Linux系統下的安全配置六招技巧

　　眾所周知，網絡安全是一個非常重要的課題，而服務器是網絡安全中最關鍵的環節。Linux被認為是一個比較安全的Internet服務器，作為一種開放源代碼操作系統，一旦Linux系統中發現有安全漏洞，Internet上來自世界各地的志願者會踴躍修補它。然而，系統管理員往往不能及時地得到信息並進行更正，這就給黑客以可乘之機。相對於這些系統本身的安全漏洞，更多的安全問題是由不當的配置造成的，可以通過適當的配置來防止。下面就簡單列出以下幾點，以供大家參考：

　　1、用防火牆關閉不須要的任何端口，別人PING不到服務器，威脅自然減少了一大半

　　防止別人ping的方法：

　　1）命令提示符下打

　　echo 1　> /proc/sys/net/ipv4/icmp_ignore_all

　　2）用防火牆禁止（或丟棄）icmp 包

　　iptables -A INPUT -p icmp -j DROP

　　3）對所有用ICMP通訊的包不予響應

　　比如PING TRACERT

　　2、更改SSH端口，最好改為10000以上，別人掃描到端口的機率也會下降

　　vi /etc/ssh/sshd_config

　　將PORT改為1000以上端口

　　同時，創建一個普通登錄用戶，並取消直接root登錄

　　useradd 'username'

　　passwd 'username'

　　vi /etc/ssh/sshd_config

　　在最後添加如下一句：

　　PermitRootLogin no ＃取消root直接遠程登錄

　　3、刪除系統臃腫多余的賬號： userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher userdel ftp 如果你不允許匿名FTP，就刪掉這個用戶帳號 groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip groupdel pppusers

　　4、更改下列文件權限，使任何人沒有更改賬戶權限： chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow

　　5、chmod 600 /etc/xinetd.conf

　　6、關閉FTP匿名用戶登陸

　　現在服務器中存儲的信息越來越多，而且也越來越重要；為防止服務器發生意外或受到意外攻擊，而導致大量重要的數據丟失，服務器一般都會采用許多重要的安全保護技術來確保其安全。下面就介紹一些主要的服務器安全熱點技術。

　　1. iSCSI技術

　　iSCSI 技術是一種新型儲存保護技術，該技術是將現有SCSI接口與以太網絡(Ethernet)技術結合，使服務器可與使用IP網絡的儲存裝置互相交換資料。該技術不僅價格較目前普遍使用的業界技術標准Fibre Channel 低廉，而且系統管理人員可以用相同的設備來管理所有的網絡，並不需要以另外的設備來進行網絡的管理。

　　iSCSI技術是由IBM下屬的兩大研發機構——加利福尼亞Almaden和以色列Haifa研究中心共同開發的，是一個供硬件設備使用的、可以在IP協議上層運行的SCSI指令集。簡單地說， iSCSI可以實現在IP網絡上運行SCSI協議，使其能夠在諸如高速千兆以太網上進行路由選擇。現在，許多網絡存儲提供商致力於將SAN (Storage Area Network，存儲區域網絡)中使用的光纖通道設定為一種實用標准，但其架構需要高昂的建設成本，這不是一般的企業所能夠承受的；與之相對，NAS技術雖然成本低廉，但是卻受到帶寬消耗的限制，無法完成大容量存儲的應用，而且系統難以滿足開放性的要求。iSCSI技術的使用在以上兩者之間架設了一道橋梁。iSCSI技術是基於IP協議的技術標准，實現了SCSI和TCP／IP協議的連接，對於以局域網為網絡環境的用戶，只需要不多的投資，就可以方便、快捷地對信息和數據進行交互式傳輸和管理。雖然iSCSI基於IP協議，卻擁有SAN大容量集中開放式存儲的品質。這一技術對於一邊要面對信息高速增長，另一邊卻身處“數據孤島的眾多中小企業無疑具有巨大的吸引力。

　　2. 全自動備份技術

　　該技術是在網絡系統上建立起兩套同樣的且同步工作的文件服務器，如果其中一套出現故障，另一套將立即自動接入系統，接替發生故障的文件服務器的全部工作。通過使用該技術，可以確保容錯系統的數據信息在由於系統或人為誤操作造成損壞或丟失後，能及時在本地實現數據快速恢復；另外，該技術還可以確保容錯系統在發生不可預料或抵御的地域性災難（地震、火災、機器毀壞等）時，及時在本地或異地實現數據及整個系統的災難恢復。

　　3. 事務跟蹤技術

　　該技術是針對數據庫和多用戶軟件的需要而設計的，用以保證數據庫和多用戶應用軟件在全部處理工作還沒有結束時，或者在工作站或服務器發生突然損壞的情況下，能夠保持數據的一致。其工作方式是：對指定的事務（操作）要麼一次完成，要麼什麼操作也不進行。

　　4. 自動檢驗技術

　　一般來說，在對錯誤的或者被損壞的數據進行恢復之前，系統必須要有能力來及時發現引起這些錯誤的原因，所以，一個完整的容錯系統應該離不開自動檢驗技術的支持。自動檢驗技術是用於故障快速檢測的一種有效手段，特別是具有完全自校驗性質的自校驗裝置，它不僅能及時檢查出系統模塊的差錯，還能夠檢測出自身的差錯。在設計一個容錯系統時，如果正確地使用自動檢驗技術，可以大大提高系統對差錯的反應能力，使差錯的潛伏期縮短，有效地阻止錯誤的進一步蔓延，從而有利於其他技術功能及時對錯誤做出相關的糾正措施。

　　有一句格言是“一分鐘的思考等價於一個小時盲目的工作，所以在開始使用解決組策略問題的工具和技術之前，您應該先考慮一下幾個簡單的問題。

　　1.組策略應該應用到哪些用戶和計算機？

　　這是一個非常重要的問題。比方說一個用戶抱怨他不能通過點擊開始菜單的快捷方式來安裝某一個程序，而它的另一位同事可以。像他的這種抱怨一定會讓您撓頭並想知道為什麼軟件安裝策略沒有應用到這位用戶。對於這種問題我們首先得搞清楚應不應該應用這個策略到這個用戶，或許可以安裝軟件的那個用戶與這個用戶不是在一個部門裡，而只有那個部門的用戶被允許使用這個軟件。所以實際上對於這種情況組策略設置沒有問題，問題是出在用戶上，用戶之間喜歡攀比，喜歡更多的特權，大多數公司都會有這種問題，關鍵是搞清楚組策略應該應用給誰。

　　2. 用戶與計算機沒用應用上正確的組策略

　　這個問題適用於用戶與計算機沒有得到他們應該得到的策略。5個銷售部的用戶反映他們無法訪問控制面板，您應該檢查連接到銷售部的組策略對象並查看是否“禁止訪問控制面板被啟用了(這個策略可以從User ConfigurationAdministrative TemplatesControl Panel訪問)，如果這個策略已經禁用或者未配置，那就檢查一下上層的策略或者是域策略的設置。

　　3.留意組策略發生問題的時間

　　留意發生問題的時間可能會幫助您立即找出問題所在，是在您做出對組策略改動後馬上出現問題的麼？比如連接一個新的GPO到一個OU；或者是否對AD做了一些管理性的改動？比如將計算機賬號從默認的計算機容器中移動到一個OU裡，在這種情況下，計算機不但會應用域的組策略，也會應用其所在OU的組策略。

　　4.什麼時候您配置的策略會實際生效？

　　當配置了策略，您會檢查所配置的策略是否已經按照您的要求應用到了計算機或用戶賬戶。這樣很好，但不要忘記組策略只會在後台周期性的更新，所以可能只要等待一會兒，所有的設置都OK了；也可能您所做的設置在刷新的時候並不會應用到用戶，需要他們再此登錄或者重新啟動計算機，比如軟件安裝策略，文件夾重定向策略，開機或登錄腳本等，這種情況下為了保證組策略能夠應用，可能會等到用戶一天工作結束，或者發個郵件讓他們注銷或重啟，最極端的就是遠程強制重啟，但如果用戶沒有保存他們的工作則會出現問題；也可能在重新啟動後有的策略沒有被應用，因為目標計算機與域控制器不是在一個本地網絡中，因為WAN連接帶寬的“組策略慢速連接監測會阻止某些策略。