linux如何加強伺服器安全

『壹』 Linux伺服器的安全防護都有哪些措施

一、強化密碼強度
只要涉及到登錄，就需要用到密碼，如果密碼設定不恰當，就很容易被黑客破解，如果是超級管理員(root)用戶，如果沒有設立良好的密碼機制，可能給系統造成無法挽回的後果。
很多用戶喜歡用自己的生日、姓名、英文名等信息來設定，這些方式可以通過字典或者社會工程的手段去破解，因此建議用戶在設定密碼時，盡量使用非字典中出現的組合字元，且採用數字與字元、大小寫相結合的密碼，增加密碼被破譯的難度。
二、登錄用戶管理
進入Linux系統前，都是需要登錄的，只有通過系統驗證後，才能進入Linux操作系統，而Linux一般將密碼加密後，存放在/etc/passwd文件中，那麼所有用戶都可以讀取此文件，雖然其中保存的密碼已加密，但安全系數仍不高，因此可以設定影子文件/etc/shadow，只允許有特殊許可權的用戶操作。
三、賬戶安全等級管理
在Linux操作系統上，每個賬戶可以被賦予不同的許可權，因此在建立一個新用戶ID時，系統管理員應根據需要賦予該賬號不同的許可權，且歸並到不同的用戶組中。每個賬號ID應有專人負責，在企業中，如果負責某個ID的員工離職，該立即從系統中刪除該賬號。
四、謹慎使用"r"系列遠程程序管理
在Linux操作系統中，有一系列r開頭的公用程序，如rlogin、rcp等，非常容易被不法分子用來攻擊我們的系統，因此千萬不要將root賬號開放給這些公用程序，現如今很多安全工具都是針對此漏洞而設計的，比如PAM工具，就可以將其有效地禁止掉。
五、root用戶許可權管理
root可謂是Linux重點保護對象，因為其權利是最高的，因此千萬不要將它授權出去，但有些程序的安裝、維護必須要求是超級用戶許可權，在此情況下，可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。
六、綜合防禦管理
防火牆、IDS等防護技術已成功應用到網路安全的各個領域，且都有非常成熟的產品，需要注意的是：在大多數情況下，需要綜合使用這兩項技術，因為防火牆相當於安全防護的第一層，它僅僅通過簡單地比較IP地址/埠對來過濾網路流量，而IDS更加具體，它需要通過具體的數據包(部分或者全部)來過濾網路流量，是安全防護的第二層。綜合使用它們，能夠做到互補，並且發揮各自的優勢，最終實現綜合防禦。
酷酷雲伺服器為您誠意解答，伺服器租戶的選擇，酷酷雲值得信賴。

『貳』 加強Linux伺服器安全性的幾種方法

1、加密數據通信方式。

所有通過網路神拿弊傳輸的數據都是可以被監聽的，因此只要有可能就要使用密碼、證書等方式加密你的通訊數據。
2、最小化軟體安裝原則。

你確實需要伺服器上安裝的所有服務嗎？避免安裝不必要的服務就是避免漏斗。使用 RPM 包管理工具，例如 yum 或者 apt-get 、dpkg 來檢查系統上安裝的軟體包，同時刪除不必要的包。
3、每個系游族統或實例上只運行一種服務。

將不敏哪同的服務運行在單獨的伺服器或虛擬化實例中。例如：如果黑客攻破Apache進入到系統中，他就可以訪問部署在這台伺服器上的Mysql、E-Mail等其他服務，盡量不要這么做。

『叄』 如何保證Linux伺服器的安全

一、更新伺服器。

『肆』 如何確保Linux系統安全性

但由於該操作系統是一個多用戶操作系統，黑客們為了在攻擊中隱藏自己，往往會選擇 Linux作為首先攻擊的對象。那麼，作為一名Linux用戶，我們該如何通過合理的方法來防範Linux的安全呢？下面筆者搜集和整理了一些防範 Linux安全的幾則措施，現在把它們貢獻出來，懇請各位網友能不斷補充和完善。 1、禁止使用Ping命令Ping命令是計算機之間進行相互檢測線路完好的一個應用程序，計算機間交流數據的傳輸沒有 經過任何的加密處理，因此我們在用ping命令來檢測某一個伺服器時，可能在網際網路上存在某個非法分子，通過專門的黑客程序把在網路線路上傳輸的信息中途 竊取，並利用偷盜過來的信息對指定的伺服器或者系統進行攻擊，為此我們有必要在Linux系統中禁止使用Linux命令。在Linux里，如果要想使 ping沒反應也就是用來忽略icmp包，因此我們可以在Linux的命令行中輸入如下命令： echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all 如果想恢復使用ping命令，就可以輸入 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all2、注意對系統及時備份為了防止系統在使用的過程中發生以外情況而難以正常運行，我們應該對Linux完好的系統進 行備份，最好是在一完成Linux系統的安裝任務後就對整個系統進行備份，以後可以根據這個備份來驗證系統的完整性，這樣就可以發現系統文件是否被非法修 改過。如果發生系統文件已經被破壞的情況，也可以使用系統備份來恢復到正常的狀態。備份信息時，我們可以把完好的系統信息備份在CD-ROM光碟上，以後 可以定期將系統與光碟內容進行比較以驗證系統的完整性是否遭到破壞。如果對安全級別的要求特別高，那麼可以將光碟設置為可啟動的並且將驗證工作作為系統啟 動過程的一部分。這樣只要可以通過光碟啟動，就說明系統尚未被破壞過。 3、改進登錄伺服器將系統的登錄伺服器移到一個單獨的機器中會增加系統的安全級別，使用一個更安全的登錄伺服器 來取代Linux自身的登錄工具也可以進一步提高安全。在大的Linux網路中，最好使用一個單獨的登錄伺服器用於syslog服務。它必須是一個能夠滿 足所有系統登錄需求並且擁有足夠的磁碟空間的伺服器系統，在這個系統上應該沒有其它的服務運行。更安全的登錄伺服器會大大削弱入侵者透過登錄系統竄改日誌 文件的能力。 4、取消Root命令歷史記錄在Linux下，系統會自動記錄用戶輸入過的命令，而root用戶發出的命令往往具有敏感的 信息，為了保證安全性，一般應該不記錄或者少記錄root的命令歷史記錄。為了設置系統不記錄每個人執行過的命令，我們可以在Linux的命令行下，首先 用cd命令進入到/etc命令，然後用編輯命令來打開該目錄下面的profile文件，並在其中輸入如下內容： HISTFILESIZE=0
HISTSIZE=0當然，我們也可以直接在命令行中輸入如下命令： ln -s /dev/null ~/.bash_history5、為關鍵分區建立只讀屬性Linux的文件系統可以分成幾個主要的分區，每個分區分別進行不同的配置和安裝，一般情況 下至少要建立/、/usr/local、/var和/home等分區。/usr可以安裝成只讀並且可以被認為是不可修改的。如果/usr中有任何文件發生 了改變，那麼系統將立即發出安全報警。當然這不包括用戶自己改變/usr中的內容。/lib、/boot和/sbin的安裝和設置也一樣。在安裝時應該盡 量將它們設置為只讀，並且對它們的文件、目錄和屬性進行的任何修改都會導致系統報警。 當然將所有主要的分區都設置為只讀是不可能的,有的分區如/var等，其自身的性質就決定了不能將它們設置為只讀，但應該不允許它具有執行許可權。 6、殺掉攻擊者的所有進程假設我們從系統的日誌文件中發現了一個用戶從我們未知的主機登錄，而且我們確定該用戶在這台 主機上沒有相應的帳號，這表明此時我們正在受到攻擊。為了保證系統的安全被進一步破壞，我們應該馬上鎖住指定的帳號，如果攻擊者已經登錄到指定的系統，我 們應該馬上斷開主機與網路的物理連接。如有可能，我們還要進一步查看此用戶的歷史記錄，再仔細查看一下其他用戶是否也已經被假冒，攻擊者是否擁有有限權 限；最後應該殺掉此用戶的所有進程，並把此主機的IP地址掩碼加入到文件hosts.deny中。 7、改進系統內部安全機制我們可以通過改進Linux操作系統的內部功能來防止緩沖區溢出，從而達到增強Linux系 統內部安全機制的目的，大大提高了整個系統的安全性。但緩沖區溢出實施起來是相當困難的，因為入侵者必須能夠判斷潛在的緩沖區溢出何時會出現以及它在內存 中的什麼位置出現。緩沖區溢出預防起來也十分困難，系統管理員必須完全去掉緩沖區溢出存在的條件才能防止這種方式的攻擊。正因為如此，許多人甚至包括 Linux Torvalds本人也認為這個安全Linux補丁十分重要，因為它防止了所有使用緩沖區溢出的攻擊。但是需要引起注意的是，這些補丁也會導致對執行棧的 某些程序和庫的依賴問題，這些問題也給系統管理員帶來的新的挑戰。 8、對系統進行跟蹤記錄為了能密切地監視黑客的攻擊活動，我們應該啟動日誌文件，來記錄系統的運行情況，當黑客在攻 擊系統時，它的蛛絲馬跡都會被記錄在日誌文件中的，因此有許多黑客在開始攻擊系統時，往往首先通過修改系統的日誌文件，來隱藏自己的行蹤，為此我們必須限 制對/var/log文件的訪問，禁止一般許可權的用戶去查看日誌文件。當然，系統中內置的日誌管理程序功能可能不是太強，我們應該採用專門的日誌程序，來 觀察那些可疑的多次連接嘗試。另外，我們還要小心保護好具有根許可權的密碼和用戶，因為黑客一旦知道了這些具有根許可權的帳號後，他們就可以修改日誌文件來隱 藏其蹤跡了。 9、使用專用程序來防範安全有時，我們通過人工的方法來監視系統的安全比較麻煩，或者是不周密，因此我們還可以通過專業 程序來防範系統的安全，目前最典型的方法為設置陷井和設置蜜罐兩種方法。所謂陷井就是激活時能夠觸發報警事件的軟體，而蜜罐（honey pot）程序是指設計來引誘有入侵企圖者觸發專門的報警的陷井程序。通過設置陷井和蜜罐程序，一旦出現入侵事件系統可以很快發出報警。在許多大的網路中， 一般都設計有專門的陷井程序。陷井程序一般分為兩種：一種是只發現入侵者而不對其採取報復行動，另一種是同時採取報復行動。 10、將入侵消滅在萌芽狀態入侵者進行攻擊之前最常做的一件事情就是端號掃瞄，如果能夠及時發現和阻止入侵者的端號掃瞄 行為，那麼可以大大減少入侵事件的發生率。反應系統可以是一個簡單的狀態檢查包過濾器，也可以是一個復雜的入侵檢測系統或可配置的防火牆。我們可以採用諸 如Abacus Port Sentry這樣專業的工具，來監視網路介面並且與防火牆交互操作，最終達到關閉埠掃瞄攻擊的目的。當發生正在進行的埠掃瞄時，Abacus Sentry可以迅速阻止它繼續執行。但是如果配置不當，它也可能允許敵意的外部者在你的系統中安裝拒絕服務攻擊。正確地使用這個軟體將能夠有效地防止對 端號大量的並行掃瞄並且阻止所有這樣的入侵者。 11、嚴格管理好口令前面我們也曾經說到過，黑客一旦獲取具有根許可權的帳號時，就可以對系統進行任意的破壞和攻 擊，因此我們必須保護好系統的操作口令。通常用戶的口令是保存在文件/etc/passwd文件中的，盡管/etc/passwd是一個經過加密的文件， 但黑客們可以通過許多專用的搜索方法來查找口令，如果我們的口令選擇不當，就很容易被黑客搜索到。因此，我們一定要選擇一個確保不容易被搜索的口令。另外，我們最好能安裝一個口令過濾工具，並借用該工具來幫助自己檢查設置的口令是否耐得住攻擊。

『伍』 如何保證Linux伺服器的網路安全

本文將向你介紹基本的 Linux 伺服器安全知識。雖然主要針對 Debian/Ubuntu，但是你可以將此處介紹的所有內容應用於其他 Linux 發行版。我也鼓勵你研究這份材料，並在適當的情況下進行擴展。

1、更新你的伺服器

保護伺服器安全的第一件事是更新本地存儲庫，並通過應用最新的修補程序來升級操作系統和已安裝的應用程序。

在 Ubuntu 和 Debian 上：

$ sudo apt update && sudo apt upgrade -y

在 Fedora、CentOS 或 RHEL：

$ sudo dnf upgrade

2、創建一個新的特權用戶

接下來，創建一個新的用戶帳戶。永遠不要以 root 身份登錄伺服器，而是創建你自己的帳戶（用戶），賦予它 sudo 許可權，然後使用它登錄你的伺服器。

首先創建一個新用戶：

$ adser <username>

通過將 sudo 組（-G）附加（-a）到用戶的組成員身份里，從而授予新用戶帳戶 sudo 許可權：

$ usermod -a -G sudo <username>

3、上傳你的 SSH 密鑰

你應該使用 SSH 密鑰登錄到新伺服器。你可以使用 ssh--id 命令將 預生成的 SSH 密鑰 上傳到你的新伺服器：

$ ssh--id <username>@ip_address

現在，你無需輸入密碼即可登錄到新伺服器。

4、安全強化 SSH

接下來，進行以下三個更改：

• 禁用 SSH 密碼認證

• 限制 root 遠程登錄

• 限制對 IPv4 或 IPv6 的訪問

使用你選擇的文本編輯器打開 /etc/ssh/sshd_config 並確保以下行：

• PasswordAuthentication yes
• PermitRootLogin yes



改成這樣：

• PasswordAuthentication no


• PermitRootLogin no



接下來，通過修改 AddressFamily 選項將 SSH 服務限制為 IPv4 或 IPv6。要將其更改為僅使用 IPv4（對大多數人來說應該沒問題），請進行以下更改：

• AddressFamily inet



重新啟動 SSH 服務以啟用你的更改。請注意，在重新啟動 SSH 服務之前，與伺服器建立兩個活動連接是一個好主意。有了這些額外的連接，你可以在重新啟動 SSH 服務出錯的情況下修復所有問題。

在 Ubuntu 上：

• $ sudo service sshd restart



在 Fedora 或 CentOS 或任何使用 Systemd 的系統上：

• $ sudo systemctl restart sshd



5、啟用防火牆

現在，你需要安裝防火牆、啟用防火牆並對其進行配置，以僅允許你指定的網路流量通過。（Ubuntu 上的） 簡單的防火牆 （UFW）是一個易用的 iptables 界面，可大大簡化防火牆的配置過程。

你可以通過以下方式安裝 UFW：

• $ sudo apt install ufw



默認情況下，UFW 拒絕所有傳入連接，並允許所有傳出連接。這意味著伺服器上的任何應用程序都可以訪問互聯網，但是任何嘗試訪問伺服器的內容都無法連接。

首先，確保你可以通過啟用對 SSH、HTTP 和 HTTPS 的訪問來登錄：

• $ sudo ufw allow ssh


• $ sudo ufw allow http


• $ sudo ufw allow https



然後啟用 UFW：

• $ sudo ufw enable



你可以通過以下方式查看允許和拒絕了哪些服務：

• $ sudo ufw status



如果你想禁用 UFW，可以通過鍵入以下命令來禁用：

• $ sudo ufw disable



你還可以（在 RHEL/CentOS 上）使用 firewall-cmd ，它已經安裝並集成到某些發行版中。

6、安裝 Fail2ban

Fail2ban 是一種用於檢查伺服器日誌以查找重復或自動攻擊的應用程序。如果找到任何攻擊，它會更改防火牆以永久地或在指定的時間內阻止攻擊者的 IP 地址。

你可以通過鍵入以下命令來安裝 Fail2ban：

• $ sudo apt install fail2ban -y



然後復制隨附的配置文件：

• $ sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local



重啟 Fail2ban：

• $ sudo service fail2ban restart



這樣就行了。該軟體將不斷檢查日誌文件以查找攻擊。一段時間後，該應用程序將建立相當多的封禁的 IP 地址列表。你可以通過以下方法查詢 SSH 服務的當前狀態來查看此列表：

• $ sudo fail2ban-client status ssh



7、移除無用的網路服務

幾乎所有 Linux 伺服器操作系統都啟用了一些面向網路的服務。你可能希望保留其中大多數，然而，有一些你或許希望刪除。你可以使用 ss 命令查看所有正在運行的網路服務：（LCTT 譯註：應該是只保留少部分，而所有確認無關的、無用的服務都應該停用或刪除。）

• $ sudo ss -atpu



ss 的輸出取決於你的操作系統。下面是一個示例，它顯示 SSH（sshd）和 Ngnix（nginx）服務正在偵聽網路並准備連接：

• tcp LISTEN 0 128 *:http *:* users:(("nginx",pid=22563,fd=7))


• tcp LISTEN 0 128 *:ssh *:* users:(("sshd",pid=685,fd=3))



刪除未使用的服務的方式因你的操作系統及其使用的程序包管理器而異。

要在 Debian / Ubuntu 上刪除未使用的服務：

• $ sudo apt purge <service_name>



要在 Red Hat/CentOS 上刪除未使用的服務：

• $ sudo yum remove <service_name>



再次運行 ss -atup 以確認這些未使用的服務沒有安裝和運行。

以上文章來源www.idccoupon.com，歡迎一起交流討論學習。

『陸』 防黑加固Linux伺服器安全加固

使用一些安全測試的辦法與工具對伺服器進行風險檢測，找出伺服器的脆弱點以及存在的安全缺陷。
針對伺服器操作系統自身的安全測試，包括一些系統配置、主機漏洞掃描等等
查看伺服器操作系統當前用戶是否為root用戶，盡量避免使用root用戶登錄，啟動其他服務程序，除非是一些需要root許可權的安全工具，前提需要保證工具來源可信。終端需要 who 既可以查看當前登錄用戶。
登錄到Linux系統，此時切換到root用戶，下載lynis安全審計工具，切換到lynis運行腳本目錄，執行 ./lynis --check-all –Q 腳本語句，開始對本地主機掃描審計，等待掃描結束，查看掃描結果。
登錄到Linux系統，切換到root用戶，使用命令行方式安裝Clamav 殺毒軟體，安裝完畢需要更新病毒庫，執行掃描任務，等待掃描結束獲取掃描結果，根據掃描結果刪除惡意代碼病毒；
登錄到Linux系統，切換到root用戶，下載Maldetect Linux惡意軟體檢測工具，解壓縮後完成安裝。運行掃描命令檢測病毒，等待掃描結束獲取掃描報告，根據掃描報告刪除惡意病毒軟體；
登錄到Linux系統，切換到root用戶，下載Chkrootkit後門檢測工具包，解壓縮後進入 Chkrootkit目錄，使用gcc安裝Chkrootkit，安裝成功即開始Chkrootkit掃描工作，等待掃描結束，根據掃描結果恢復系統；
登錄到Linux系統，切換到root用戶，下載RKHunter 後門檢測工具包，解壓縮後進入 RKHunter 目錄，執行命令安裝RKHunter ，安裝成功即開始啟用後門檢測工作，等待檢測結束，根據檢測報告更新操作系統，打上漏洞對應補丁；
使用下面工具掃描Web站點：nikto、wa3f、sqlmap、safe3 … …
掃描Web站點的信息：操作系統類型、操作系統版本、埠、伺服器類型、伺服器版本、Web站點錯誤詳細信息、Web目錄索引、Web站點結構、Web後台管理頁面 …
測試sql注入，出現幾個sql注入點
測試xss攻擊，出現幾個xss注入點
手動測試某些網頁的輸入表單，存在沒有進行邏輯判斷的表單，例如：輸入郵箱的表單，對於非郵箱地址的輸入結果，任然會繼續處理，而不是提示輸入錯誤，返回繼續輸入。
針對風險測試後得到的安全測試報告，修復系統存在的脆弱點與缺陷，並且進一步加強伺服器的安全能力，可以藉助一些安全工具與監控工具的幫助來實現。
對伺服器本身存在的脆弱性與缺陷性進行的安全加固措施。
使用非root用戶登錄操作系統，使用非root用戶運行其他服務程序，如：web程序等；
web許可權，只有web用戶組用戶才能操作web應用，web用戶組添加當前系統用戶；
資料庫許可權，只有資料庫用戶組用戶才能操作資料庫，資料庫用戶組添加當前系統用戶；
根據安全審計、惡意代碼檢查、後門檢測等工具掃描出來的結果，及時更新操作系統，針對暴露的漏洞打上補丁。
對於發現的惡意代碼病毒與後門程序等及時刪除，恢復系統的完整性、可信行與可用性。
部署在伺服器上的Web站點因為程序員編寫代碼時沒有注意大多的安全問題，造成Web服務站點上面有一些容易被利用安全漏洞，修復這些漏洞以避免遭受入侵被破壞。
配置當前伺服器隱藏伺服器信息，例如配置伺服器，隱藏伺服器類型、伺服器的版本、隱藏伺服器管理頁面或者限制IP訪問伺服器管理頁面、Web站點錯誤返回信息提供友好界面、隱藏Web索引頁面、隱藏Web站點後台管理或者限制IP訪問Web站點後台。
使用Web代碼過濾sql注入或者使用代理伺服器過濾sql注入，這里更加應該使用Web代碼過濾sql注入，因為在頁面即將提交給伺服器之前過濾sql注入，比sql注入到達代理伺服器時過濾，更加高效、節省資源，用戶體驗更好，處理邏輯更加簡單。