學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 操作系統(tǒng) > 操作系統(tǒng)基礎(chǔ)知識(shí) > Linux操作系統(tǒng)的基本安全措施

Linux操作系統(tǒng)的基本安全措施

時(shí)間: 佳洲1085 分享

Linux操作系統(tǒng)的基本安全措施

  Linux操作系統(tǒng)跟普通的系統(tǒng)一樣,系統(tǒng)安全是需要維護(hù)的。下面由學(xué)習(xí)啦小編整理了Linux操作系統(tǒng)的基本安全措施,希望對(duì)你有幫助。

  Linux操作系統(tǒng)的基本安全措施一

  1. 使用SELinux

  SELinux是用來對(duì)Linux的進(jìn)行安全加固的,有了它,用戶和管理員們就可以對(duì)訪問控制進(jìn)行更多控制。SELinux為訪問控制添加了更細(xì)的顆粒度控制。與僅可以指定誰可以讀、寫或執(zhí)行一個(gè)文件的權(quán)限不同的是,SELinux可以讓你指定誰可以刪除鏈接、只能追加、移動(dòng)一個(gè)文件之類的更多控制。(LCTT譯注:雖然NSA也給SELinux貢獻(xiàn)過很多代碼,但是目前尚無證據(jù)證明SELinux有潛在后門)

  2. 訂閱漏洞警報(bào)服務(wù)

  安全缺陷不一定是在你的操作系統(tǒng)上。事實(shí)上,漏洞多見于安裝的應(yīng)用程序之中。為了避免這個(gè)問題的發(fā)生,你必須保持你的應(yīng)用程序更新到最新版本。此外,訂閱漏洞警報(bào)服務(wù),如SecurityFocus。

  3. 禁用不用的服務(wù)和應(yīng)用

  通常來講,用戶大多數(shù)時(shí)候都用不到他們系統(tǒng)上的服務(wù)和應(yīng)用的一半。然而,這些服務(wù)和應(yīng)用還是會(huì)運(yùn)行,這會(huì)招來攻擊者。因而,最好是把這些不用的服務(wù)停掉。(LCTT譯注:或者干脆不安裝那些用不到的服務(wù),這樣根本就不用關(guān)注它們是否有安全漏洞和該升級(jí)了。)

  4. 檢查系統(tǒng)日志

  你的系統(tǒng)日志告訴你在系統(tǒng)上發(fā)生了什么活動(dòng),包括攻擊者是否成功進(jìn)入或試著訪問系統(tǒng)。時(shí)刻保持警惕,這是你第一條防線,而經(jīng)常性地監(jiān)控系統(tǒng)日志就是為了守好這道防線。

  5. 考慮使用端口試探

  設(shè)置端口試探(Port knocking)是建立服務(wù)器安全連接的好方法。一般做法是發(fā)生特定的包給服務(wù)器,以觸發(fā)服務(wù)器的回應(yīng)/連接(打開防火墻)。端口敲門對(duì)于那些有開放端口的系統(tǒng)是一個(gè)很好的防護(hù)措施。

  6. 使用Iptables

  Iptables是什么?這是一個(gè)應(yīng)用框架,它允許用戶自己為系統(tǒng)建立一個(gè)強(qiáng)大的防火墻。因此,要提升安全防護(hù)能力,就要學(xué)習(xí)怎樣一個(gè)好的防火墻以及怎樣使用Iptables框架。

  7. 默認(rèn)拒絕所有

  防火墻有兩種思路:一個(gè)是允許每一點(diǎn)通信,另一個(gè)是拒絕所有訪問,提示你是否許可。第二種更好一些。你應(yīng)該只允許那些重要的通信進(jìn)入。(LCTT譯注:即默認(rèn)許可策略和默認(rèn)禁止策略,前者你需要指定哪些應(yīng)該禁止,除此之外統(tǒng)統(tǒng)放行;后者你需要指定哪些可以放行,除此之外全部禁止。)

  8. 使用入侵檢測系統(tǒng)

  入侵檢測系統(tǒng),或者叫IDS,允許你更好地管理系統(tǒng)上的通信和受到的攻擊。Snort是目前公認(rèn)的Linux上的最好的IDS。

  9. 使用全盤加密

  加密的數(shù)據(jù)更難竊取,有時(shí)候根本不可能被竊取,這就是你應(yīng)該對(duì)整個(gè)驅(qū)動(dòng)器加密的原因。采用這種方式后,如果有某個(gè)人進(jìn)入到你的系統(tǒng),那么他看到這些加密的數(shù)據(jù)后,就有得頭痛了。根據(jù)一些報(bào)告,大多數(shù)數(shù)據(jù)丟失源于機(jī)器被盜。

  Linux操作系統(tǒng)的基本安全措施二

  1、BIOS的安全設(shè)置

  這是最基本的了,也是最簡單的了。一定要給你的BIOS設(shè)置密碼,以防止通過在BIOS中改變啟動(dòng)順序,而可以從軟盤啟動(dòng)。這樣可以阻止別有用心的試圖用特殊的啟動(dòng)盤啟動(dòng)你的系統(tǒng),還可以阻止別人進(jìn)入BIOS改動(dòng)其中的設(shè)置,使機(jī)器的硬件設(shè)置不能被別人隨意改動(dòng)。

  2、LILO的安全設(shè)置

  LILO是linux LOader的縮寫,它是linux的啟動(dòng)模塊。可以通過修改“/etc/lilo.conf”文件中的內(nèi)容來進(jìn)行配置。在/etc/lilo.conf文件中加如下面兩個(gè)參數(shù):restricted,password.這三個(gè)參數(shù)可以使你的系統(tǒng)在啟動(dòng)lilo時(shí)就要求密碼驗(yàn)證。

  第一步:編輯lilo.conf文件(vi /etc/lilo.comf),假如或改變這三個(gè)參數(shù):

  boot=/dev/hda map=/boot/map install=/boot/boot.b prompt timeout=00 #把這行該為00,這樣系統(tǒng)啟動(dòng)時(shí)將不在等待,而直接啟動(dòng)linux message=/boot/message linear default=linux restricted #加入這行 password= #加入這行并設(shè)置自己的密碼 image=/boot/vmlinuz-2.4.2-2 label=linux root=/dev/hda6 read-only

  第二步:因?yàn)?amp;ldquo;/etc/lilo.conf”文件中包含明文密碼,所以要把它設(shè)置為root權(quán)限讀取。

  # chmod 0600 /etc/lilo.conf

  第三步:更新系統(tǒng),以便對(duì)“/etc/lilo.conf”文件做的修改起作用。

  # /sbin/lilo -v

  第四步:使用“chattr”命令使“/etc/lilo.conf”文件變?yōu)椴豢筛淖儭?/p>

  # chattr +i /etc/lilo.conf

  這樣可以在一定程度上防止對(duì)“/etc/lilo.conf”任何改變(意外或其他原因)

  3、讓口令更加安全

  口令可以說是系統(tǒng)的第一道防線,目前網(wǎng)上的大部分對(duì)系統(tǒng)的攻擊都是從截獲口令或者猜測口令開始的,所以我們應(yīng)該選擇更加安全的口令。

  首先要杜絕不設(shè)口令的帳號(hào)存在。這可以通過查看/etc/passwd文件發(fā)現(xiàn)。例如,存在的用戶名為test的帳號(hào),沒有設(shè)置口令,則在/etc/passwd文件中就有如下一行:

  test::100:9::/home/test:/bin/bash

  其第二項(xiàng)為空,說明test這個(gè)帳號(hào)沒有設(shè)置口令,這是非常危險(xiǎn)的!應(yīng)將該類帳號(hào)刪除或者設(shè)置口令。

  其次,在舊版本的linux中,在/etc/passwd文件中是包含有加密的密碼的,這就給系統(tǒng)的安全性帶來了很大的隱患,最簡單的方法就是可以用暴力破解的方法來獲得口令。可以使用命/usr/sbin/pwconv或者/usr/sbin/grpconv來建立/etc/shadow或者/etc/gshadow文件,這樣在/etc/passwd文件中不再包含加密的密碼,而是放在/etc/shadow文件中,該文件只有超級(jí)用戶root可讀!

  第三點(diǎn)是修改一些系統(tǒng)帳號(hào)的Shell變量,例如uucp,ftp和news等,還有一些僅僅需要FTP功能的帳號(hào),一定不要給他們設(shè)置/bin/bash或者/bin/sh等Shell變量??梢栽?etc/passwd中將它們的Shell變量置空,例如設(shè)為/bin/false或者/dev/null等,也可以使用usermod -s /dev/nullusername命令來更改username的Shell為/dev/null.這樣使用這些帳號(hào)將無法Telnet遠(yuǎn)程登錄到系統(tǒng)中來!

  第四點(diǎn)是修改缺省的密碼長度:在你安裝linux時(shí)默認(rèn)的密碼長度是5個(gè)字節(jié)。但這并不夠,要把它設(shè)為8.修改最短密碼長度需要編輯login.defs文件(vi/etc/login.defs),把下面這行

  PASS_MIN_LEN 5 改為 PASS_MIN_LEN 8

  login.defs文件是login程序的配置文件。

  4、自動(dòng)注銷帳號(hào)的登錄

  在unix系統(tǒng)中root賬戶是具有最高特權(quán)的。如果系統(tǒng)管理員在離開系統(tǒng)之前忘記注銷root賬戶,那將會(huì)帶來很大的安全隱患,應(yīng)該讓系統(tǒng)會(huì)自動(dòng)注銷。通過修改賬戶中“TMOUT”參數(shù),可以實(shí)現(xiàn)此功能。TMOUT按秒計(jì)算。編輯你的profile文件(vi/etc/profile),在“HISTFILESIZE=”后面加入下面這行:

  TMOUT=300

  300,表示300秒,也就是表示5分鐘。這樣,如果系統(tǒng)中登陸的用戶在5分鐘內(nèi)都沒有動(dòng)作,那么系統(tǒng)會(huì)自動(dòng)注銷這個(gè)賬戶。你可以在個(gè)別用戶的“。bashrc”文件中添加該值,以便系統(tǒng)對(duì)該用戶實(shí)行特殊的自動(dòng)注銷時(shí)間。

  改變這項(xiàng)設(shè)置后,必須先注銷用戶,再用該用戶登陸才能激活這個(gè)功能。

  5、取消普通用戶的控制臺(tái)訪問權(quán)限

  你應(yīng)該取消普通用戶的控制臺(tái)訪問權(quán)限,比如shutdown、reboot、halt等命令。

  # rm -f /etc/security/console.apps/

  是你要注銷的程序名。

  6、取消并反安裝所有不用的服務(wù)

  取消并反安裝所有不用的服務(wù),這樣你的擔(dān)心就會(huì)少很多。察看“/etc/inetd.conf”文件,通過注釋取消所有你不需要的服務(wù)(在該服務(wù)項(xiàng)目之前加一個(gè)“#”)。然后用“sighup”命令升級(jí)“inetd.conf”文件。

  補(bǔ)充:Linux操作系統(tǒng)的基礎(chǔ)安全知識(shí)

  1、基本的系統(tǒng)安全

  安全的磁盤布局

  使用掛裝選項(xiàng)提高文件系統(tǒng)的安全性

  查找并取消文件/目錄的非必要的特殊權(quán)限

  避免安裝不必要的軟件包

  配置軟件包更新的Email通知

  關(guān)閉不必要的服務(wù)

  關(guān)閉IPv6的內(nèi)核功能

3643516