Linux服务器安全防护部署
Abstract Linux operating system is an operating system with open source code, its excellent stability, safety, strong load capacity, compared to the Windows operating system has more advantages. But does not represent a safety problem does not exist in the Linux system, Linux system after the installation is complete, must carry out the necessary configuration, to enhance the security of Linux server, and decrease the possibility of the system to be attacked, increase the stability of the system.
Keywords Linux The server Safety The firewall System optimiza-tion
1 用户权限配置
1)屏蔽、删除被操作系统本身启动的不必要的用户和用户组。Linux 提供了很多默认的用户和用户组,而用户越多,系统就越容易受到利用和攻击,因此删除不必要的用户和用户组可提高系统的安全性。
命令:userdel 用户名
groupdel 用户组名
2)用户口令应使用字母、数字、特殊符号的无规则组合,绝对不要单独使用英语单子或词组,必须保证在密码中存在至少一个特殊符号和一个数字。强制要求系统中非root用户密码最大使用天数为60天、长度不能小于8位。
命令:vi /etc/login.defs
PASS_MAX_DAYS 60
PASS_MIN_LENGTH 8
3)root用户如果忘记注销就离开服务器会很危险,所以强制要求root 用户在一定时间内没有操作则自动注销root
用户。
命令:vi /etc/profile
TMOUT=300
4)检查系统中是否存在空密码的用户,空密码很容易使服务器用户被盗,建议在检查出空密码用户后,排查是否为正常用户,正常用户强制修改密码,非正常用户直接删除。
命令:gawk -F ‘:’ '($2 == “”){print $1}’ /etc/shadow 5)检查系统中是否存在除root之外的特权用户,在Linux系统中建议只有root一个特权用户,非root的特权用户,根据实际情况,通过降权或删除方式来保证系统的安全性。
命令:gawk -F ‘:’ '($3 == “0” && $1 != “root”) {print $1}’ /etc/passwd
6)检查root用户的环境变量设置中是否存在‘.’路径,防止root 用户运行非指定的命令,导致木马病毒程序攻击。删除在$PATH中设置的‘.’路径。
命令:echo $PATH
2 系统服务配置
Linux系统服务是指执行指定系统功能的程序,是Linux系统不可缺
少的组成部分。但不是系统服务都需要开启,为减少系统资源占用,增加系统性能,减少系统的安全隐患,开启系统服务应使用最小最新原则,即非必要服务不开启,如必须开启服务则一定使用服务的最新版本。下边简要介绍Linux系统中可以关闭的系统服务。
1)acpid是进阶电源管理接口,可以监听来自核心层的电源相关时间而予以回应,在预定义时间内无操作,可以进入节电休眠状态,支持的通用操作有电源开关、电池监视、笔记本开关、笔记本显示屏亮度、休眠、挂机等等。Linux服务器通常都是7*24运行,访问操作随时发生,节电休眠状态会影响整体系统的反映速度和性能,建议关闭。
2)anacron与循环型的工作任务 cron 有关,可在任务过期后还可以唤醒来继续执行,配置文件在 /etc/anacrontab,可以通过atd和crond 来代替,可通过关闭此服务来减少对系统资源的占用,建议关闭。
3)apmd是基于BOIS的高级电源管理服务,可检测电池电量,当电池电量不足时,可以自动关机以保护电脑主机。在机房的服务器不存在电量不足的情况,并且其部分功能已被acpi代替,可通过关闭此服务来减少对系统资源的占用,建议关闭。
4)arptables_jf为arptables网络的用户控制过滤的守护进程,arptables处理arp协议有关包,这些包在iptables中不会处理,一般在服务器外围都会有硬件防火墙,所以此服务的作用不大,可通过关闭此服务来减少对系统资源的占用,建议关闭。
5)arpwatch记录日志并构建一个在LAN接口上看到的以太网地址和IP地址对数据库,配合arptables使用,一般在服务器外围都会有硬件防