Linux怎么設置安全管理
對于Linux管理用戶來說,系統(tǒng)的安全也是至關(guān)重要的�����。那么Linux怎么設置安全管理呢?接下來大家跟著我一起來了解一下Linux設置安全管理的解決 方法 吧。
成都創(chuàng)新互聯(lián)公司是一家專注于網(wǎng)站設計�、成都網(wǎng)站建設與策劃設計,錦江網(wǎng)站建設哪家好?成都創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設十多年,網(wǎng)設計領(lǐng)域的專業(yè)建站公司;建站業(yè)務涵蓋:錦江等地區(qū)。錦江做網(wǎng)站價格咨詢:18982081108
Linux設置安全管理方法
1.引導程序安全
Linux系統(tǒng)的root密碼是很容易的��,當然前提是你沒有設置引導程序密碼���,如GRUB或LILO�,為了防止通過引導程序破譯root密碼����,強烈建議設置GRUB或LILO的引導密碼,可以編輯其配置文件/etc/grub.conf或/etc/lilo.conf����,設置password參數(shù)。
2.不安全權(quán)限設置
大家常見的Linux下文件權(quán)限是r w x���,其實還有一種權(quán)限叫s��,如果給某個文件賦予的s權(quán)限���,那么這個文件在執(zhí)行的時候就會擁有相應宿主用戶或宿主組用戶的權(quán)限����,例如:
#chmod u+s testfile
#ls -la testfile
rwsr----- root root 10 testfile
這樣��,當這個文件被 其它 用戶執(zhí)行的時候�����,此用戶就具有了此文件宿主用戶root的對testfile的執(zhí)行權(quán)限����。類似,當文件的宿主組具有s權(quán)限后����,執(zhí)行此文件的用戶就具有了此文件宿主組用戶對此文件的權(quán)限,這是相當危險的��。
大家可以試想下�����,如果命令chmod的文件被賦予了s權(quán)限�����,那么其它用戶還有什么事情是不能做的呢?那它就可以更改任何文件的權(quán)限了����,當然,s權(quán)限需要和x權(quán)限結(jié)合使用���,沒有x權(quán)限的s權(quán)限是沒有任何意義的���。
3.自動注銷
當某個用戶使用服務器后忘記注銷,也是很危險的事情�����,此時����,管理員可以設置/etc/profile文件的timeout參數(shù),當用戶一段時間不做任何操作時�����,系統(tǒng)自動注銷此用戶。
4. 設置口令復雜度
為了防止系統(tǒng)用戶口令過于簡單而被破譯��,可以編輯/etc/login.defs文件���,設置系統(tǒng)用戶口令復雜度�����,例如口令最長���,最短,過期時間等�。
5.禁止不必要用戶登陸系統(tǒng)
為了防止其它非系統(tǒng)用戶登陸系統(tǒng),可以在添加用戶時�,賦予此用戶不存在的主目錄和不存在的shell環(huán)境,當然����,最好還更改/etc/passwd和/etc/shadow兩個文件的訪問權(quán)限,使之后root用戶可以訪問����。
Linux系統(tǒng)特點就是因為它是一款免費傳播類 操作系統(tǒng) ���,使其具有服務器應有的天然特性,但也正是因為有這些特性��,所以在管理不當?shù)那闆r下����,也會造成很嚴重的安全性問題�,所以我們的好好使用它,保護它!
如何做好網(wǎng)絡安全管理�?
第一、物理安全
除了要保證要有電腦鎖之外����,我們更多的要注意防火,要將電線和網(wǎng)絡放在比較隱蔽的地方�。我們還要準備UPS,以確保網(wǎng)絡能夠以持續(xù)的電壓運行�����,在電子學中��,峰值電壓是一個非常重要的概念���,峰值電壓高的時候可以燒壞電器�����,迫使網(wǎng)絡癱瘓����,峰值電壓最小的時候,網(wǎng)絡根本不能運行�����。使用UPS可以排除這些意外���。另外我們要做好防老鼠咬壞網(wǎng)線���。
第二、系統(tǒng)安全(口令安全)
我們要盡量使用大小寫字母和數(shù)字以及特殊符號混合的密碼��,但是自己要記住��,我也見過很多這樣的網(wǎng)管���,他的密碼設置的的確是復雜也安全�,但是經(jīng)常自己都記不來,每次都要翻看筆記本��。另外我們最好不要使用空口令或者是帶有空格的��,這樣很容易被一些黑客識破��。
我們也可以在屏保�����、重要的應用程序上添加密碼����,以確保雙重安全���。
第三����、打補丁
我們要及時的對系統(tǒng)補丁進行更新��,大多數(shù)病毒和黑客都是通過系統(tǒng)漏洞進來的�,例如今年五一風靡全球臭名昭著的振蕩波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進來的。所以我們要及時對系統(tǒng)和應用程序打上最新的補丁��,例如IE����、OUTLOOK、SQL���、OFFICE等應用程序���。
另外我們要把那些不需要的服務關(guān)閉,例如TELNET��,還有關(guān)閉Guset帳號等��。
第四��、安裝防病毒軟件
病毒掃描就是對機器中的所有文件和郵件內(nèi)容以及帶有.exe的可執(zhí)行文件進行掃描�,掃描的結(jié)果包括清除病毒,刪除被感染文件����,或?qū)⒈桓腥疚募筒《痉旁谝慌_隔離文件夾里面。所以我們要對全網(wǎng)的機器從網(wǎng)站服務器到郵件服務器到文件服務器知道客戶機都要安裝殺毒軟件��,并保持最新的病毒定義碼。我們知道病毒一旦進入電腦�,他會瘋狂的自我復制,遍布全網(wǎng)�,造成的危害巨大,甚至可以使得系統(tǒng)崩潰��,丟失所有的重要資料����。所以我們要至少每周一次對全網(wǎng)的電腦進行集中殺毒,并定期的清除隔離病毒的文件夾����。
現(xiàn)在有很多防火墻等網(wǎng)關(guān)產(chǎn)品都帶有反病毒功能,例如netscreen總裁謝青旗下的美國飛塔Fortigate防火墻就是����,她具有防病毒的功能�����。
第五�����、應用程序
我們都知道病毒有超過一半都是通過電子郵件進來的,所以除了在郵件服務器上安裝防病毒軟件之外��,還要對PC機上的outlook防護��,我們要提高警惕性��,當收到那些無標題的郵件�,或是你不認識的人發(fā)過來的,或是全是英語例如什么happy99�,money,然后又帶有一個附件的郵件�,建議您最好直接刪除,不要去點擊附件�����,因為百分之九十以上是病毒��。我前段時間就在一個政府部門碰到這樣的情況�,他們單位有三個人一直收到郵件,一個小時竟然奇跡般的收到了2000多封郵件���,致使最后郵箱爆破��,起初他們懷疑是黑客進入了他們的網(wǎng)絡���,最后當問到這幾個人他們都說收到了一封郵件���,一個附件,當去打開附件的時候�����,便不斷的收到郵件了����,直至最后郵箱撐破。最后查出還是病毒惹的禍����。
除了不去查看這些郵件之外,我們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能�。
很多黑客都是通過你訪問網(wǎng)頁的時候進來的,你是否經(jīng)常碰到這種情況�����,當你打開一個網(wǎng)頁的時候��,會不斷的跳出非常多窗口�,你關(guān)都關(guān)不掉,這就是黑客已經(jīng)進入了你的電腦���,并試圖控制你的電腦���。
所以我們要將IE的安全性調(diào)高一點,經(jīng)常刪除一些cookies和脫機文件�����,還有就是禁用那些Active X的控件����。
第六、代理服務器
代理服務器最先被利用的目的是可以加速訪問我們經(jīng)?��?吹木W(wǎng)站�����,因為代理服務器都有緩沖的功能�����,在這里可以保留一些網(wǎng)站與IP地址的對應關(guān)系��。
要想了解代理服務器�,首先要了解它的工作原理:
環(huán)境:局域網(wǎng)里面有一臺機器裝有雙網(wǎng)卡,充當代理服務器��,其余電腦通過它來訪問網(wǎng)絡�����。
1��、內(nèi)網(wǎng)一臺機器要訪問新浪��,于是將請求發(fā)送給代理服務器��。
2�����、代理服務器對發(fā)來的請求進行檢查���,包括題頭和內(nèi)容���,然后去掉不必要的或違反約定的內(nèi)容���。
3��、代理服務器重新整合數(shù)據(jù)包�����,然后將請求發(fā)送給下一級網(wǎng)關(guān)��。
4��、新浪網(wǎng)回復請求����,找到對應的IP地址。
5����、代理服務器依然檢查題頭和內(nèi)容是否合法,去掉不適當?shù)膬?nèi)容����。
6、重新整合請求�����,然后將結(jié)果發(fā)送給內(nèi)網(wǎng)的那臺機器。
由此可以看出��,代理服務器的優(yōu)點是可以隱藏內(nèi)網(wǎng)的機器�,這樣可以防止黑客的直接攻擊,另外可以節(jié)省公網(wǎng)IP����。缺點就是每次都要經(jīng)由服務器,這樣訪問速度會變慢����。另外當代理服務器被攻擊或者是損壞的時候,其余電腦將不能訪問網(wǎng)絡���。
第七��、防火墻
提到防火墻�����,顧名思義�����,就是防火的一道墻�����。防火墻的最根本工作原理就是數(shù)據(jù)包過濾���。實際上在數(shù)據(jù)包過濾的提出之前,都已經(jīng)出現(xiàn)了防火墻�����。
數(shù)據(jù)包過濾�,就是通過查看題頭的數(shù)據(jù)包是否含有非法的數(shù)據(jù),我們將此屏蔽��。
舉個簡單的例子�,假如體育中心有一場劉德華演唱會,檢票員坐鎮(zhèn)門口����,他首先檢查你的票是否對應,是否今天的���,然后撕下右邊的一條�����,將剩余的給你�,然后告訴你演唱會現(xiàn)場在哪里,告訴你怎么走�。這個基本上就是數(shù)據(jù)包過濾的工作流程吧。
你也許經(jīng)常聽到你們老板說:要增加一臺機器它可以禁止我們不想要的網(wǎng)站����,可以禁止一些郵件它經(jīng)常給我們發(fā)送垃圾郵件和病毒等,但是沒有一個老板會說:要增加一臺機器它可以禁止我們不愿意訪問的數(shù)據(jù)包��。實際意思就是這樣���。接下來我們推薦幾個常用的數(shù)據(jù)包過濾工具�����。
系統(tǒng)與服務器安全管理
Windows 2000 Server��、Freebsd是兩種常見的服務器�����。第一種是微軟的產(chǎn)品�,方便好用,但是�����,你必須要不斷的patch它���。Freebsd是一種優(yōu)雅的操作系統(tǒng),它簡潔的內(nèi)核和優(yōu)異的性能讓人感動�。關(guān)于這幾種操作系統(tǒng)的安全,每種都可以寫一本書�����。我不會在這里對它們進行詳細描述����,只講一些系統(tǒng)初始化安全配置。
Windows2000 Server的初始安全配置
Windows的服務器在運行時���,都會打開一些端口���,如135、139�、445等����。這些端口用于Windows本身的功能需要�����,冒失的關(guān)閉它們會影響到Windows的功能�����。然而�,正是因為這些端口的存在,給Windows服務器帶來諸多的安全風險�。遠程攻擊者可以利用這些開放端口來廣泛的收集目標主機信息,包括操作系統(tǒng)版本���、域SID����、域用戶名�、主機SID、主機用戶名�、帳號信息、網(wǎng)絡共享信息����、網(wǎng)絡時間信息����、Netbios名字����、網(wǎng)絡接口信息等,并可用來枚舉帳號和口令����。今年8月份和9月份�����,微軟先后發(fā)布了兩個基于135端口的RPCDCOM漏洞的安全公告�,分別是MS03-026和 MS03-039,該漏洞風險級別高�����,攻擊者可以利用它來獲取系統(tǒng)權(quán)限�。而類似于這樣的漏洞在微軟的操作系統(tǒng)中經(jīng)常存在。
解決這類問題的通用方法是打補丁�,微軟有保持用戶補丁更新的良好習慣�����,并且它的Windows2000SP4安裝后可通過WindowsUpdate來自動升級系統(tǒng)補丁���。另外,在防火墻上明確屏蔽來自因特網(wǎng)的對135-139和445�����、593端口的訪問也是明智之舉��。
Microsoft的SQLServer數(shù)據(jù)庫服務也容易被攻擊�����,今年3月份盛行的SQL蠕蟲即使得多家公司損失慘重��,因此����,如果安裝了微軟的'SQLServer,有必要做這些事:1)更新數(shù)據(jù)庫補?��?����;2)更改數(shù)據(jù)庫的默認服務端口(1433)�;3)在防火墻上屏蔽數(shù)據(jù)庫服務端口;4)保證 sa口令非空��。
另外��,在Windows服務器上安裝殺毒軟件是絕對必須的��,并且要經(jīng)常更新病毒庫����,定期運行殺毒軟件查殺病毒。
不要運行不必要的服務����,尤其是IIS�,如果不需要它,就根本不要安裝�。IIS歷來存在眾多問題,有幾點在配置時值得注意:1)操作系統(tǒng)補丁版本不得低于SP3;2)不要在默認路徑運行WEB(默認是c:inetpubwwwroot)���;3)以下ISAPI應用程序擴展可被刪掉:���。 ida.idq.idc .shtm .shtml .printer���。
Freebsd的初始安全配置
Freebsd在設計之初就考慮了安全問題,在初次安裝完成后��,它基本只打開了22(SSH)和25(Sendmail)端口�����,然而��,即使是 Sendmail也應該把它關(guān)閉(因為歷史上Sendmail存在諸多安全問題)��。方式是編輯/etc/rc.conf文件���,改動和增加如下四句:
sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"
這樣就禁止了Sendmail的功能�����,除非你的服務器處于一個安全的內(nèi)網(wǎng)(例如在防火墻之后并且網(wǎng)段中無其他公司主機)����,否則不要打開Sendmail。
禁止網(wǎng)絡日志:在/etc/rc.conf中保證有如下行:
syslogd_flags="-ss"
這樣做禁止了來自遠程主機的日志記錄并關(guān)閉514端口�����,但仍允許記錄本機日志�����。
禁止NFS服務:在/etc/rc.conf中有如下幾行:
nfs_server_enable="NO"
nfs_client_enable="NO"
portmap_enable="NO"
有些情況下很需要NFS服務����,例如用戶上傳圖片的目錄通常需要共享出來供幾臺WEB服務器使用,就要用到NFS�����。同理�����,要打開NFS��,必須保證你的服務器處于安全的內(nèi)網(wǎng)��,如果NFS服務器可以被其他人訪問到��,那么系統(tǒng)存在較大風險����。保證/etc/inetd.conf文件中所有服務都被注銷,跟其他系統(tǒng)不同�����,不要由inetd運行任何服務�。將如下語句加進/etc/rc.conf:
inetd_enable="NO"
所有對/etc/rc.conf文件的修改執(zhí)行完后都應重啟系統(tǒng)。
如果要運行Apache���,請編輯httpd.conf文件�,修改如下選項以增進安全或性能:
1) Timeout 300Timeout 120
2) MaxKeepAliveRequests 256
3) ServerSignature onServerSignature off
4) Options IndexesFollowSymLinks行把indexes刪掉(目錄的Options不要帶index選項)
5) 將Apache運行的用戶和組改為nobody
6) MaxClients 150——MaxClients 1500
(如果要使用Apache���,內(nèi)核一定要重新編譯���,否則通不過Apache的壓力測試,關(guān)于如何配置和管理WEB服務器請見我的另一篇文章)
如果要運行FTP服務���,請安裝proftpd����,它比較安全。在任何服務器上����,都不要打開匿名FTP。
Windows 2000 Server和Freebsd兩種服務器的安全配置就向大家介紹完了�����,希望大家已經(jīng)掌握���。
當前題目:服務器安全管理怎么通過 服務器安全管理怎么通過網(wǎng)絡
本文鏈接:
http://weahome.cn/article/dddpgpo.html
重慶分公司
重慶分公司
