一般情況下用 Linux 做桌面在默認配置下是很安全的，我在一定程度上同意這個說法(很值得商榷的話題)。不過 Linux 內(nèi)置的安全模型和工具做得確實很到位，用戶只需進行簡單的調(diào)整和自定義就可以加強 Linux 服務器安全。

與惡意用戶做斗爭對于所有 Linux 系統(tǒng)管理員來說都是一項艱巨的任務，本文我們將介紹如何加強 Linux 服務器安全的 20 項建議，希望對保護你的系統(tǒng)有所幫助。

1.物理安全

在服務器 BIOS 中禁用光驅(qū)、軟驅(qū)、U盤等可引導的外部設備，并啟用 BIOS 密碼及 GRUB 密碼來限制對系統(tǒng)的物理訪問。

2.磁盤分區(qū)

我們可以通過使用不同的分區(qū)來分散存儲數(shù)據(jù)以獲得更高的數(shù)據(jù)安全性，當發(fā)生任何災難時，由于數(shù)據(jù)是隔離存儲的，會將數(shù)據(jù)損失的幾率降到最低。

3.盡量減少軟件包以減少漏洞

建議管理員盡量避免在 Linux 中安裝非必要的軟件包，而且不要使用來源不明的包，以盡可能的避免程序漏洞。當一個服務出問題時，很可能會波及到其它服務甚至整個系統(tǒng)，所以「非必要的服務就不運行」這是一個鐵則。

對于 CentOS 系統(tǒng)可以使用 chkconfig 來查看運行在 runlevel 3 的服務：

/sbin/chkconfig --list |grep '3:on'

一旦發(fā)現(xiàn)有不需要的服務正常運行，可以使用如下命令禁用：

chkconfig serviceName off

對于使用 RPM 包或 DEB 安裝的服務可以使用 yum 或 apt-get 找出包名稱并用如下命令移除：

yum -y remove package-name

sudo apt-get remove package-name

4.查看網(wǎng)絡偵聽端口

使用 netstat 命令可以看到什么樣的網(wǎng)絡應用正在偵聽哪些端口，找出不必要的程序之后再用上面的方面來處理。

netstat –tulpn

5.使用安全的遠程連接(SSH)

Telnet 和 rlogin 都使用明文的協(xié)議，而且已被證實存在多種已經(jīng)安全漏洞，SSH 是一種安全的協(xié)議，它可以使用加密技術與服務器進行通訊。

非必要時，不要使用 root 賬戶登錄 SSH，要習慣使用 sudo 來切換身份。

SSH 22 端口目標過于明顯，建議大家改成一個不常用的高端口并在 vi /etc/ssh/sshd_config 配置文件中至少配置如下選項：

#禁用root登錄

PermitRootLogin no

#僅允許特定用戶

AllowUsers username

#SSH協(xié)議版本

Protocol 2

6.保持系統(tǒng)更新

盡量始終保持系統(tǒng)內(nèi)核、應用補丁及安全修復處在最新狀態(tài)：

yum updates

yum check-update

7.鎖定定時任務

cron 可以指定哪些用戶可以使用，只需將允許的用戶添加到 /etc/cron.allow 或?qū)⒔玫挠脩籼砑拥?/etc/cron.deny 中即可。如果希望禁用所有用戶使用任務計劃，只需將ALL添加到cron.deny文件當中。

echo ALL >>/etc/cron.deny

8.禁用USB存儲設備檢測

很多時候我們都需要禁用 USB 存儲設備以防數(shù)據(jù)拷出，此時可以創(chuàng)建一個/etc/modprobe.d/no-usb文件并填入如下內(nèi)容即可禁用 USB 存儲設備檢測：

install usb-storage /bin/true

9.啟用SELinux

安全增強型 Linux(SELinux)是在內(nèi)核中提供的強制訪問控制的安全機制。很多網(wǎng)絡文章為了方便配置都建議大家禁用 SELinux 功能，我在這里到是建議大家在考慮關閉 SELinux 前應該三思。

SELinux 提供用戶三種基本操作模式：

Enforcing：啟用和執(zhí)行機器上的 SELinux 策略(默認配置)

Permissive：在此種模式下，SELinux 不會強制執(zhí)行系統(tǒng)上的安全策略，只會產(chǎn)生相應日志和警告。Permissive 模式在 SELinux 排錯時經(jīng)常會乃至。

Disabled：禁用 SELinux 功能

如果你想查看當前系統(tǒng) SELinux 的狀態(tài)可以使用：

sestatus

如果要從禁用狀態(tài)啟用 SELinux 可以使用：

setenforce enforcing

以上配置只對當前系統(tǒng)狀態(tài)有用，重啟會失效。要一勞永逸開關 SELinux 可以更改其配置文件/etc/selinux/config。

10.移除KDE/GNOME桌面

不論你是運行 LAMP 的專屬服務器還是其它類型服務器，KDE 或 GNOME 這樣 X Window 桌面環(huán)境是沒多大必要使用的，禁用之后可以提高服務器性能和增強安全性。使用如下命令即可完全卸載：

yum groupremove "X Window System"

11.禁用IPv6

IPv6 目前還沒有大規(guī)模普及，如果你不使用 IPv6 協(xié)議，可以在 /etc/sysconfig/network 配置文件中將其禁用。

NETWORKING_IPV6=no

IPV6INIT=no

12.限制用戶重復使用舊密碼

很多用戶習慣在強制定期更換密碼時重復循環(huán)使用以前的密碼，這對于服務器管理員來說是一種非常不好的習慣。因此建議大家限制用戶重復使用舊密碼，該功能可以通過 PAM 來實現(xiàn)。

RHEL/CentOS/Fedora：/etc/pam.d/system-auth

Ubuntu/Debian/Linux Mint：/etc/pam.d/common-password

在上述配置文件中的auth區(qū)塊添加一行：

auth ? ? ? ?sufficient ? ?pam_unix.so likeauth nullok

在password區(qū)塊添加一行：

password ? sufficient ? ?pam_unix.so nullok use_authtok md5 shadow remember=5

配置好后，服務器會禁止使用最近 5 個被使用過的用戶密碼。

13.配置密碼過期策略

Linux 中，用戶密碼是被加密存儲到/etc/shadow文件當中的，要配置密碼過期的詳細信息需要用到change命令。例如要查看某個賬戶的密碼過期日期和時間，可以使用如下命令：

chage -l username

要更改密碼過期策略可以使用類似如下命令：

chage -M 60 username

chage -M 60 -m 7 -W 7 username

-M 密碼使用最長天數(shù)

-m 密碼使用最短天數(shù)

-W 密碼過期提示天數(shù)

14.手動鎖定或解鎖賬戶

在不從系統(tǒng)中移除賬戶的情況下，對賬戶進行鎖定和解鎖是非常有用的一個安全手段。需要鎖定一個賬戶時，可以使用如下命令：

passwd -l accountname

賬戶鎖定同樣適用于 root 賬戶，當某賬戶被鎖定時會增加 (!) 字串，賬戶解鎖時移除 (!) 字串。需要解鎖時使用如下命令：

passwd -u accountname

15.強制使用強密碼

弱密碼或用生日密碼之類的密碼太容易被字典和社會工程學攻破了，所以建議大家打開強密碼要求。Linux 中的強密碼要求還是使用 PAM 模塊，只需編輯/etc/pam.d/system-auth文件：

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

16.啟用Iptables

強烈建議大家使用 Iptables 來保護 Linux 服務器安全，Iptables 可以在不同的鏈上配置不同的規(guī)則來處理數(shù)據(jù)包。

17.在Inittab中禁用Ctrl+Alt+Delete

大多數(shù) Linux 發(fā)行版中按下「Ctrl+Alt+Delete」時都會重啟系統(tǒng)，對于 Linux 生產(chǎn)服務器來說，這幾乎是一個白癡設計。如果你希望關閉這個默認重啟功能，可以將/etc/inittab配置文件中的如下兩千注釋掉：

# Trap CTRL-ALT-DELETE

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

18.查看空密碼賬戶

如果系統(tǒng)中存在有權(quán)限的空密碼賬戶，就相當于開了一扇門。所以建議大家仔細清查一下：

cat /etc/shadow | awk -F: '($2==""){print $1}'

19.忽略ICMP或廣播請求

要忽略 ICMP 或廣播請求我們可以編輯/etc/sysctl.conf配置文件：

net.ipv4.icmp_echo_ignore_all = 1

net.ipv4.icmp_echo_ignore_broadcasts = 1

配置文件改好之后使用如下命令載入生效：

sysctl –p

20.定期審查日志

建議大家將日志文件進行專門的集中存放和處理，這樣可以比較有效避免入侵者對日志進行篡改，下面是 Linux 常見的默認日志路徑：

/var/log/message – 系統(tǒng)日志或當前活動日志

/var/log/auth.log – 驗證日志

/var/log/kern.log – 內(nèi)核日志

/var/log/cron.log – 任務計劃日志

/var/log/maillog – 郵件服務器日志

/var/log/boot.log – 系統(tǒng)啟動日志

/var/log/mysqld.log – MySQL 服務器日志

/var/log/secure – 包含驗證和授權(quán)方面信息

/var/log/utmp或/var/log/wtmp – 登錄記錄文件

相關主題

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯，堅持創(chuàng)作打卡瓜分現(xiàn)金大獎

總結(jié)

以上是生活随笔為你收集整理的强行更改linux服务器时间,加强Linux服务器安全的20项建议的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。