热门标签 | HotTags
当前位置:  开发笔记 > 运维 > 正文

教你如何强化Linux安全!

文章标题:教你如何强化Linux安全!。Linux是中国IT实验室的一个技术频道。包含桌面应用,Linux系统管理,内核研究,嵌入式系统和开源等一些基本分类

    时常有人说,Linux比Windows更安全。但与网络连接的任何计算机是不可能绝对安全的。

    正如我们需要经常注意院子的围墙是否坚固一样,对操作系统也需要我们经常维护和强化。在此,我们仅谈论几个用户可以用来强化系统的大体步骤。

    本文重点谈的是如何强化的问题,不过在开始强化之前,用户需要对以下三个问题有一个清醒的认识,一个问题是这个系统用于什么目的,二是它需要运行哪些软件,三是用户需要防护哪些漏洞或威胁。这三个问题依次为因果关系,即前一个问题是后一个问题的原因,后一个问题是前一个的结果。

    从零开始

    从一个已知的安全状态开始强化一个系统是完全可能的,但在实际上这种强化也可以从一个“裸体”系统开始。这意味着用户将拥有对系统盘重新分区的机会,将所有的数据文件与操作系统文件分离开来未尝不是一个谨慎的安全措施。

    下一步是配置一个最小的安装,当然得让系统启动,然后添加必要的能够完成工作的程序包。这一步很关键。为什么需要最少化安装呢?原因在于机器中的代码越少,可被利用的漏洞就会越少:谁也无法利用并不存在的漏洞,是不是?你还需要给操作系统打补丁,并且还得给运行在这个系统上的所有应用程序打补丁。

    不过,要注意,如果有人能够从物理上接近所访问的机器,他就有可能从光盘或其它媒体启动计算机,并获取系统的访问权。因此,用户最好配置一下系统的BIOS,限制仅能从硬盘启动,并且要用一个强健的口令来保护这种设置。

    下一步是编译一下自己的系统内核,这里还是要强调仅包含那些你需要的部分。一旦你自己定制的系统构建完毕,重新启动进入内核,那你所拥有内核的被攻击的可能性将极大地减少。但强化系统的方法不限于此,好戏还在后头。

    减少服务

    运行了经过瘦身的系统之后,下一步就是要确保仅运行你需要的服务。到现在为止,用户已经清除了许多服务,但还有可能有许多服务仍在后台运行。用户需要在多个地方找到这些服务,如/etc/init.d 和 /etc/rc.d/rc.local等包含多种启动进程的位置,要检查由cron所启动的一切东西。用户还可以用netstat或Nmap等程序检查监听套接字。比如,许多用户需要禁用的服务可能包括网络文件系统(samba)、远程访问服务等。

    当然不能一概而论,如果你确实需要某些服务,就要设法限制它对系统其余部分的潜在破坏性作用,要尽可能让其在自己的chroot路径中运行,使其与文件系统的其余部分相分离。

    重视许可问题

    作为用户或管理人员,必须要保证任何用户都不能执行其不必要的程序或打开不必要文件。管理员应当审计整个系统,并将每个文件的许可减少到最小的可行程度。我们的目标是任何人都不能读取或写入与其无关的文件。此外,还应当对所有的敏感数据加密。

    进一步讲,管理员要保证拥有一个安全的root口令,而且知道此口令的人越少越好,只有这样,才能保障任何人都无法访问他们不应当访问的账户。还要保障用户登录信息的最新,要坚持口令的到期时间等策略问题。此外,清除预先提供的账户也是很聪明的做法,或者至少要改变默认的口令。

    需要强调的是,安全是一个过程而非一个临时性的活儿。这就意味着,管理人员应当监视并进一步强化系统,特别是需要监视系统日志,要以尽可能快的速度为系统打补丁。还要关注安全咨讯,在获知最新的漏洞后,能尽快地应对之。所以本文并不能全面解决Linux安全,而是向用户展示强化系统的一些可能性。

    如果你是一个linux用户或管理者,应当采取一些步骤使其更安全,但这有可能降低系统效率。所以关键是找到一个恰当的平衡点。

 


推荐阅读
  • 随着Linux操作系统的广泛使用,确保用户账户及系统安全变得尤为重要。用户密码的复杂性直接关系到系统的整体安全性。本文将详细介绍如何在CentOS服务器上自定义密码规则,以增强系统的安全性。 ... [详细]
  • 吴石访谈:腾讯安全科恩实验室如何引领物联网安全研究
    腾讯安全科恩实验室曾两次成功破解特斯拉自动驾驶系统,并远程控制汽车,展示了其在汽车安全领域的强大实力。近日,该实验室负责人吴石接受了InfoQ的专访,详细介绍了团队未来的重点方向——物联网安全。 ... [详细]
  • 在测试软件或进行系统维护时,有时会遇到电脑蓝屏的情况,即便使用了沙盒环境也无法完全避免。本文将详细介绍常见的蓝屏错误代码及其解决方案,帮助用户快速定位并解决问题。 ... [详细]
  • 本文探讨了使用Python实现监控信息收集的方法,涵盖从基础的日志记录到复杂的系统运维解决方案,旨在帮助开发者和运维人员提升工作效率。 ... [详细]
  • 本文探讨了服务器系统架构的性能评估方法,包括性能评估的目的、步骤以及如何选择合适的度量标准。文章还介绍了几种常用的基准测试程序及其应用,并详细说明了Web服务器性能评估的关键指标与测试方法。 ... [详细]
  • 如何高效渲染JSON数据
    本文介绍了在控制器中返回JSON结果的方法,并详细说明了如何利用jQuery处理和展示这些数据,为Web开发提供了实用的技巧。 ... [详细]
  • Win10管理员权限安装问题解决方案
    本文提供了解决在Win10系统中以管理员身份安装软件遇到权限不足问题的详细步骤。 ... [详细]
  • Java虚拟机及其发展历程
    Java虚拟机(JVM)是每个Java开发者日常工作中不可或缺的一部分,但其背后的运作机制却往往显得神秘莫测。本文将探讨Java及其虚拟机的发展历程,帮助读者深入了解这一关键技术。 ... [详细]
  • WebBenchmark:强大的Web API性能测试工具
    本文介绍了一款名为WebBenchmark的Web API性能测试工具,该工具不仅支持HTTP和HTTPS服务的测试,还提供了丰富的功能来帮助开发者进行高效的性能评估。 ... [详细]
  • 本文回顾了作者在求职阿里和腾讯实习生过程中,从最初的迷茫到最后成功获得Offer的心路历程。文中不仅分享了个人的面试经历,还提供了宝贵的面试准备建议和技巧。 ... [详细]
  • 服务器虚拟化存储设计,完美规划储存与资源,部署高性能虚拟化桌面
    规划部署虚拟桌面环境前,必须先估算目前所使用实体桌面环境的工作负载与IOPS性能,并慎选储存设备。唯有谨慎估算贴近实际的IOPS性能,才能 ... [详细]
  • 3DSMAX制作超现实的体育馆模型
    这篇教程是向脚本之家的朋友介绍3DSMAX制作超现实的体育馆模型方法,教程制作出来的体育馆模型非常地不错,不过教程有点难度,需要有一定基础的朋友学习,推荐到脚本之家,喜欢的朋友可 ... [详细]
  • 默认情况下,Git 使用 Nano 编辑器进行提交信息的编辑,但如果您更喜欢使用 Vim,可以通过简单的配置更改来实现这一变化。本文将指导您如何通过修改全局配置文件来设置 Vim 作为默认的 Git 提交编辑器。 ... [详细]
  • 解决Win10 1709版本文件共享安全警告问题
    每当Windows 10发布新版本时,由于兼容性问题往往会出现各种故障。近期,一些用户在升级至1709版本后遇到了无法访问共享文件夹的问题,系统提示‘文件共享不安全,无法连接’。本文将提供多种解决方案,帮助您轻松解决这一难题。 ... [详细]
  • 对于初学者而言,搭建一个高效稳定的 Python 开发环境是入门的关键一步。本文将详细介绍如何利用 Anaconda 和 Jupyter Notebook 来构建一个既易于管理又功能强大的开发环境。 ... [详细]
author-avatar
狗血饭团联_367
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有