這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)suse linux系統(tǒng)安全的示例分析，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

我們提供的服務(wù)有：成都網(wǎng)站設(shè)計(jì)、成都做網(wǎng)站、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、鄒平ssl等。為超過千家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的鄒平網(wǎng)站制作公司

     SUSE Linux Enterprise Server 10是眾多Linux發(fā)行版本中比較優(yōu)秀出色的主流商業(yè)版本，它不僅具有Linux的通用功能外，還因其有比較出色的性能和對(duì)安全有較好的控制，吸引了很多企業(yè)級(jí)用戶，在國(guó)內(nèi)也開始有大量的關(guān)鍵應(yīng)用。我也在接觸到的具體項(xiàng)目中根據(jù)客戶要求部署和應(yīng)用了這個(gè)版本，就個(gè)人感覺而言，整體性的安全還是不錯(cuò)的，在加密和認(rèn)證方面做的比較好，但是SUSE里還有很多安全細(xì)節(jié)需要我們注意。在此總結(jié)一下自己的應(yīng)用經(jīng)驗(yàn)，未必全面算是一個(gè)總結(jié)和交流吧。
一、帳戶管理方面
1、鎖定不必要的系統(tǒng)賬戶

有很多賬戶是系統(tǒng)賬戶，在日常管理中也一直不會(huì)被人使用，鎖定這些賬戶有助于減少***者的利用。方法是：將賬戶直接刪除或設(shè)置一個(gè)無效的shell(比如/bin/false)。SUSE里使用/bin/false而不是/bin/nologin。

 在這里，我們通過VI修改/etc/passwd文件，可以把不常用的at、bin、deamon、ftp、games、lp、man、news、nobody等用戶的的登陸shell改為/bin/false，這樣該用戶就不能登錄了。

2、設(shè)置賬戶定期修改密碼參數(shù)

強(qiáng)制用戶定期改變密碼，根據(jù)你的實(shí)際情況在/etc/login.defs進(jìn)行調(diào)整。比如：設(shè)置成90天更改密碼。只需把PASS_MAX_DAYS的默認(rèn)99999改為90天保持即可。
#vi  /etc/login.defs

 關(guān)閉不必要或暫時(shí)不用的服務(wù)：
#chkconfig  slpd  off
#chkconfig  portmap off
#chkconfig  postfix   off
比如RPC端口映射服務(wù)，由于RPC的驗(yàn)證機(jī)制很薄弱，很容易被繞過，卻可以利用RPC得到很多重要的信息。除非是需要NIS，最好禁用。
另外在SUSE中Postfix服務(wù)默認(rèn)是激活狀態(tài)。如果這臺(tái)服務(wù)器是郵件服務(wù)器的話，需要注意的是，有權(quán)限在web界面上搜索附件是一個(gè)安全隱患。另外，如果你對(duì)郵件服務(wù)器管理有經(jīng)驗(yàn)的話，你會(huì)知道為postfix規(guī)劃一個(gè)chroot環(huán)境有多么重要。在chroot環(huán)境下，即使有人闖入了smtpd daemon，能夠造成的損害也比較有限。加固方法：

打開：vi /etc/sysconfig/mail,設(shè)置SMTPD_LISTEN_REMOTE="yes"。

關(guān)閉：vi /etc/sysconfig/mail,設(shè)置SMTPD_LISTEN_REMOTE="no"。

另外不必要的端口也都可以關(guān)閉，以免留下漏洞。
#netstat -antp

輸出CPU使用情況的統(tǒng)計(jì)信息，每秒輸出一次，一共輸出10次

輸出網(wǎng)絡(luò)設(shè)備狀態(tài)的統(tǒng)計(jì)信息

四、其他需要注意的方面：

1、查找無主文件
不要讓你的系統(tǒng)上有任何無主文件，無主文件可能是一個(gè)***者已經(jīng)訪問了你的系統(tǒng)，或者是軟件包的不正確維護(hù)安裝造成的。比如刪除了用戶或者組，但是相關(guān)文件沒有刪除。另一種常見情況是軟件安裝時(shí)，沒有正確的設(shè)置所有者。NFS掛載文件，會(huì)忽視用戶ID和系統(tǒng)之間的映射同步，也有可能造成無主文件的產(chǎn)生。
檢查命令：
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do
find $PART -nouser -o -nogroup -print
done
注意：不用管“/dev”目錄下的那些文件。如果是/tmp目錄下存在大量沒有屬主的文件，建議查明用途并添加屬主或消除。

2、刪除空密碼賬戶

使用awk -F: '($2 == "") { print $1 }' /etc/shadow命令查找空密碼賬戶?？彰艽a賬戶是指任何人都可以登錄，而不用提供密碼。所有的賬戶都應(yīng)該有健壯的密碼，避免弱口令。
3、ssh的安全加固

SUSE上默認(rèn)安裝了OpenSSH，OpenSSH是目前比較流行并且免費(fèi)的加密連接工具，但OpenSSH的低版本也存在不少安全漏洞，所以最好還是下載最新版本的。另外我們還需要限制ROOT賬戶的遠(yuǎn)程登錄、更改默認(rèn)端口、指定可訪問的網(wǎng)絡(luò)等等。它的版本1的安全問題比較嚴(yán)重甚至可以截獲密碼，所以建議你將協(xié)議版本修改為2。因?yàn)镕TP不是很安全，建議大家利用SCP命令來傳輸文件。

通過VI來修改，方法如下：

vi  /etc/ssh/sshd_config

6、內(nèi)核網(wǎng)絡(luò)優(yōu)化
/proc/sys/net/目錄主要包括了許多網(wǎng)絡(luò)相關(guān)的主題，通過改變這些目錄中的文件參數(shù)，可以很方便調(diào)整和優(yōu)化相關(guān)網(wǎng)絡(luò)參數(shù)。在/proc/sys/net/目錄下有兩個(gè)目錄就是/proc/sys/net/core和/proc/sys/net/ipv4，調(diào)整這兩個(gè)目錄下的某些文件的參數(shù)，能為我們的網(wǎng)絡(luò)應(yīng)用帶到某些意想不到的效果。
建議修改：

net.ipv4.tcp_max_syn_backlog = 4096
記錄的那些尚未收到客戶端確認(rèn)信息的連接請(qǐng)求的最大值。

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

net.ipv4.conf.default.rp_filter = 1

net.ipv4.conf.default.accept_source_route = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.default.secure_redirects = 0

net.ipv4.icmp_echo_ignore_broadcasts = 1

關(guān)于SUSE LINUX的系統(tǒng)安全，暫且總結(jié)這么多，也希望使用SUSE LINUX的朋友一起來交流和學(xué)習(xí)。

上述就是小編為大家分享的suse linux系統(tǒng)安全的示例分析了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。