1. linux中的幾種安全防護技術
系統安全性對於用戶來說至關重要,Linux用戶也不例外。筆者就自己使用Linux的經歷,總結了一些增強Linux安全
防護的小竅門,在此介紹給大家。
1.為LILO增加開機口令
----在/etc/lilo.conf文件中增加選項,從而使LILO啟動時要求輸入口令,以加強系統的安全性。具體設置如下:
----boot=/dev/hda
----map=/boot/map
----install=/boot/boot.b
----time-out=60 #等待1分鍾
----prompt
----default=linux
----password=
---- #口令設置
----image=/boot/vmlinuz-2.2.14-12
----label=linux
----initrd=/boot/initrd-2.2.14-12.img
----root=/dev/hda6
----read-only
----此時需注意,由於在LILO中口令是以明碼方式存放的,所以還需要將
----lilo.conf的文件屬性設置為只有root可以讀寫。
----# chmod 600 /etc/lilo.conf
----當然,還需要進行如下設置,使
----lilo.conf的修改生效。
----# /sbin/lilo -v
2.設置口令最小長度和
----最短使用時間
----口令是系統中認證用戶的主要手段,系統安裝時默認的口令最小長度通常為5,但為保證口令不易被猜測攻擊,
可增加口令的最小長度,至少等於8。為此,需修改文件/etc/login.defs中參數PASS_MIN_LEN。同時應限制口令使
用時間,保證定期更換口令,建議修改參數PASS_MIN_DAYS。
3.用戶超時注銷
----如果用戶離開時忘記注銷賬戶,則可能給系統安全帶來隱患。可修改/etc/profile文件,保證賬戶在一段時間
沒有操作後,自動從系統注銷。
----編輯文件/etc/profile,在「HISTFILESIZE=」行的下一行增加如下一行:
----TMOUT=600
----則所有用戶將在10分鍾無操作後自動注銷。
4.禁止訪問重要文件
----對於系統中的某些關鍵性文件如inetd.conf、services和lilo.conf等可修改其屬性,防止意外修改和被普通
用戶查看。
----首先改變文件屬性為600:
----# chmod 600 /etc/inetd.conf
----保證文件的屬主為root,然後還可以將其設置為不能改變:
----# chattr +i /etc/inetd.conf
----這樣,對該文件的任何改變都將被禁止。
----只有root重新設置復位標志後才能進行修改:
----# chattr -i /etc/inetd.conf
5.允許和禁止遠程訪問
----在Linux中可通過/etc/hosts.allow 和/etc/hosts.deny 這2個文件允許和禁止遠程主機對本地服務的訪問。
通常的做法是:
----(1)編輯hosts.deny文件,加入下列行:
----# Deny access to everyone.
----ALL: ALL@ALL
----則所有服務對所有外部主機禁止,除非由hosts.allow文件指明允許。
----(2)編輯hosts.allow 文件,可加入下列行:
----#Just an example:
----ftp: 202.84.17.11 xinhuanet.com
----則將允許IP地址為202.84.17.11和主機名為xinhuanet.com的機器作為Client訪問FTP服務。
----(3)設置完成後,可用tcpdchk檢查設置是否正確。
6.限制Shell命令記錄大小
----默認情況下,bash shell會在文件$HOME/.bash_history中存放多達500條命令記錄(根據具體的系統不同,默
認記錄條數不同)。系統中每個用戶的主目錄下都有一個這樣的文件。在此筆者強烈建議限制該文件的大小。
----您可以編輯/etc/profile文件,修改其中的選項如下: HISTFILESIZE=30或HISTSIZE=30
7.注銷時刪除命令記錄
----編輯/etc/skel/.bash_logout文件,增加如下行:
----rm -f $HOME/.bash_history
----這樣,系統中的所有用戶在注銷時都會刪除其命令記錄。
----如果只需要針對某個特定用戶,如root用戶進行設置,則可只在該用戶的主目錄下修改/$HOME/.bash_history
文件,增加相同的一行即可。
8.禁止不必要的SUID程序
----SUID可以使普通用戶以root許可權執行某個程序,因此應嚴格控制系統中的此類程序。
----找出root所屬的帶s位的程序:
----# find / -type f −perm−04000−o−perm−02000 -print |less
----禁止其中不必要的程序:
----# chmod a-s program_name
9.檢查開機時顯示的信息
----Linux系統啟動時,屏幕上會滾過一大串開機信息。如果開機時發現有問題,需要在系統啟動後進行檢查,可輸
入下列命令:
----#dmesg >bootmessage
----該命令將把開機時顯示的信息重定向輸出到一個文件bootmessage中。
10.磁碟空間的維護
----經常檢查磁碟空間對維護Linux的文件系統非常必要。而Linux中對磁碟空間維護使用最多的命令就是df和了。
----df命令主要檢查文件系統的使用情況,通常的用法是:
----#df -k
----Filesystem 1k-blocks Used Available Use% Mounted on
----/dev/hda3 1967156 1797786 67688 96% /
----命令檢查文件、目錄和子目錄佔用磁碟空間的情況,通常帶-s選項使用,只顯示需檢查目錄佔用磁碟空間的總計,
而不會顯示下面的子目錄佔用磁碟的情況。
----% -s /usr/X11R6/*
----34490 /usr/X11R6/bin
----1 /usr/X11R6/doc
----3354 /usr/X11R6/include
2. 如何在linux 主機上配置防火牆規則以防止ddos 高級
一、Linux下開啟/關閉防火牆命令 1、永久性生效,重啟後不會復原。 開啟: chkconfig iptables on 關閉: chkconfig iptables off 2、 即時生效,重啟後復原 開啟: service iptables start 關閉: service iptables stop 需要說明的是對於Linux...
3. 如何防止黑客入侵Linux主機
禁止root登錄, 盡量用sudo來執行root命令,不光是為了防止入侵也可以很好的防止誤操作。遠程用ssh別用telnet。 用了小3年從來沒中過什麼招數。 另外可以都看看日誌文件
4. 高分懸賞linux主機防止php訪問虛擬主機以外的目錄的詳細方法
不用在apache里配置什麼東西, 給目錄規定嚴格的訪問控制即可實現這個目標。對上傳目錄nobody可以讀寫,其他目錄nobody不能寫。然後在bbs下嚴格規定php的上傳根目錄siteRoot = dirname(__file__);
5. linux系統怎麼防止DDOS攻擊
Linux 防止DDOS方法
方法一:先說這個簡單效果不大的方法,Linux一般是apache做web服務軟體,一般來說按照訪問習慣全是設置的80埠。你可以改變一下服務埠,編輯httpd.conf文件,Linux下不清楚路徑可以
find / -name httpd.conf
然後
vi $path$/httpd.conf
找到裡面的
listen:80
更改為
listen:8080
重新啟動apache,這樣你的站點就運行在8080埠下了。
方法二:,方法一中攻擊者如果對你足夠關注的話還是會再攻擊你的8080埠,所以還是會死得很慘,那麼如何更有效的阻止攻擊呢。這就要用到iptables了,安裝一下iptables然後再配置一下。
iptables下載:
http://www.netfilter.org/downloads.html
下載文件的名字一般是iptables-1.*.*.tar.bz2
下載完後解壓縮
tar -xvjf ./iptables-1.*.*.tar.bz2 -C /usr/src
我是解壓到了/usr/src里
然後
cd /usr/src/iptables-1.*.*
安裝:
/bin/sh -c make
/bin/sh -c make install
可以用iptables -V來檢查安裝是否正確。
如果有問題用這個命令修復一下
cp ./iptables /sbin
iptables的使用:
安裝了iptables後先關閉ICMP服務
iptables -A OUTPUT -p icmp -d 0/0 -j DROP
這個是做什麼的呢,最簡單直觀的說就是你伺服器上的ip不能被ping到了,這個能防止一部分攻擊。
比如你跟你的ISP聯系了知道了ddos的來源ip 200.200.200.1可以用下面這個命令來阻止來自這個ip的數據流
iptables -A INPUT -s 200.200.200.1 -j DROP
說明:這個命令里200.200.200.1/24 200.200.200.* 格式都是有效的。
執行完後你輸入命令
iptables -L
會看到下面的結果
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 200.200.200.1 anywhere
你每輸入一個iptables命令都會有個對應的num號,比如上面你執行的這個是第一次執行的那麼這個對應的input id就是1,刪除這個限制只要
iptables -D INPUT 1就可以了。
因為在DDOS這個過程里很多ip是偽造的,如果你能找到他們的來源的mac地址(你太厲害了,太有關系了)那麼你還可以用這個命令來禁止來自這個mac地址的數據流:
iptables -A INPUT --mac-source 00:0B:AB:45:56:42 -j DROP
以上是幾個簡單應用,關於一些別的應用我下面給出的英文文獻里還有,大家可以根據自己的情況來利用iptables防止DDOS攻擊。
6. 為什麼linux能防病毒
根本就沒人攻擊他,他是開放性原代碼的操作系統.
Linux操作系統,是一種計算機操作系統。Linux操作系統的內核的名字也是「Linux」。Linux操作系統也是自由軟體和開放源代碼發展中最著名的例子。
嚴格來講,Linux這個詞本身只表示Linux內核,但在實際上人們已經習慣了用Linux來形容整個基於Linux內核,並且使用GNU 工程各種工具和資料庫的操作系統(也被稱為GNU/Linux)。基於這些組件的Linux軟體被稱為Linux發行版。一般來講,一個Linux發行套件包含大量的軟體,比如軟體開發工具,資料庫,Web伺服器(例如Apache),X Window,桌面環境(比如GNOME和KDE),辦公套件(比如OpenOffice.org),等等。
Linux內核最初是為英特爾386微處理器設計的。現在Linux內核支持從個人電腦到大型主機甚至包括嵌入式系統在內的各種硬體設備。
在開始的時候,Linux只是個人狂熱愛好的一種產物。但是現在,Linux已經成為了一種受到廣泛關注和支持的一種操作系統。包括IBM和惠普在內的一些計算機業巨頭也開始支持Linux。很多人認為,和其他的商用Unix系統以及微軟Windows相比,作為自由軟體的Linux具有低成本,安全性高,更加可信賴的優勢。
7. Linux主機如何防止暴力攻擊
一般來說有可以用如下幾種策略做一些簡單的防護:
1.把root改名
linux怎樣更改root名字
2.不準用root直接登錄
linux下如何禁用root賬戶直接登陸
8. Linux伺服器的安全防護都有哪些措施
一、強化密碼強度
只要涉及到登錄,就需要用到密碼,如果密碼設定不恰當,就很容易被黑客破解,如果是超級管理員(root)用戶,如果沒有設立良好的密碼機制,可能給系統造成無法挽回的後果。
很多用戶喜歡用自己的生日、姓名、英文名等信息來設定,這些方式可以通過字典或者社會工程的手段去破解,因此建議用戶在設定密碼時,盡量使用非字典中出現的組合字元,且採用數字與字元、大小寫相結合的密碼,增加密碼被破譯的難度。
二、登錄用戶管理
進入Linux系統前,都是需要登錄的,只有通過系統驗證後,才能進入Linux操作系統,而Linux一般將密碼加密後,存放在/etc/passwd文件中,那麼所有用戶都可以讀取此文件,雖然其中保存的密碼已加密,但安全系數仍不高,因此可以設定影子文件/etc/shadow,只允許有特殊許可權的用戶操作。
三、賬戶安全等級管理
在Linux操作系統上,每個賬戶可以被賦予不同的許可權,因此在建立一個新用戶ID時,系統管理員應根據需要賦予該賬號不同的許可權,且歸並到不同的用戶組中。每個賬號ID應有專人負責,在企業中,如果負責某個ID的員工離職,該立即從系統中刪除該賬號。
四、謹慎使用"r"系列遠程程序管理
在Linux操作系統中,有一系列r開頭的公用程序,如rlogin、rcp等,非常容易被不法分子用來攻擊我們的系統,因此千萬不要將root賬號開放給這些公用程序,現如今很多安全工具都是針對此漏洞而設計的,比如PAM工具,就可以將其有效地禁止掉。
五、root用戶許可權管理
root可謂是Linux重點保護對象,因為其權利是最高的,因此千萬不要將它授權出去,但有些程序的安裝、維護必須要求是超級用戶許可權,在此情況下,可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。
六、綜合防禦管理
防火牆、IDS等防護技術已成功應用到網路安全的各個領域,且都有非常成熟的產品,需要注意的是:在大多數情況下,需要綜合使用這兩項技術,因為防火牆相當於安全防護的第一層,它僅僅通過簡單地比較IP地址/埠對來過濾網路流量,而IDS更加具體,它需要通過具體的數據包(部分或者全部)來過濾網路流量,是安全防護的第二層。綜合使用它們,能夠做到互補,並且發揮各自的優勢,最終實現綜合防禦。
酷酷雲伺服器為您誠意解答,伺服器租戶的選擇,酷酷雲值得信賴。
9. Linux伺服器防護軟體有哪些
宋公明兩贏童貫第78回十節度議取梁山泊