首页 > 安全 > 关键词 > Linux服务器安全最新资讯 > 正文

linux服务器安全

2009-11-20 15:17 · 稿源:51CTO

一、系统安全记录文件

操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行“#more /var/log/secure grep refused”来检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。

二、启动和登录安全性

1.BIOS安全IXPUB

设置BIOS密码且修改引导次序禁止从软盘启动系统。

2.用户口令

用户口令是Linux安全的一个基本起点,很多人使用的用户口令过于简单,这等于给侵入者敞开了大门,虽然从理论上说,只要有足够的时间和资源可以利用,就没有不能破解的用户口令,但选取得当的口令是难于破解的。较好的用户口令是那些只有他自己容易记得并理解的一串字符,并且绝对不要在任何地方写出来。

3.默认账号

应该禁止所有默认的被操作系统本身启动的并且不必要的账号,当您第一次安装系统时就应该这么做,Linux提供了很多默认账号,而账号越多,系统就越容易受到攻击。

可以用下面的命令删除账号。

[root@server /]# userdel 用户名

或者用以下的命令删除组用户账号。

[root@server /]# groupdel username

4.口令文件

chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。

[root@server /]# chattr +i /etc/passwd

[root@server /]# chattr +i /etc/shadow

[root@server /]# chattr +i /etc/group

[root@server /]# chattr +i /etc/gshadow

5.禁止Ctrl+Alt+Delete重新启动机器命令

修改/etc/inittab文件,将“ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉。然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限,运行如下命令:

[root@server /]# chmod -R 700 /etc/rc.d/init.d/*

这样便仅有root可以读、写或执行上述所有脚本文件。

6.限制su命令

如果您不想任何人能够su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=isd

这时,仅isd组的用户可以su作为root。此后,如果您希望用户admin能够su作为root,可以运行如下命令:

[root@server /]# usermod -G10 admin

7.删减登录信息

默认情况下,登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。

# This will overwrite /etc/issue at every boot. So, make any changes you

# want to make to /etc/issue here or you will lose them when you reboot.

# echo “” 》 /etc/issue

# echo “$R” 》》 /etc/issue

# echo “Kernel $(uname -r) on $a $(uname -m)” 》》 /etc/issue

# cp -f /etc/issue /etc/issue.net

# echo 》》 /etc/issue

然后,进行如下操作:

[root@server /]# rm -f /etc/issue

[root@server /]# rm -f /etc/issue.net

[root@server /]# touch /etc/issue

[root@server /]# touch /etc/issue.net

8.设置Grub密码

[root@server share]# grub-md5-crypt

Password: //输入密码

Retype password: //输入确认密码

$1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0

vim /boot/grub/grub.conf

添加一行:password $1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0

三、限制网络访问

1.NFS访问如果您使用NFS网络文件系统服务,应该确保您的/etc/exports具有最严格的访问权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。

/dir/to/export host1.mydomain.com(ro,root_squash)

/dir/to/export host2.mydomain.com(ro,root_squash)

/dir/to/export 是您想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。

[root@server /]# /usr/sbin/exportfs -a

2.Inetd设置

首先要确认/etc/inetd.conf的所有者是root,且文件权限设置为600。设置完成后,可以使用“stat”命令进行检查。

[root@server /]# chmod 600 /etc/inetd.conf

然后,编辑/etc/inetd.conf禁止以下服务。

ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth

如果您安装了ssh/scp,也可以禁止掉Telnet/FTP。为了使改变生效,运行如下命令:

[root@server /]# killall -HUP inetd

默认情况下,多数Linux系统允许所有的请求,而用TCP_WRAPPERS增强系统安全性是举手之劳,您可以修改/etc/hosts.deny和 /etc/hosts.allow来增加访问限制。例如,将/etc/hosts.deny设为“ALL: ALL”可以默认拒绝所有访问。然后在/etc/hosts.allow文件中添加允许的访问。例如,“sshd: 192.168.1.10/255.255.255.0 gate.openarch.com”表示允许IP地址192.168.1.10和主机名gate.openarch.com允许通过SSH连接。

配置完成后,可以用tcpdchk检查:

[root@server /]# tcpdchk

tcpchk是TCP_Wrapper配置检查工具,它检查您的tcp wrapper配置并报告所有发现的潜在/存在的问题。

3.登录终端设置

/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,您可以编辑/etc/securetty且注释掉如下的行。

# tty1

# tty2

# tty3

# tty4

# tty5

# tty6

这时,root仅可在tty1终端登录。

4.避免显示系统和版本信息。

如果您希望远程登录用户看不到系统和版本信息,可以通过一下操作改变/etc/inetd.conf文件:

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -

加-h表示telnet不显示系统信息,而仅仅显示“login:”。

5.不允许root用户登录服务器

[root@server /]# vim /etc/ssh/sshd_config

修改:PermitRootLogin no

四、防止攻击

1.阻止ping 如果没人能ping通您的系统,安全性自然增加了。

[root@server /]# vim /etc/sysctl.conf

添加:net.ipv4.icmp_echo_ignore_all = 1

[root@server /]# sysctl -p

2.防止IP欺骗

编辑host.conf文件并增加如下几行来防止IP欺骗攻击。

order bind,hosts

multi off

nospoof on

3.防止DoS攻击

对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如,可以在

[root@server /]# vim /etc/security/limits.conf中添加如下几行:

* hard core 0

* hard rss 5000

* hard nproc 20

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。

session required /lib/security/pam_limits.so

上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB。

本文出自 “阿狼” 博客,请务必保留此出处http://alang85.blog.51cto.com/63107/229128

本文出自 51CTO.COM技术博客

网友热搜:

  • 相关推荐
  • 大家在看
  • linux系统入门用什么书好

    有朋友问我为何学习Linux,其实我刚开始学习时也有这个疑问,不知道它的用处何在,它的优点何在,就会有这样的疑问,只是看到好多人都在学习,很好奇,自己也想学一下,但又不知道为何要学它。后来我就在网上和图书馆找Linux相关的知识和书籍,对其知识有了全面的了解后决定是不是要学习,就不会盲目跟风,明白自己为何要学习是很重要的。言归正传,为何要学习Linux呢,首先了解一下Linux,它是一套可以供大家免费使用的类Unix操作

  • linux系统入门用什么书好

    有朋友问我为何学习Linux,其实我刚开始学习时也有这个疑问,不知道它的用处何在,它的优点何在,就会有这样的疑问,只是看到好多人都在学习,很好奇,自己也想学一下,但又不知道为何要学它。后来我就在网上和图书馆找Linux相关的知识和书籍,对其知识有了全面的了解后决定是不是要学习,就不会盲目跟风,明白自己为何要学习是很重要的。言归正传,为何要学习Linux呢,首先了解一下Linux,它是一套可以供大家免费使用的类Unix操作

  • 最强蜗牛服务器无响应详细解决办法 三种办法解决服务器无响应

    最强蜗牛经常的会碰到服务器无响应的情况,那么遇到这样的情况怎么办呢?下面就来为大家分享一下最强蜗牛服务器无响应详细解决办法。

  • 外媒:英伟达AMD服务器芯片销量正在增加

    【TechWeb】6月30日消息,据国外媒体报道,数据中心、云计算等领域的需求,也带动了服务器销量的增长,进而也拉升了服务器相关芯片销量的提升。外媒在最新的报道中就表示,英伟达、AMD这两大厂商服务器芯片的销量,正在增加,他们对未来也非常乐观。英伟达服务器相关芯片的业绩,在他们的财报中体现在数据中心这一业务上,这一业务2020财年的营收为29.83亿美元,在英伟达营收中所占的比重,由上一财年的25%提升到了27.4%。而在截?

  • Win10新预览版19645推送:修复中文输入法无法切换、Linux内核从镜像剥离

    今晨,微软面向快速通道(Fast Ring)的Insider会员推送新预览版,操作系统版本号Build 19645。经查,Build 19645属于mn_release分支,在微软切换到rs_prerelease之前,我们的确很难看到新功能

  • 周杰伦新单曲《Mojito》导致QQ音乐服务器崩溃

    DoNews 6月12日消息(记者 刘文轩)今天凌晨,周杰伦最新单曲《Mojito》在QQ音乐、酷狗音乐、酷我音乐上线。上线后不久,QQ音乐服务器似乎开始出现崩溃的情况,有用户在QQ音乐官方微博下留言反馈了这一情况。从用户发布的截图可以看出,用户在付费购买这张单曲的时候,会被提示“购买过程中由于网络异常导致失败,系统未扣费,请尝试重新购买”。这并不是周杰伦第一次把QQ音乐搞到崩溃,早在去年9月,周杰伦的单曲《说好不哭》上线

  • 2个月构建一个Go服务器,他通过众筹获得14万元

    Kaya.gs是使用Go语言构建的一个服务器,它的创始人Gabriel Benmergui仅用 2 个月的时间就完成该产品的构建及启动,并在随后几个月的时间内容通过众筹活动筹集了 2 万美元。然而,投入运行 1 年后,Kaya.gs就被迫关闭了。

  • 感天动地却终究没法感动你!买199台服务器也没能让一个土豪脱单

    从前有一个年轻的土豪,他喜欢看直播,看美女,大学没读完就在家天天刷DOUYIN,家里怕他出去调皮。。这一天,他突然觉得无聊了,觉得这样每天打赏下去,就算不会坐吃山空,也会要么被主播害死,要么被老爸打死。于是他想做点什么正经事情了。他想多认识年轻漂亮的女孩,他渴望交友,于是他想做个交友的APP。比如MOMO这样的。做个APP,需要办执照,注册公司,办ICP,等等。他找来了平时的酒肉朋友,朋友告他除了办这些证照外,还需?

  • 猿辅导招聘服务器端研发工程师(JAVA)诚邀技术大拿

    猿辅导是一家在线教育领域的互联网公司,众所周知互联网公司最重要的岗位非程序员莫属,猿辅导也不例外,近日猿辅导招聘服务器端研发工程师(JAVA)正如火如荼的进行着。猿辅导可以为工程师们提供舒适的工作环境以便大家可以大显身手。猿辅导望京办公楼猿辅导的这份工作主要内容是负责猿辅导主app相关产品服务器端的开发,而且作为一名有经验的研发工程师,你还需要指导新人进行开发。猿辅导的办公环境对于这个岗位,猿辅导有相应?

  • 华为发布新一代智能服务器,携手英特尔加速智能计算前行

    今天,华为在深圳发布了新一代FusionServer Pro V6 智能服务器,首款推出FusionServer Pro 2488H V6 四路机架服务器。相比上一代FusionServer Pro V5 搭配的第二代英特尔?至强?可扩展处理器,新一代FusionServer Pro V6 搭配了第三代英特尔?至强?可扩展处理器,并支持最新英特尔?傲腾?持久内存。 自 2019 年华为将FusionServer服务器全面升级为FusionServer Pro智能服务器以来,该产品线已连续推出两代新品,华为一直紧跟英特尔技

  • 制造商消息人士:云服务器需求未来一年半依旧强劲

    6月3日消息,据国外媒体报道,智能手机等诸多产品及服务的出货量和市场需求都受到了影响,但笔记本电脑、处理器、在线教育、云计算等产品和服务的需求,却有一定程度的提升。外媒最新的报道显示,云服务器也是需求有增长的一个领域,需求依旧强劲,未来一段时间的出货量也将高速增长。外媒是援引服务器制造领域消息人士透露的消息,报道云服务器需求强劲、出货辆将高速增长的。这一服务器制造领域的消息人士表示,云服

  • 浪潮发布了两款M6系列四路服务器,支持最新的第三代Intel Xeon可扩展处理器

    [TechWeb]全球领先的IT基础架构提供商浪潮(Inspur)发布了两款M6系列四路服务器,支持最新的第三代Intel Xeon可扩展处理器,其中包括针对云方案进行了优化的2U四路服务器NF8260M6和四路4U四路服务器NF8480M6。传统企业客户的关键任务应用场景的服务器。第三代Intel Xeon可扩展处理器支持四路和八路服务器,单个CPU最多可支持28个内核。主流CPU首次支持Bfloat16数字格式,以增强AI深度学习性能和计算速度。同时,在云计算,内存数

  • 联想“关键先生”闪亮登场,全新四路服务器加速企业智能化转型

    联想企业科技集团于今日正式推出ThinkSystem SR850 V2 和SR860 V2 两款四路服务器。作为联想ThinkSystem系列最新的高端产品,全新升级至英特尔第三代至强可扩展处理器的SR850 V2 和SR860 V2 能凭借无与伦比的性能、扩展性和可靠性为企业的智能化转型开拓全新路径。在“新基建”引发的智能化转型大潮中,对数据的分析、处理和利用已经成为企业在当下和未来取得成功的重要因素,再加上数据量爆炸式增长的现状,让企业对服务器产品提?

  • IDC:全球通用服务器厂商一季度收入为168.4亿美元

    日前,IDC发布了《 2020 年第 1 季度全球x86 服务器市场追踪报告》。报告显示,一季度,全球通用服务器厂商收入为168. 4 亿美元,同比下降9.1%,出货量为 250 万台,同比下降0.2%。戴尔、HPE和浪潮仍占据市场前三把交椅。

  • 助力中小型企业 联想企业科技集团推出ThinkServer TS80X服务器

    6 月 10 日,联想企业科技集团宣布推出新款塔式服务器Lenovo ThinkServer TS80X,持续以客户为中心赋能中小企业数字化转型。作为联想ThinkServer家族的最新成员,TS80X将完整强悍的服务能力精炼至18.5L的小巧身材中,旨在以最高性价比成为中小企业客户入门级服务器的不二之选。联想ThinkServer TS80X塔式服务器中小企业成中国经济脊梁 数字化转型助力度过难关在中国,中小企业的地位正变得越来越重要,数据显示,目前我国的中小企?

  • 滴滴云AI大师码:4321,购买滴滴云GPU云服务器享9折优惠

    滴滴云GPU云服务器提供了P4、P40、P100 和T4 四种机型,适用于深度学习推理/预测、深度学习训练、图像处理、浮点高性能计算、视频编解码等应用场景;滴滴云GPU云服务器具有超高性价比,价格优势明显。购买滴滴云GPU云服务器之前,可以输入AI大师码,有 9 折优惠。下面我就分享一下滴滴云AI大师码。滴滴云AI大师推荐码,购买滴滴云GPU云服务器享 9 折优惠。用户购买滴滴云GPU云服务器的时候,输入AI大师码:4321,即可享受 9 折优惠

  • 亿速云618大促送100元无门槛红包 云服务器最低2折

    疫情后首个618购物节即将来临,亿速云今年的618年中大促可谓火力全开,连云服务器2折这样的超值活动都出现了!正所谓早买晚买都是买,趁着活动入手高配置的云服务器,这个才是属于618的快乐啊!还有一天6场夺红包活动,100元无门槛红包免费送哦!除了云服务器外,亿速云一系列的热门云产品也有限量特惠,如海外云、云数据库、CDN、裸金属服务器、短信产品等。 话不多说,直接上优惠! 爆款一型华北云服务器: 2核CPU,内存2G,5M ?

  • 西部数码年中钜惠:云服务器1.6折起,域名5元起,SSL证书5折购

    它来了它来了!西部数码的618年中大促带着满满的诚意和优惠终于来啦!不必等到6月18日,也不必计算复杂的满减折上折,活动规则简单明了,产品优惠实实在在。今天起,即可参与西部数码618云钜惠——超多爆款限量抢,2核2G云服务器3年仅需999元!买代金券获赠20%京东购物卡!活动时间:2020年6月5日—6月19日活动入口:https://www.west.cn/active/20618/爆款产品限时抢购区活动期间,新用户(从未购买过西部数码主机产品且完成实名?

  • Xbox智能分发是什么 Smart Delivery有哪些服务

    微软游戏业务部门Xbox在近日公布了一个全新的服务——智能分发(Smart Delivery),这一个将上一代主机游戏延续到次世代主机的服务,具体服务内容是什么呢,我们来一起看下。

  • 新天域互联Q3钜惠 香港服务器E3/E5首三月半价

    即将到来的“6.18”购物节,对于想部署香港服务器的企业而言不失为好时机,香港IDC新天域互联现推出Q3 季度优惠,针对市场对E3 及E5 机型的需求给予首三个月半价,而且对SSD或RAM进行免费升级(二选一)。另外,还有I机、MacOS服务器等其他活动选项。疫情期间,服务器承担企业绝大部分的业务负荷,其自身性能以及相关配置将直接影响终端用户的使用体验,并且对业务数据化的效率产生主要作用。然而服务器并非一次性的消费型资产,企

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议