root使用者從哪些終端登入的,若要禁止root使用者從tty5、tty6登入,只需將檔案中對應的行注釋掉即可。
2、禁止普通使用者登入:
當正在除錯伺服器,不希望再有新使用者登入系統的話,可以建立/etc/nologin檔案即可,login程式會檢查/etc/nologin檔案是否存在,如果存在,則拒絕普通使用者登入系統(root使用者不受限制)。這個方法只建議在伺服器維護期間臨時使用,當手動刪除/etc/nologin檔案或者重新啟動主機後,即可恢復正常。
Linux作業系統的核心之多方面解說
核心簡介 核心,是乙個作業系統的核心。它負責管理系統的程序 記憶體 裝置驅動程式 檔案和網路系統,決定著系統的效能和穩定性。linux的乙個重要的特點就是其源 的公開性,所有的核心源程式都可以在 usr src linux下找到,大部分應用軟體也都是遵循gpl而設計的,你都可以獲取相應的源程式 全世...
windows伺服器轉linux伺服器的點滴
有感於linux的開放姿態,最近購買了個linux伺服器。各種原因,只是用命令列形式。但問題來了,不適應不在於命令列難記之類。而在於軟體的安裝及管理,先記下來,後面將慢慢找具體的解決方案。也希望可以幫到後來者。1.軟體查詢不知道怎麼查詢。比如想安裝個subversion 或者 ftp 之類的。在wi...
保證伺服器安全的七個技巧
保證伺服器安全的七個技巧 你的伺服器上是否存有一些不能隨意公開的重要資料呢?當然有吧?而最近,偏偏伺服器遭受的風險又特別大,越來越多的病毒 心懷不軌的黑客,以及那些商業間諜都將伺服器當作目標。很顯然,伺服器的安全問題一刻都忽視不得。不可能在一篇文章中談遍電腦安全問題,畢竟,市面上的已有許多這方面的書...