保障Linux作業系統安全的10個技巧

保障linux作業系統安全的10個技巧

由於linux作業系統良好的網路功能，因此在網際網路中大部分**伺服器都是使用的 linux作為主作業系統的。但由於該作業系統是乙個多使用者作業系統，黑客們為了在攻擊中隱藏自己，往往會選擇linux作為首先攻擊的物件。那麼，作為一名linux使用者，我們該如何通過合理的方法來防範linux的安全呢？

1、禁止使用ping命令

ping命令是計算機之間進行相互檢測線路完好的乙個應用程式，計算機間交流資料的傳輸沒有經過任何的加密處理，因此我們在用ping命令來檢測某乙個伺服器時，可能在網際網路上存在某個非法分子，通過專門的黑客程式把在網路線路上傳輸的資訊中途竊取，並利用偷盜過來的資訊對指定的伺服器或者系統進行攻擊，為此我們有必要在linux系統中禁止使用linux命令。在linux裡，如果要想使ping沒反應也就是用來忽略icmp包，因此我們可以在linux的命令列中輸入如下命令：echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all ；如果想恢復使用ping命令，就可以輸入echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all命令。

2、改進登入伺服器

將系統的登入伺服器移到乙個單獨的機器中會增加系統的安全級別，使用乙個更安全的登入伺服器來取代linux自身的登入工具也可以進一步提高安全。在大的linux網路中，最好使用乙個單獨的登入伺服器用於syslog服務。它必須是乙個能夠滿足所有系統登入需求並且擁有足夠的磁碟空間的伺服器系統，在這個系統上應該沒有其它的服務執行。更安全的登入伺服器會大大削弱入侵者透過登入系統竄改日誌檔案的能力。

3、取消root命令歷史記錄

在linux下，系統會自動記錄使用者輸入過的命令，而root使用者發出的命令往往具有敏感的資訊，為了保證安全性，一般應該不記錄或者少記錄root的命令歷史記錄。為了設定系統不記錄每個人執行過的命令，我們可以在linux的命令列下，首先用cd命令進入到/etc命令，然後用編輯命令來開啟該目錄下面的profile檔案，並在其中輸入如下內容：

histfilesize=0

histsize=0

當然，我們也可以直接在命令列中輸入如下命令：ln -s /dev/null ~/.bash_history 。

4、為關鍵分割槽建立唯讀屬性

linux的檔案系統可以分成幾個主要的分割槽，每個分割槽分別進行不同的配置和安裝，一般情況下至少要建立/、/usr/local、/var和/home等分割槽。/usr可以安裝成唯讀並且可以被認為是不可修改的。如果/usr中有任何檔案發生了改變，那麼系統將立即發出安全報警。當然這不包括使用者自己改變/usr中的內容。/lib、/boot和/sbin的安裝和設定也一樣。在安裝時應該盡量將它們設定為唯讀，並且對它們的檔案、目錄和屬性進行的任何修改都會導致系統報警。

當然將所有主要的分割槽都設定為唯讀是不可能的,有的分割槽如/var等，其自身的性質就決定了不能將它們設定為唯讀，但應該不允許它具有執行許可權。

5、殺掉攻擊者的所有程序

假設我們從系統的日誌檔案中發現了乙個使用者從我們未知的主機登入，而且我們確定該使用者在這台主機上沒有相應的帳號，這表明此時我們正在受到攻擊。為了保證系統的安全被進一步破壞，我們應該馬上鎖住指定的帳號，如果攻擊者已經登入到指定的系統，我們應該馬上斷開主機與網路的物理連線。如有可能，我們還要進一步檢視此使用者的歷史記錄，再仔細檢視一下其他使用者是否也已經被假冒，攻擊者是否擁有有限許可權；最後應該殺掉此使用者的所有程序，並把此主機的ip位址掩碼加入到檔案hosts.deny中。

6、改進系統內部安全機制

我們可以通過改進linux作業系統的內部功能來防止緩衝區溢位，從而達到增強 linux系統內部安全機制的目的，大大提高了整個系統的安全性。但緩衝區溢位實施起來是相當困難的，因為入侵者必須能夠判斷潛在的緩衝區溢位何時會出現以及它在記憶體中的什麼位置出現。緩衝區溢位預防起來也十分困難，系統管理員必須完全去掉緩衝區溢位存在的條件才能防止這種方式的攻擊。正因為如此，許多人甚至包括linux torvalds本人也認為這個安全linux補丁十分重要，因為它防止了所有使用緩衝區溢位的攻擊。但是需要引起注意的是，這些補丁也會導致對執行棧的某些程式和庫的依賴問題，這些問題也給系統管理員帶來的新的挑戰。

7、對系統進行跟蹤記錄

為了能密切地監視黑客的攻擊活動，我們應該啟動日誌檔案，來記錄系統的運**況，當黑客在攻擊系統時，它的蛛絲馬跡都會被記錄在日誌檔案中的，因此有許多黑客在開始攻擊系統時，往往首先通過修改系統的日誌檔案，來隱藏自己的行蹤，為此我們必須限制對/var/log檔案的訪問，禁止一般許可權的使用者去檢視日誌檔案。當然，系統中內建的日誌管理程式功能可能不是太強，我們應該採用專門的日誌程式，來觀察那些可疑的多次連線嘗試。另外，我們還要小心保護好具有根許可權的密碼和使用者，因為黑客一旦知道了這些具有根許可權的帳號後，他們就可以修改日誌檔案來隱藏其蹤跡了。

8、使用專用程式來防範安全

有時，我們通過人工的方法來監視系統的安全比較麻煩，或者是不周密，因此我們還可以通過專業程式來防範系統的安全，目前最典型的方法為設定陷井和設定蜜罐兩種方法。所謂陷井就是啟用時能夠觸發報警事件的軟體，而蜜罐（honey pot）程式是指設計來引誘有入侵企圖者觸發專門的報警的陷井程式。通過設定陷井和蜜罐程式，一旦出現入侵事件系統可以很快發出報警。在許多大的網路中，一般都設計有專門的陷井程式。陷井程式一般分為兩種：一種是只發現入侵者而不對其採取報復行動，另一種是同時採取報復行動。

9、將入侵消滅在萌芽狀態

入侵者進行攻擊之前最常做的一件事情就是端號掃瞄，如果能夠及時發現和阻止入侵者的端號掃瞄行為，那麼可以大大減少入侵事件的發生率。反應系統可以是乙個簡單的狀態檢查包過濾器，也可以是乙個複雜的入侵檢測系統或可配置的防火牆。我們可以採用諸如abacus port sentry這樣專業的工具，來監視網路介面並且與防火牆互動操作，最終達到關閉埠掃瞄攻擊的目的。當發生正在進行的埠掃瞄時，abacus sentry可以迅速阻止它繼續執行。但是如果配置不當，它也可能允許敵意的外部者在你的系統中安裝拒絕服務攻擊。正確地使用這個軟體將能夠有效地防止對端號大量的並行掃瞄並且阻止所有這樣的入侵者。

10、嚴格管理好口令

前面我們也曾經說到過，黑客一旦獲取具有根許可權的帳號時，就可以對系統進行任意的破壞和攻擊，因此我們必須保護好系統的操作口令。通常使用者的口令是儲存在檔案/etc/passwd檔案中的，儘管/etc/passwd是乙個經過加密的檔案，但黑客們可以通過許多專用的搜尋方法來查詢口令，如果我們的口令選擇不當，就很容易被黑客搜尋到。因此，我們一定要選擇乙個確保不容易被搜尋的口令。另外，我們最好能安裝乙個口令過濾工具，並借用該工具來幫助自己檢查設定的口令是否耐得住攻擊。

保障Linux作業系統安全的10個技巧

Linux作業系統安全一

作業系統安全深入

作業系統安全認知

保障Linux作業系統安全的10個技巧

Linux作業系統安全 一

作業系統安全深入

作業系統安全認知

相關推薦

Linux作業系統安全一