德迅云安全

可信赖的互联网业务安全服务商

< 返回新闻公告列表

9种Linux系统安全小妙招,总有一招用的上!

发布时间:2019/12/4 13:26:09    来源: 德迅云安全

对于互联网IT从业人员来说,越来越多的工作会逐渐转移到Linux系统之上,这一点,无论是开发、运维、测试都应该是深有体会。曾有技术调查网站W3Techs201811月就发布一个调查报告,报告显示Linux在网站服务器的系统中使用率高达37.2%,这一数据也表明,Linux系统被广泛应用。其实,除了在网站服务器中的应用,Linux系统还被用于DNS域名解析服务器、电子邮件服务器、一些开源软件的应用(大数据应用:据Linux基金会的研究,86%的企业已经使用Linux操作系统进行云计算、大数据平台的构建)服务器等之上。


 

大多数使用者都会认为Linux默认是安全的,有时候这种说法也的确是一个存在争议的话题。Linux默认确实有内置的安全模型。你需要打开它并且对其进行定制,这样才能得到更安全的系统。Linux更难管理,不过相应也更灵活,有更多的配置选项。

对于系统管理员,让产品的系统更安全,免于骇客和黑客的攻击,一直是一项挑战。而且,近些年来对于Linux遭遇攻击的案例很多,所以,如何构建一个安全、强大且牢固的Linux系统一直是一个可探索性的话题。今天,我将从系统的各个层面,给大家分享一下我在日常工作中是如何构建、或者加固Linux系统安全的。

1. 物理安全

这应该说是对于服务器安全保障的第一步。

硬件服务器,首先得专业人的来做专业的维护。其次就是关闭从CD/DVD等这些方面的软启动方式。同时也可以设置BIOS密码,并且要有限制访问的策略与各类流程管控。

还可以禁用USB设备来达到安全的目的:

1.    vim /etc/modprobe.d/stopusb 

2.    install usb-storage /bin/true 

或者使用下面的命令将USB的驱动程序删除

1.    [root@rs-server ~]# mv /lib/modules/3.10.0-693.el7.x86_64/kernel/drivers/usb/storage/usb-storage.ko.xz 

2. 保证系统最新

这个就是说要保证系统无其它漏洞存在,比如:已经有的漏洞要及时的修复。保证系统包含了最新版本的补丁、安全修复和可用内核。

1.    yum updates 

2.    yum check-update 

3. 最小化处理原则

无论是安装系统,还是常用的软件,都必须遵守这个原则:最小化安装,同时也是减少漏洞存在的可能性。

对于系统一些不必要的服务、端口,建议关闭。

1.    [root@rs-server ~]# chkconfig --list |grep "3:on" 

2.    network 0:off 1:off 2:on 3:on 4:on 5:on 6:off 

然后使用下面的命令关闭:

1.    chkconfig service-name off 

4. 登录与连接

对于Linux服务器来说,一般都是采用远程登录(SSH)连接的方式去进行登录操作。因此:

·         第一步:就是除了非必要情况,杜绝使用root用户登录,可以使用sudo来进行提权操作,然后利用系统命令将/etc/sudoers文件锁定(root用户之外的用户无权限修改)

·         第二步:建议修改SSH配置文件,比如默认端口号22,禁止root密码登录(有些自有机房的还可以直接禁用root用户通过SSH协议登录)等。

1.    [root@rs-server ~]# vim /etc/ssh/sshd_config 

2.    #Port 22 

3.    可修改成其它端口号,民工哥常用IP+22混合使用 

4.    #PermitRootLogin yes 

5.    yes改成No 

6.    #PermitEmptyPasswords no 

7.    打开注释即可 

8.    #AllowUsers username 

9.    指定特定的用户通过SSH协议进行远程连接 

5. 用户管理

Linux是一个可多用户并行操作的系统,所以,系统也对用户进行了划分:超级用户与普通用户。两者权限不同,因此,能干的事也有所不同,所以,对于用户的管理也是非常重要的一步。

设置用户密码:

这个可以通过系统命令passwd来进行设置,一般建议使用强度比较复杂的密码,且各个系统中相同的用户使用不同的密码(日常可以使用管理器来管理)

1.    [root@rs-server ~]# passwd mingongge 

2.    Changing password for user mingongge. 

3.    New password: 

4.    Retype new password: 

5.    passwd: all authentication tokens updated successfully. 

临时用户管理:

对于这种需要的临时用户管理,一般是使用过后可以删除,也可以在一段时间后将其锁定不让其再登录,在下次需要登录时再次开启权限。

删除用户很简单,可以使用系统命令userdel -r username 进行删除。

锁定用户其实就是修改用户的属性:

1.    [root@rs-server ~]# usermod -L mingongge 

我们打开终端尝试登录看看:


 

这时发现已经无法正常登录连接了,表明刚刚的配置是正确的。等到下次需要登录时,可以使用下面的命令进行解锁:

1.    [root@rs-server ~]# usermod -U mingongge 

2.    #-L lock 

3.    #-U unlock 

6. 文件管理

这里的文件管理指的是存储用户信息的重要文件:/etc/passwd/etc/shadow这两个文件。

1.    [root@rs-server ~]# stat /etc/passwd 

2.    File: ‘/etc/passwd’ 

3.    Size: 945 Blocks: 8 IO Block: 4096 regular file 

4.    Device: fd00h/64768d Inode: 17135889 Links: 1 

5.    Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) 

6.    Access: 2019-08-06 01:14:37.439994172 +0800 

7.    Modify: 2019-08-06 01:14:37.440994172 +0800 

8.    Change: 2019-08-06 01:14:37.442994172 +0800 

9.    Birth: - 

10. [root@rs-server ~]# stat /etc/shadow 

11. File: ‘/etc/shadow’ 

12. Size: 741 Blocks: 8 IO Block: 4096 regular file 

13. Device: fd00h/64768d Inode: 17135890 Links: 1 

14. Access: (0000/----------) Uid: ( 0/ root) Gid: ( 0/ root) 

15. Access: 2019-08-06 01:14:37.445994172 +0800 

16. Modify: 2019-08-06 01:14:37.445994172 +0800 

17. Change: 2019-08-06 01:14:37.447994172 +0800 

18. Birth: - 

一般从上面的一些文件属性上可以看出是不是这些文件遭遇篡改了,所以,一般情况建议将此两个文件锁定除了root用户之外的用户无权限修改与访问。

7. 启用防火墙

利用系统的防火墙来过滤出入站的流量,这是一个很好的预防攻击的策略,而且系统防火墙的规则可以逐条设置,非常强大,强裂建议开启。

8. 软件包的管理

对于系统安装的软件,我们使用RPM包管理器来管理,对于使用yum或者apt-get命令列出来的软件,在对其进行删除、卸载时,一定要使用下面的命令进行:

1.    yum -y remove software-package-name  

2.    sudo apt-get remove software-package-name 

9. 数据备份

这个不用说都知道是非常重要的,尤其是重要的生产数据,必须本地、异地、不同介质备份及保存,同时还需要定期检查数据的完整性、可用性。

以上是Linux系统的安全小妙招,总有一招可以用的上,建议现在没用也要收藏着,以备不时之需!

 

立即加入,开启安全之旅

只需完成账户认证,即可体验德迅云安全 安全骑士、游戏盾、DDoS高防IP多款安全产品

立即体验
咨询
·
售后

咨询
·
售后

产品咨询与购买在线客服,高防咨询,解决方案

技术支持:0577-26676666故障申报,技术支持