如何讓Linux系統更加安全 Linux伺服器安全技巧有哪些

如何讓Linux系統更加安全? Linux是一個領先的作業系統，世界上運算最快的10臺超級計算機執行的都是Linux作業系統。Linux作業系統軟體包不僅包括完整的Linux作業系統，而且還包括了文字編輯器、高階語言編譯器等應用軟體。 那麼，Linux伺服器安全技巧有哪些?

　　1、物理系統的安全性

　　設定BIOS，禁用從CD/DVD、外部裝置、軟碟機啟動。下一步，啟用BIOS密碼，同時啟用GRUB的密碼保護，這樣可以限制對系統的物理存取。

　　通過設定GRUB密碼來保護Linux伺服器

2、磁碟分割區

　　使用不同的分割區很重要，對於可能得災難，這可以保證更高的資料安全性。通過劃分不同的分割區，資料可以進行分組並隔離開來。當意外發生時，只有出問題的分割區的資料才會被破壞，其他分割區的資料可以保留下來。你最好有以下的分割區，並且第三方程式最好安裝在單獨的檔案系統/opt下。

　　/

　　/boot

　　/usr

　　/var

　　/home

　　/tmp

　　/opt

3、最小包安裝，最少漏洞

　　你真的需要安裝所有的服務麼?建議不要安裝無用的包，避免由這些包帶來的漏洞。這將最小化風險，因為一個服務的漏洞可能會危害到其他的服務。找到並去除或者停止不用的服務，把系統漏洞減少到最小。使用‘chkconfig‘命令列出執行級別3的執行所有服務。

　　# /sbin/chkconfig --list |grep '3:on'當你發現一個不需要的服務在執行時，使用下面的命令停止這個服務。

　　# chkconfig serviceName off使用RPM包管理器，例如YUM或者apt-get 工具來列出所有安裝的包，並且利用下的命令來解除安裝他們。

　　# yum -y remove package-name# sudo apt-get remove package-name5 chkconfig Command Examples

　　20 Practical Examples of RPM Commands

　　20 Linux YUM Commands for Linux Package Management

　　25 APT-GET and APT-CACHE Commands to Manage Package Management

4、檢查網路監聽埠

　　在網路命令 ‘netstat‘ 的幫助下，你將能夠看到所有開啟的埠，以及相關的程式。使用我上面提到的 ‘chkconfig‘ 命令關閉系統中不想要的網路服務。

　　# netstat -tulpnLinux 網路管理中的20條 Netstat 命令

5、使用 SSH(Secure Shell)

　　Telnet 和 rlogin 協定只能用於純文字，不能使用加密的格式，這或將導致安全漏洞的產生。SSH 是一種在使用者端與伺服器端通訊時使用加密技術的安全協定。

　　除非必要，永遠都不要直接登入 root 賬戶。使用“sudo」執行命令。sudo 由 /etc/sudoers 檔案制定，同時也可以使用“visudo」工具編輯，它將通過 VI 編輯器開啟組態檔。

　　同時，建議將預設的 SSH 22 埠號改為其他更高的埠號。開啟主要的 SSH 組態檔並做如下修改，以限制使用者存取。

　　# vi /etc/ssh/sshd_config關閉 root 使用者登入

　　PermitRootLogin no特定使用者通過

　　AllowUsers username使用第二版 SSH 協定

　　Protocol 2SSH 伺服器安全維護五條最佳實踐

6、保證系統是最新的

　　得一直保證系統包含了最新版本的修補程式、安全修復和可用核心。

　　# yum updates

　　# yum check-update

       7、鎖定 Cron任務

　　Cron有它自己內建的特性，這特性允許定義哪些人能哪些人不能跑任務。這是通過兩個檔案/etc/cron.allow 和/etc/cron.deny 控制的。要鎖定在用Cron的使用者時可以簡單的將其名字寫到corn.deny裡，而要允許使用者跑cron時將其名字加到cron.allow即可。如果你要禁止所有使用者使用corn，那麼可以將“ALL」作為一行加到cron.deny裡。

　　# echo ALL >>/etc/cron.deny11 個linux Cron排程範例

8、禁止USB探測

　　很多情況下我們想去限制使用者使用USB，來保障系統安全和資料的洩露。建立一個檔案‘/etc/modprobe.d/no-usb‘並且利用下面的命令來禁止探測USB儲存。

　　install usb-storage /bin/true

       9、開啟SELinux

　　SELinux(安全增強linux)是linux核心提供的一個強制的存取控制安全機制。禁用SELinux意味著系統丟掉了安全機制。要去除SELinux之前仔細考慮下，如果你的系統需要釋出到網路，並且要在公網存取，你就要更加註意一下。

　　SELinux 提供了三個基本的操作模式，他們是：

　　強制執行：這是預設是模式，用來啟用和強制執行SELinux安全措略。

　　許可模式：這種模式下SELinux不會強制執行安全措略，只有警告和紀錄檔記錄。這種模式在SELinux相關問題的故障排除時候非常有用。

　　關閉模式：SELinux被關閉。

　　你可以使用命令列‘system-config-selinux‘, ‘getenforce‘ or ‘sestatus‘來瀏覽當前的SEliux的狀態。

　　# sestatus如果是關閉模式，通過下面的命令開啟SELinux

　　# setenforce enforcing你也可以通過組態檔‘/etc/selinux/config‘來進行SELinux的開關操作。

10、移除KDE或GNOME桌面

　　沒必要在專用的LAMP伺服器上執行X Window桌面比如KDE和GNOME。可以移掉或關閉它們，以提高系統安全性和效能。開啟/etc/inittab然後將run level改成3就可以關閉這些桌面。如果你將它徹底的從系統中移走，可以用下面這個命令：

　　# yum groupremove "X Window System"

11、關閉IPv6

　　如果不用IPv6協定，那就應該關閉掉它，因為大部分的應用和策略都不會用到IPv6，而且當前它不是伺服器必需的。可以在網路組態檔中加入如下幾行來關掉它。

　　# vi /etc/sysconfig/networkNETWORKING_IPV6=no

　　IPV6INIT=no

12、限制使用者使用舊密碼

　　如果你不希望使用者繼續使用老密碼，這一條很有用。老的密碼檔案位於 /etc/security/opasswd。你可以使用 PAM 模組實現。

　　RHEL / CentOS / Fedora 中開啟‘/etc/pam.d/system-auth‘ 檔案。

　　# vi /etc/pam.d/system-authUbuntu/Debian/Linux Mint 中開啟 ‘/etc/pam.d/common-password‘ 檔案。

　　# vi /etc/pam.d/common-password在‘auth‘ 塊中新增下面一行。

　　auth sufficient pam_unix.so likeauth nullok在 ‘password‘ 塊新增下面一行，禁止使用者重新使用其過去最後用過的 5個密碼。

　　password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5伺服器只記錄最後的 5 個密碼。如果你試圖使用曾用的最後 5個老密碼中的任意一個，你將看到如下的錯誤提示。

　　Password has been already used. Choose another.

13、如何檢查使用者密碼過期

　　在 Linux 中，使用者的密碼以加密的形式儲存在‘/etc/shadow‘ 檔案中。要檢查使用者的密碼是否過期，你需要使用‘chage‘ 命令。它將顯示密碼的最後修改日期及密碼期限的細節資訊。這些細節就是系統決定使用者是否必須修改其密碼的依據。

　　要檢視任一存在使用者的老化資訊，如過期日和時長，使用如下命令。

　　#chage -l username要修改任一使用者的密碼老化，使用如下命令。

　　#chage -M 60 username

　　#chage -M 60 -m 7 -W 7 userName引數

　　-M 設定天數最大數位

　　-m 設定天數最小數位

　　-W 設定想要的天數

14、手動鎖定或解鎖使用者賬號

　　鎖定和解鎖功能是非常有用的，你可以鎖定一個賬號一週或一個月，而不是將這個賬號從系統中剔除。可以用下面這個命令鎖定一個特定使用者。

　　# passwd -l accountName提示：這個被鎖定的使用者僅對root使用者仍然可見。這個鎖定是通過將加密過的密碼替換成(!)來實現的。如果有個想用這個賬號來進入系統，他會得到類似下面這個錯誤的提示。

　　# su - accountName

　　This account is currently not available.解鎖一個被鎖定的賬號時，用下面這個命令。這命令會將被替換成(!)的密碼改回來。

　　# passwd -u accountName

        15、增強密碼

　　有相當數量的使用者使用很弱智的密碼，他們的密碼都可以通過字典攻擊或者暴力攻擊攻破。‘pam_cracklib‘模組存於在PAM 中，它可以強制使用者設定複雜的密碼。通過編輯器開啟下面的檔案。

　　# vi /etc/pam.d/system-auth在檔案中增加一行，使用認證引數(lcredit, ucredit, dcredit 或者 ocredit 對應小寫字母、大寫字母，數位和其他字元)

　　/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

16、啟用Iptable(防火牆)

　　高度推薦啟用linux防火牆來禁止非法程式存取。使用iptable的規則來過濾入站、出站和轉發的包。我們可以針對來源和目的地址進行特定udp/tcp埠的准許和拒絕存取。

17、禁止Ctrl+Alt+Delete重啟

　　在大多數的linux發行版中，按下‘CTRL-ALT-DELETE’將會讓你的系統重啟。只說生產伺服器上這是不是一個很好的做法，這可能導致誤操作。

　　這個設定是在‘ /etc/inittab‘檔案，如果你開啟這個檔案，你可以看到下面類似的段落。預設的行已經被註釋掉了。我們必須註釋掉他。這個特定按鍵會讓系統重啟。

　　# Trap CTRL-ALT-DELETE

　　#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

18、檢查空密碼帳號

　　任何空密碼的賬戶意味這可以讓Web上任何無授權的使用者存取，這是linux伺服器的一個安全威脅。所以，確定所有的使用者擁有一個複雜的密碼並且不存在特權使用者。空密碼帳號是安全風險，可以被輕易的攻克。可以利用下面的命令來檢查是否有空密碼賬戶存在。

　　# cat /etc/shadow | awk -F: '($2==""){print $1}'

19、登入前顯示SSH提示

　　在ssh認證時候，使用一個法律和安全警示是很好的建議。

20、監視使用者行為

　　如果你有很多的使用者，去收集每一個使用者的行為和和他們的程序消耗的資訊非常重要。可以隨後和一些效能優化和安全問題處理時進行使用者分析。但是如果監視和蒐集使用者行為資訊呢?

　　有兩個很有用的工具‘psacct‘ 和‘acct‘可以用來監視系統中使用者的行為和程序。這些工具在系統後臺執行並且不斷記錄系統中每一個使用者的行為和各個服務比如Apache, MySQL, SSH, FTP, 等的資源消耗。

21、定期檢視紀錄檔

　　將紀錄檔移動到專用的紀錄檔伺服器裡，這可避免入侵者輕易的改動本地紀錄檔。下面是常見linux的預設紀錄檔檔案及其用處：

　　/var/log/message – 記錄系統紀錄檔或當前活動紀錄檔。

　　/var/log/auth.log – 身份認證紀錄檔。

　　/var/log/kern.log – 核心紀錄檔。

　　/var/log/cron.log – Crond 紀錄檔 (cron 任務).

　　/var/log/maillog – 郵件伺服器紀錄檔。

　　/var/log/boot.log – 系統啟動紀錄檔。

　　/var/log/mysqld.log – MySQL資料庫伺服器紀錄檔。

　　/var/log/secure – 認證紀錄檔。

　　/var/log/utmp or /var/log/wtmp :登入紀錄檔。

　　/var/log/yum.log: Yum 紀錄檔。

22、重要檔案備份

　　在生產環境裡，為了災難恢復，有必要將重要檔案備份並儲存在安全的遠端磁帶保險庫、遠端站點或異地硬碟。

23、NIC 繫結

　　有兩種型別的NIC繫結模式，需要在繫結介面用得到。

　　mode=0 – 迴圈賽模式

　　mode=1 – 啟用和備份模式

　　NIC繫結可以幫助我們避免單點失敗。在NIC繫結中，我們把兩個或者更多的網路卡繫結到一起，提供一個虛擬的介面，這個介面設定ip地址，並且和其他伺服器對談。這樣在一個NIC卡down掉或者由於其他原因不能使用的時候，我們的網路將能保持可用。

24、保持 /boot 唯讀

　　linux核心和他的相關的檔案都儲存在/boot目下，預設情況下是可以讀寫的。把它設為了唯讀可以減少一些由於非法修改重要boot檔案而導致的風險。

　　# vi /etc/fstab在檔案最後增加下面的行，並且儲存

　　LABEL=/boot /boot ext2 defaults,ro 1 2如果你今後需要升級核心的話，你需要修回到讀寫模式。

25、遮蔽ICMP和Broadcast請求

　　在/etc/sysctl.conf中新增下面幾行，遮蔽掉ping和broadcast請求。

　　Ignore ICMP request:

　　net.ipv4.icmp_echo_ignore_all = 1

　　Ignore Broadcast request:

　　net.ipv4.icmp_echo_ignore_broadcasts = 1執行下面這一行載入修改或更新：

　　#sysctl -p