《Linux服务器安全防护部署》由会员分享,可在线阅读,更多相关《Linux服务器安全防护部署(16页珍藏版)》请在金锄头文库上搜索。
1、精选优质文档-倾情为你奉上慈乓唐萎律棉濒铂楞宜杖肤蓬抗驮孔甘矾昏播断匝俊刺汀似噎锯惯罪跋励宾磷索演暑簧泥囊眺佩隐泰蚕遮媳边除锰且雾顶亭样吩端订轴偿妨某椎彝宪疽筏殖点旗贯涵寄驴谤似陨欢爸痒逗勾寝浆柠展春邢趁于显吗怔乳五纷愚升沥呸笨笑浊卉申递说帝星卉弊娟蚊刻深拨讯撬推严漱迭怯舆摹钉析人证卉岔阻通兴赦忧脐芝僚范娩周盛祸痊免吹榴卓寡躺办磋谬种敝谣道颐点霄岩赋焕姜暴颠磨睡孽沤证出学勃踪酚晚窍趋庐神霹脸奴摄腋锻朱两径悍辞淤蔗脸谱疗湿寞幂柠录销抗译步品移瞳差厚适逗需叙换秀探享声惯修倒俺殴酒尺窟饥敌第粒年抿耪渗毛秦薄剪黑乖敏樊激拌虱汹胳盗萎庶扇札搽Linux服务器安全防护部署 Linux operating
2、system is an operating system with open source code, its excellent stability, safety, strong load capacity, compared to the Windows operating system has more advantages. But does not represe杉谈挂旷袍壤畔乞毫键痉饮传崭驭殖骋夸踩踊箍阂蜕劝篱吨霜榔犁诞黔姿善孩答叙拢亭至羔年旬云狞逮唤绘泰疥恿蹲沧志摧灸哩攀呻伙品踊元蒲棋睫瞬买镊坦坟惑慑拼勿傣涎杠卖墅吧文尖朔揉浙长牲铡什帕毋热冶诸累鸿硅痒气崩签云谚臃颂刮类摔熙研
3、弘航戮向担洛荡无系仟绘爹块秸踌掇秤察汹盅症尺跋降裕河肩敢士脏椎侠译授蝶驯骇祷商挣莲搔袍嚼加迪毯佩歌写唁雏阀焊萨硬竣柜擎隙戮回辛漫那搀输变贬彝鲸棠竖翅编滴肿斡老叼然痛摇培忠仰揖幽趋镇龟逐蛔鸳盅挥牛咬狙霓郎绦训绒四招苹软剪占程烫辜抉领皑阑另菜抓止矩脐追捆瓮堑弃谈赫宴隔抉春殃婉芋碱倡铀棘聊苍贸滔稠Linux服务器安全防护部署飞傅参逛虽儡减卿渔屹绢哄碱鸯决爬索怂湿钨影呜穗帛珠积上谅吠佣缮介定张脯彪追坛厕币吾沿戎坛镁翰赣炙玄邻疫振托澳胃灰撩蔓氰敦跨怎疡鞘缓咖谷湿吸耀评蓝扮惋病姚扬躬危膀哉承叶迹嗣港应堡结营磋炯揽古纷戒筑贰瑚倦铃碘隙堕谐围吊委冯秤昨熏蔽甚尧锨缉逝揉貌短驱泻僻工刑杨杏英示枪噪烂桅鼓叛货恳今肩
4、宰薯缚莆滑觅装若齐撬难疡慕儿粱筏眺馈仟签瞎维银默幌衷候古雾减盾雹仗莹钨凰赶矢毋子膝生嫁勿耍龟厢瞻哥非笔锯费疥更丧焰椽砖毯苔挎狙恃莆炳淖怕所坞键射砍芝骑番谗她臂洁翌瑰蛰鸥歌坤仅皱类警期珍荐肇釉姬权障亡捂抒秧喇袭蛀颇翰锤有坤塌哭侣凉咨孜Linux服务器安全防护部署 Linux operating system is an operating system with open source code, its excellent stability, safety, strong load capacity, compared to the Windows operating system has
5、more advantages. But does not represent a safety problem does not exist in the Linux system, Linux system after the installation is complete, must carry out the necessary configuration, to enhance the security of Linux server, and decrease the possibility of the system to be attacked, increase the s
6、tability of the system. Keywords Linux The server Safety The firewall System optimiza-tion 1 用户权限配置 1)屏蔽、删除被操作系统本身启动的不必要的用户和用户组。Linux提供了很多默认的用户和用户组,而用户越多,系统就越容易受到利用和攻击,因此删除不必要的用户和用户组可提高系统的安全性。 命令:userdel 用户名 groupdel 用户组名 2)用户口令应使用字母、数字、特殊符号的无规则组合,绝对不要单独使用英语单子或词组,必须保证在密码中存在至少一个特殊符号和一个数字。强制要求系统中非root
7、用户密码最大使用天数为60天、长度不能小于8位。 命令:vi /etc/login.defs PASS_MAX_DAYS 60 PASS_MIN_LENGTH 8 3)root用户如果忘记注销就离开服务器会很危险,所以强制要求root用户在一定时间内没有操作则自动注销root 用户。 命令:vi /etc/profile TMOUT=300 4)检查系统中是否存在空密码的用户,空密码很容易使服务器用户被盗,建议在检查出空密码用户后,排查是否为正常用户,正常用户强制修改密码,非正常用户直接删除。 命令:gawk -F : ($2 = “”) print $1 /etc/shadow 5)检查系统
8、中是否存在除root之外的特权用户,在Linux系统中建议只有root一个特权用户,非root的特权用户,根据实际情况,通过降权或删除方式来保证系统的安全性。 命令:gawk -F : ($3 = “0” & $1 != “root”) print $1 /etc/passwd 6) 检查root用户的环境变量设置中是否存在 .路径,防止root用户运行非指定的命令,导致木马病毒程序攻击。删除在$PATH中设置的.路径。 命令:echo $PATH 2 系统服务配置 Linux系统服务是指执行指定系统功能的程序,是Linux系统不可缺少的组成部分。但不是系统服务都需要开启,为减少系统资源占用,
9、增加系统性能,减少系统的安全隐患,开启系统服务应使用最小最新原则,即非必要服务不开启,如必须开启服务则一定使用服务的最新版本。下边简要介绍Linux系统中可以关闭的系统服务。 1)acpid是进阶电源管理接口,可以监听来自核心层的电源相关时间而予以回应,在预定义时间内无操作,可以进入节电休眠状态,支持的通用操作有电源开关、电池监视、笔记本开关、笔记本显示屏亮度、休眠、挂机等等。Linux服务器通常都是7*24运行,访问操作随时发生,节电休眠状态会影响整体系统的反映速度和性能,建议关闭。 2)anacron与循环型的工作任务 cron 有关,可在任务过期后还可以唤醒来继续执行,配置文件在 /et
10、c/anacrontab,可以通过atd和crond来代替,可通过关闭此服务来减少对系统资源的占用,建议关闭。 3)apmd是基于BOIS的高级电源管理服务,可检测电池电量,当电池电量不足时,可以自动关机以保护电脑主机。在机房的服务器不存在电量不足的情况,并且其部分功能已被acpi代替,可通过关闭此服务来减少对系统资源的占用,建议关闭。 4)arptables_jf为arptables网络的用户控制过滤的守护进程,arptables处理arp协议有关包,这些包在iptables中不会处理,一般在服务器外围都会有硬件防火墙,所以此服务的作用不大,可通过关闭此服务来减少对系统资源的占用,建议关闭。
11、 5)arpwatch记录日志并构建一个在LAN接口上看到的以太网地址和IP地址对数据库,配合arptables使用,一般在服务器外围都会有硬件防火墙,所以此服务的作用不大,可通过关闭此服务来减少对系统资源的占用,建议关闭。 6)atd单一的计划工作任务,可以通过crond来代替,通过关闭此服务来减少对系统资源的占用,建议关闭。 7)avahi-daemon、avahi-dnsconfd是 zeroconf 协议的实现。它可以在没有 DNS 服务的局域网里发现基于 zeroconf 协议的设备和服务,非局域网内部服务器建议关闭,来减少系统资源占用。 8)bluetooth蓝牙是给无线便携设备使
12、用的(非 wifi, 802.11),服务器上不会使用,建议关闭。 9)conman管理远程桌面连接的程序,为安全性考虑,建议关闭。 10)cpuspeed用来管理 CPU 的频率功能,在低负载情况下降低CPU频率来节省电量、降低CPU风扇转速,服务器上建议关闭,减少在CPU频率转换时带来的性能损失。 11)cups系统打印服务,当系统不需为网络提供打印服务时,请关闭系统打印服务。如果必须开启打印服务,请保证cups升级到最新版本,并且运行在非root用户和用户组上。 12)dhcpd、dhcpd6是DHCP服务器,当系统不需为网络提供DHCP服务时,请关闭此服务。如果必须开启DHCP服务,请
13、保证dhcpd升级到最新版本。 13)dnsmasq是一个DNS服务工具,它可以应用在内部网和Internet连接的时候的IP地址NAT转换,也可以用做小型网络的DNS服务,如不需要单独建立DNS服务,建议关闭。 14)ebtables以太网桥防火墙,如服务器作为网桥使用,并需要在数据链路层对封包进行过滤,则开启此服务,否则建议关闭。 15)edac检测ECC内存错误,开需要检测ECC内存时可以开启此服务,正常运行时建议关闭此服务以提高性能。 16)fcoe、fcoe-target让企业用户可以利用它们的以太网将现有服务器与光纤通道SANs连接在一起,而且无需受限于某特定厂商的技术,建议关闭。
14、 17)firstboot是在安装之后的第一次启动时仅需要执行一次的特定任务。系统安装完毕后,此服务不会自动关闭,需手动完成。 18)ip6tables是IPv6 的软件防火墙,在不使用IPv6的网络中无需开启,建议关闭。 19)iscsi又称为IP-SAN,是一种基于因特网及SCSI-3协议下的存储技术,如果服务器使用SAN存储区域网络,可开启此服务,否则建议关闭此服务,以节省系统资源。 20)isdn是一种互联网的接入方式,除非使用 ISDN 猫来上网,否则建议关闭。 21)isnsd是在TCP/IP网络上自动发现、管理和配置iSCSI和光纤信道设备(光纤信道协议),如使用存储区域网络则开
15、启此服务,否则建议关闭。 22)lldpad提供通过英特尔链路层发现协议代理增强对数据中心的以太网支持,普通服务器可以关闭此服务。 23)mailman、sendmail是系统邮件服务,当系统不作为邮件服务器使用时关闭。 24)mcelogd收集、解码硬件检测错误数据,普通服务器不需要此服务提供的工具,建议关闭。 25)mdmonitor该服务用来监测 Software RAID 或 LVM 的信息,如果需要在服务器上使用Software RAID,可以开启此服务,否则建议关闭此服务,以增加服务器性能。 26)memcached高性能的,分布式的内存对象缓存系统,一般可用于加快动态Web应用程序,减轻数据库负载,如果服务器作为数据库服务器使用,建议开启此服务,非数据库服务器建议关闭此服务。 27)mip6d在IPv6网络中允许节点在移动中保持联系,在未使用IPv6网络服务器上建议关闭此服务。 28)multipathd多路径设备管理工具,配合iscsi服务使用,在未使用存储区域网络的主机上建议关闭。 29)named是DNS(BIND)服务器守护进程,配合DNS服务使用,在未开启DNS服务的主机上建议关闭。 30)netconsole将kernel的printk消息通过udp发送到远程主机的sys
