萬盛學電腦網

 萬盛學電腦網 >> Linux教程 >> Linux系統安全設置 全面堅固系統穩定安全

Linux系統安全設置 全面堅固系統穩定安全

class="152896"> 中小企業由於缺少經驗豐富的Linux網絡管理員和安全產品采購資金。筆者將從服務器安全、網絡設備的安全、接入互聯網的安全和內部網絡的安全四個方面來解決企業的煩惱。
如今許多中小用戶因業務發展,不斷更新或升級網絡,從而造成自身用戶環境差異較大,整個網絡系統平台參差不齊,服務器端大多采用;Linux系統的,而PC端使用Windows系統。所以在企業應用中往往是Linux/Unix和Windows操作系統共存形成異構網絡。中小企業由於缺少經驗豐富的Linux網絡管理員和安全產品采購資金,所以對於網絡安全經常缺乏缺乏全面的考慮。筆者將從服務器安全、網絡設備的安全、接入互聯網的安全和內部網絡的安全四個方面來解決企業的煩惱。

一、服務器安全:

  1.;關閉無用的端口

  任何網絡連接都是通過開放的應用端口來實現的。如果我們盡可能少地開放端口,就使網絡攻擊變成無源之水,從而大大減少了攻擊者成功的機會。

  首先檢查你的inetd.conf文件。inetd在某些端口上守侯,准備為你提供必要的服務。如果某人開發出一個特殊的inetd守護程序,這裡;就存在一個安全隱患。你應當在inetd.conf文件中注釋掉那些永不會用到的服務(如:echo、gopher、rsh、rlogin、rexec、;ntalk、finger等)。注釋除非絕對需要,你一定要注釋掉rsh、rlogin和rexec,而telnet建議你使用更為安全的ssh來代替,;然後殺掉lnetd進程。這樣inetd不再監控你機器上的守護程序,從而杜絕有人利用它來竊取你的應用端口。你最好是下載一個端口掃描程序掃描你的系;統,如果發現有你不知道的開放端口,馬上找到正使用它的進程,從而判斷是否關閉它們。

  2.;刪除不用的軟件包

  在進行系統規劃時,總的原則是將不需要的服務一律去掉。默認的Linux就是一個強大的系統,運行了很多的服務。但有許多服務是不需要的,很容易引;起安全風險。這個文件就是/etc/inetd.conf,它制定了/usr/sbin/inetd將要監聽的服務,你可能只需要其中的兩個:;telnet和ftp,其它的類如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth;等,除非你真的想用它,否則統統關閉。

  3.;不設置缺省路由

  在主機中,應該嚴格禁止設置缺省路由,即default;route。建議為每一個子網或網段設置一個路由,否則其它機器就可能通過一定方式訪問該主機

  4.;口令管理

  口令的長度一般不要少於8個字符,口令的組成應以無規則的大小寫字母、數字和符號相結合,嚴格避免用英語單詞或詞組等設置口令,而且各用戶的口令應;該養成定期更換的習慣。另外,口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護,必須做到只有系統管理員才能訪問這2個文;件。安裝一個口令過濾工具加npasswd,能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具,建議你現在馬上安裝。如果你是系統管理;員,你的系統中又沒有安裝口令過濾工具,請你馬上檢查所有用戶的口令是否能被窮盡搜索到,即對你的/ect/passwd文件實施窮盡搜索攻擊。

  5.;分區管理

  一個潛在的攻擊,它首先就會嘗試緩沖區溢出。在過去的幾年中,以緩沖區溢出為類型的安全漏洞是最為常見的一種形式了。更為嚴重的是,緩沖區溢出漏洞;占了遠程網絡攻擊的絕大多數,這種攻擊可以輕易使得一個匿名的Internet用戶有機會獲得一台主機的部分或全部的控制權!

  為了防止此類攻擊,我們從安裝系統時就應該注意。如果用root分區記錄數據,如log文件,就可能因為拒絕服務產生大量日志或垃圾郵件,從而導致;系統崩潰。所以建議為/var開辟單獨的分區,用來存放日志和郵件,以避免root分區被溢出。最好為特殊的應用程序單獨開一個分區,特別是可以產生大量;日志的程序,還建議為/home單獨分一個區,這樣他們就不能填滿/分區了,從而就避免了部分針對Linux分區溢出的惡意攻擊。

6.;防范網絡嗅探:

  嗅探器技術被廣泛應用於網絡維護和管理方面,它工作的時候就像一部被動聲納,默默的接收看來自網絡的各種信息,通過對這些數據的分析,網絡管理員可;以深入了解網絡當前的運行狀況,以便找出網絡中的漏洞。在網絡安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防范嗅探器的危害.嗅探器能夠造;成很大的安全危害,主要是因為它們不容易被發現。對於一個安全性能要求很嚴格的企業,同時使用安全的拓撲結構、會話加密、使用靜態的ARP地址是有必要;的。

  7.;完整的日志管理

  日志文件時刻為你記錄著你的系統的運行情況。當安全光臨時,也不能逃脫日志的法眼。所以安全往往在攻擊時修改日志文件,來隱藏蹤跡。因此我們要限制對/var/log文件的訪問,禁止一般權限的用戶去查看日志文件。

  另外,我們還可以安裝一個icmp/tcp日志管理程序,如iplogger,來觀察那些可疑的多次的連接嘗試(加icmp;flood3或一些類似的情況)。還要小心一些來自不明主機的登錄。

  完整的日志管理要包括網絡數據的正確性、有效性、合法性。對日志文件的分析還可以預防入侵。例如、某一個用戶幾小時內的20次的注冊失敗記錄,很可能是入侵者正在嘗試該用戶的口令。

  8.;終止正進行的攻擊

  假如你在檢查日志文件時,發現了一個用戶從你未知的主機登錄,而且你確定此用戶在這台主機上沒有賬號,此時你可能正被攻擊。首先你要馬上鎖住此賬號;(在口令文件或shadow文件中,此用戶的口令前加一個Ib或其他的字符)。若攻擊者已經連接到系統,你應馬上斷開主機與網絡的物理連接。如有可能,你;還要進一步查看此用戶的歷史記錄,查看其他用戶是否也被假冒,攻擊音是否擁有根權限。殺掉此用戶的所有進程並把此主機的ip地址掩碼加到文件;hosts.deny中。

  9.;使用安全工具軟件:

  Linux已經有一些工具可以保障服;務器的安全。如bastille;linux。對於不熟悉;linux;安全設定的使用者來說,是一套相當方便的軟件,bastille;linux;目的是希望在已經存在的;linux;系統上,建構出一個安全性的環境。另外隨著Linux病毒的出現,現在已經有一些Linux服務器防病毒軟件,安裝Linux防病毒軟件已經是非常迫切了。
copyright © 萬盛學電腦網 all rights reserved