Ⅰ 如何在linux伺服器上配置SSH密鑰驗證
客戶端設置
客戶需要生成密鑰對(公共和私有)。 稍後我們會將公鑰上傳到SSH伺服器。
ssh-keygen
生成SSH密鑰時,系統將提示您輸入密碼。 我們建議在此步驟中使用新密碼。 這將避免別人使用你的鑰匙。
將公鑰上傳到伺服器
現在我們將使用ssh--id命令來上傳密鑰。 您可以手動將公鑰(~/.ssh/id_rsa.pub)附加到伺服器上的~/.ssh/authorized_keys。
ssh--id user@hostname
更安全的SSH設置
此步驟是可選的,但建議禁用密碼驗證(特別是root用戶)打開文件 /etc/ssh/sshd_config 並將PasswordAuthentication更改為「no」值。
PasswordAuthentication no
確保在重新啟動SSH伺服器之前測試您的ssh密鑰驗證!
sudo service ssh restart
Ⅱ 為什麼要用Linux做伺服器
Linux伺服器優勢1:良好的穩定性
Linux內核的源代碼是以標准規范的32位(在64位CPU上是64位)的計算機來做的最佳化設計,可確保其系統的穩定性。正因為Linux的穩定,才使得一些安裝Linux的主機像Unix機一樣常年不關而不曾宕機。
Linux伺服器優勢2:豐富的軟體支持
與其他的操作系統不同的是,安裝了Linux系統後,用戶常用的一些辦公軟體、圖形處理工具、多媒體播放軟體和網路工具等都已無需安裝。而對於程序開發人員來說,Linux更是一個很好的操作平台,在Linux的軟體包中,包含了多種程序語言與開發工具,如gcc、cc、C++、Tcl/Tk、Perl、Fortran77等。
Linux伺服器優勢3:可靠的安全性
Linux系統是一個具有先天病毒免疫能力的操作系統,很少受到病毒攻擊。
對於一個開放式系統而言,在方便用戶的同時,很可能存在安全隱患。不過,利用Linux自帶防火牆、入侵檢測和安全認證等工具,及時修補系統的漏洞,就能大大提高Linux系統的安全性,讓黑客們無機可乘。
Linux伺服器優勢4:完善的網路功能
Linux內置了很豐富的免費網路伺服器軟體、資料庫和網頁的開發工具,如Apache、Sendmail、VSFtp、SSH、MySQL、PHP和JSP等。近年來,越來越多的企業看到了Linux的這些強大的功能,利用Linux擔任全方位的網路伺服器。
Linux伺服器優勢5:多用戶多任務
和Unix系統一樣,Linux系統是一個真正的多用戶多任務的操作系統。多個用戶可以各自擁有和使用系統資源,即每個用戶對自己的資源(例如:文件、設備)有特定的許可權,互不影響,同時多個用戶可以在同一時間以網路聯機的方式使用計算機系統。多任務是現代計算機的最主要的一個特點,由於Linux系統調度每一個進程是平等地訪問處理器的,所以它能同時執行多個程序,而且各個程序的運行是互相獨立的。
Linux伺服器優勢6:跨平台的硬體支持
由於Linux的內核大部分是用C語言編寫的,並採用了可移植的Unix標准應用程序介面,所以它支持如i386、Alpha、AMD和Sparc等系統平台,以及從個人電腦到大型主機,甚至包括嵌入式系統在內的各種硬體設備。 如需詳細了解Linux請看《Linux就該這么學》。
Ⅲ 如何在 Linux 下通過 WEB 認證方式上網
問題就在這些 Web 頁面使用 IE 方言的 javaScripts 上,有幾種解決方法:
1。使用 Linux 下 IE 兼容的瀏覽器,有嗎?誰知道請告訴我。
2。使用 wine + IE 的方法,有成功的嗎?大家共同分享。
3。如果將這些鳥語改為普通話,我們就可以用 Mozilla 等非 IE 瀏覽器通過 Web 認證方式上網了。
4。要求 ISP 提供支持 W3C 標準的認證頁面。
5。分析 web 認證的原理,編寫認證程序。
最理想的方法四,可是我等不急,也不一定能等到,也許你比我幸運。我採取第三種方法,對於方法三,你一定會問:認證頁面在 Web Server 上,我無權修改,行不通。確實如此,這里有個變通的辦法:下載認證頁面,按照 JavaScripts 標准修改並保存在本地,每次上網前用本地經過修改的 Web 認證頁面而非 Web Server 的認證頁面就可以了。具體修改方法, 找出認證頁面使用 IE 方言的 JavaScritps,根據對照表提供的修改建議對你的認證頁面作出相應修改。對於使用.cab 的認證頁面,情況就比較復雜。需要分析這個.cab 在你的 JavaScripts 中的用法,判斷它的功能,我這里是用它獲得本地 IP。所以,我在本地執行腳本獲得 IP 來模擬這個功能。似乎.cab 多與 IP 有關。
一個例子
* 以我這里為例,我的使用環境:
ISP:鐵通 ADSL
認證方式:Web 認證
ISP 的接入伺服器:華為 Quidway MA5200E/F (具體型號不能完全確定)
Linux:GENTOO 1.4 rc-3
Browser: Mozilla 1.4a/Phoenix 0.5
* 在 Linux 下用 mozilla (一定要用非 IE 瀏覽器獲得認證頁面,這話有點多餘,但有的用戶是在 Window$ 下調試的),訪問 ISP 的 WEB 認證頁面時,瀏覽器中沒有顯示任何內容,根本無法輸入帳號和密碼,更談不上通過認證。這難不倒咱 linuxer, 查看認證頁面(/index.jsp)源碼,發現這兩段 javascript:
id="PortalClient"
codebase=http://61.61.61.61:80/PortalAX.cab#version=1,0,1,8
...
var clientIp = PortalClient.localIP;
var languagetype = 0;
if ((clientIp=="")(clientIp==null)) {
window.parent.location.href="/ipError.jsp";
} else {
window.parent.location.href="/queryPort.jsp?ip="+clientIp+"newbl="+languagetype;
}
可以看出它用 PortalClient 獲得本地的 IP,如果成功,轉到 http://你的WEB認證頁面/queryPort.jsp?ip=你當前的IP 。而 Mozilla 不支持它獲取 IP (PortalClient,是針對IE的,唉,這個程序編得太短視),看來問題出在這里。既然如此,我們可以手工加上自己的 IP(這個 IP 是與 ADSL 相聯的網卡從 ISP 的 DHCP 伺服器獲得的地址)。在 Mozilla 地址欄中輸入:
http://61.61.61.61/queryPort.jsp?ip=192.168.0.2
--------^^^^^^^^^^^------------------^^^^^^^^^^^
--------你的ISP認證伺服器 ------------- 你當前的IP
嗒嗒,登錄頁面出來啦!
趕快輸入帳號,密碼,按登錄按鈕(期待中。。。)。
viva!!!
ISP 的首頁終於被揪出來啦,在終端中 ping www.gnu.org ,ping 通,沒問題。
* 至此,在 Linux 下 web 認證方式已經完成。方法很簡單,每次上網時,在 mozilla 的地址欄中輸入:
http://你的ISP認證伺服器地址/queryPort.jsp?ip=你當前的IP
登錄頁面出來後,和 IE 中的操作過程完全一樣。
* 當然你可以把這些步驟寫成一個腳本,以後簡單執行腳本就可以了。
#!/bin/bash
dhcpcd eth1
phoenix http://61.61.61.61/queryPort.jsp?ip=`ifconfig eth1grep inetsed 's/^ *//'sed 's/ /:/g'cut -f3 -d:` &
說明:
eth1 是與 ADSL 聯的網卡名,根據你的實際情況填寫。
61.61.61.61 是我這 ISP 的認證地址。
後面一段是獲得 eth1 的 ip 地址。
注意!一定要用非 IE 瀏覽器獲得調試認證頁面,因為 IE 可以執行認證頁面的 JavaScripts,有些認證過程實際上是執行多個頁面完成的,IE 最後停留的頁面不一定是起始的認證頁面,你有可能漏掉前面的重要信息,我這里就是這種情況。
另外一種方法
如果你對方法 3 不滿意,可以用方法 5,繼續分析 web 認證的原理,編寫自己的認證程序。其實搞清原理後,實現的方法更簡單,更靈活,而且在 ISP 要求客戶端定時發送 keep-alive 包的情況下,也只能採取這種方法。我是這樣做的:
1。用網路分析軟體(如:ethereal),抓取正常認證過程的通訊包;
在 windoze 下,用 ethereal 抓包。注意抓包時,除了 IE 不要啟動其它產生網路通訊的程序,以免產生干擾數據;保存這些通訊包。
2。分析所抓包的內容;
只要看一眼 web 認證過程產生的通訊包,你就明白我為什麼說這種方法更簡單了。簡單講,web 認證方式實際是客戶端用 http 協議向 ISP 發送用戶名、密碼和 IP 等內容的過程。客戶端讀取認證頁面;將填寫好認證頁面表格發送到 ISP 的認證伺服器。過程就這么簡單。
3。編寫生成這些包的程序;
用任意一個支持 http 協議的語言或工具,編寫向認證伺服器 POST 認證頁面中 form 的程序即可,甚至讀取認證頁面都不需要。我用 curl 和 python 各做了一個。如果你略微了解 http 協議,只要找到認證頁面中向伺服器 POST 用戶名、密碼等數據的 form,然後轉換為你採用語言的語法格式就可以了,根本不需要分析認證頁面中繁雜的 Javascripts。對計時窗發出的 keep-alive 包也採用同樣的方法。
例子:
* 認證頁面中的 form
action="http://xxxxxxx:80/secu/webLogin.jsp">
type="hidden" name="connectname" value="">
name="connecttype" type="hidden">
type="hidden">
value="192.168.000.000" name="localip" type="hidden">
name="IsIndex" type="hidden"> 用戶名: 密 碼:name="password" type="password"> type="submit">
* 用 curl 寫的一個腳本:
#!/bin/bash
/etc/init.d/myiptables start
dhcpcd eth1
MYIP=`ifconfig eth1grep inetsed 's/^ *//'sed 's/ /:/g'cut -f3 -d:`
echo $MYIP
UN=88888888
SERVER=61.61.61.61
curl --trace trace.txt -A 'Mozilla' -d "username=$UN&password=8888&localip=$MYIP&connectname=&connecttype=-1" http://$SERVER/secu/webLogin.jsp
說明:curl 是一個用 url 語法傳輸文件的命令行程序,支持 http,ftp 等協議,類似 wget。
上例中,curl 的命令行參數 -A 指明客戶端的類型,這是伺服器為了安全,需要指明。Mozilla 或 IE 都可以,我更願意用 Mozilla。 -d 是必需的,表示用 POST 方法。-d 後的內容就是用戶名、密碼 IP 地址等信息,根據你的認證頁面中 form 的 input 項目填寫,內容與其保持一致,參數間用 & 分開。後面是認證頁面的地址。執行這個腳本後,返回 200 OK,表示認證成功,否則,仔細檢查 -d 後的參數是否正常,地址是否正確。
* 用 python 寫的認證程序:
#!/usr/bin/env python
import httplib, urllib
params = urllib.urlencode({'connectname': '',
'connecttype': -1,
'consumeright': 0,
'separatecard': 0,
'localip': '192.168.000.000',
'IsIndex': 0,
'username': 88888888,
'password': 8888})
headers = {'Accept': 'text/html', 'User-Agent': 'Mozilla',
'Content-Type': 'application/x-www-form-urlencoded'}
server = '61.61.61.61'
path = '/secu/webLogin.jsp'
conn = httplib.HTTPConnection(server)
conn.request("POST", path, params, headers)
r1 = conn.getresponse()
print r1.status, r1.reason
data1 = r1.read()
print data1
conn.close()
產生 keep-alive 包的程序
#!/usr/bin/env python
import httplib
def testHttplib(server, path):
req = httplib.HTTP(server)
req.putrequest('GET', path)
req.putheader('Accept', 'text/html')
req.putheader('User-Agent', 'Mozilla')
req.endheaders()
ec, em, h = req.getreply()
fd = req.getfile()
return fd.read(), (ec, em)
myip = '192.168.000.000'
server = '61.61.61.61'
path = '/ClientProcess.jsp?MsgType=1&ISNNO=1001&LocalIP=' + myip
# print 'testing "%s%s"' % (server, path)
dataHttplib, result = testHttplib(server, path)
# print "data length (httplib):", len(dataHttplib), result
# print dataHttplib
說明:
python 是一個功能強大的腳本語言,與 Perl 類似。正如你看到的,它和 curl 完成同樣的工作,但更優雅。這里要注意別漏掉'User-Agent' 和 'Content-Type' 內容,我在這個上面浪費了不少時間。其它與 curl 的說明一樣。
最後,將下面內容加到 crontab 中,保證每 5 分鍾向 ISP 發送一個 keep-alive 包,模擬計時窗功能。
Ⅳ 如何提高linux伺服器的安全策略
安全是IT行業一個老生常談的話題了,處理好信息安全問題已變得刻不容緩。做為運維人員,就必須了解一些安全運維准則,同時,要保護自己所負責的業務,首先要站在攻擊者的角度思考問題,修補任何潛在的威脅和漏洞。主要分五部分展開:賬戶和登錄安全賬戶安全是系統安全的第一道屏障,也是系統安全的核心,保障登錄賬戶的安全,在一定程度上可以提高伺服器的安全級別,下面重點介紹下Linux系統登錄賬戶的安全設置方法。
1、刪除特殊的賬戶和賬戶組 Linux提供了各種不同角色的系統賬號,在系統安裝完成後,默認會安裝很多不必要的用戶和用戶組,如果不需要某些用戶或者組,就要立即刪除它,因為賬戶越多,系統就越不安全,很可能被黑客利用,進而威脅到伺服器的安全。
Linux系統中可以刪除的默認用戶和組大致有如下這些:
可刪除的用戶,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。
可刪除的組,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。
2、關閉系統不需要的服務Linux在安裝完成後,綁定了很多沒用的服務,這些服務默認都是自動啟動的。對於伺服器來說,運行的服務越多,系統就越不安全,越少服務在運行,安全性就越好,因此關閉一些不需要的服務,對系統安全有很大的幫助。具體哪些服務可以關閉,要根據伺服器的用途而定,一般情況下,只要系統本身用不到的服務都認為是不必要的服務。例如:某台Linux伺服器用於www應用,那麼除了httpd服務和系統運行是必須的服務外,其他服務都可以關閉。下面這些服務一般情況下是不需要的,可以選擇關閉: anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv
3、密碼安全策略在Linux下,遠程登錄系統有兩種認證方式:密碼認證和密鑰認證。密碼認證方式是傳統的安全策略,對於密碼的設置,比較普遍的說法是:至少6個字元以上,密碼要包含數字、字母、下劃線、特殊符號等。設置一個相對復雜的密碼,對系統安全能起到一定的防護作用,但是也面臨一些其他問題,例如密碼暴力破解、密碼泄露、密碼丟失等,同時過於復雜的密碼對運維工作也會造成一定的負擔。密鑰認證是一種新型的認證方式,公用密鑰存儲在遠程伺服器上,專用密鑰保存在本地,當需要登錄系統時,通過本地專用密鑰和遠程伺服器的公用密鑰進行配對認證,如果認證成功,就成功登錄系統。這種認證方式避免了被暴力破解的危險,同時只要保存在本地的專用密鑰不被黑客盜用,攻擊者一般無法通過密鑰認證的方式進入系統。因此,在Linux下推薦用密鑰認證方式登錄系統,這樣就可以拋棄密碼認證登錄系統的弊端。Linux伺服器一般通過SecureCRT、putty、Xshell之類的工具進行遠程維護和管理,密鑰認證方式的實現就是藉助於SecureCRT軟體和Linux系統中的SSH服務實現的。
4、合理使用su、sudo命令su命令:是一個切換用戶的工具,經常用於將普通用戶切換到超級用戶下,當然也可以從超級用戶切換到普通用戶。為了保證伺服器的安全,幾乎所有伺服器都禁止了超級用戶直接登錄系統,而是通過普通用戶登錄系統,然後再通過su命令切換到超級用戶下,執行一些需要超級許可權的工作。通過su命令能夠給系統管理帶來一定的方便,但是也存在不安全的因素,例如:系統有10個普通用戶,每個用戶都需要執行一些有超級許可權的操作,就必須把超級用戶的密碼交給這10個普通用戶,如果這10個用戶都有超級許可權,通過超級許可權可以做任何事,那麼會在一定程度上對系統的安全造成了威協。因此su命令在很多人都需要參與的系統管理中,並不是最好的選擇,超級用戶密碼應該掌握在少數人手中,此時sudo命令就派上用場了。sudo命令:允許系統管理員分配給普通用戶一些合理的「權利」,並且不需要普通用戶知道超級用戶密碼,就能讓他們執行一些只有超級用戶或其他特許用戶才能完成的任務。比如:系統服務重啟、編輯系統配置文件等,通過這種方式不但能減少超級用戶登錄次數和管理時間,也提高了系統安全性。因此,sudo命令相對於許可權無限制性的su來說,還是比較安全的,所以sudo也被稱為受限制的su,另外sudo也是需要事先進行授權認證的,所以也被稱為授權認證的su。
sudo執行命令的流程是:將當前用戶切換到超級用戶下,或切換到指定的用戶下,然後以超級用戶或其指定切換到的用戶身份執行命令,執行完成後,直接退回到當前用戶,而這一切的完成要通過sudo的配置文件/etc/sudoers來進行授權。
sudo設計的宗旨是:賦予用戶盡可能少的許可權但仍允許它們完成自己的工作,這種設計兼顧了安全性和易用性,因此,強烈推薦通過sudo來管理系統賬號的安全,只允許普通用戶登錄系統,如果這些用戶需要特殊的許可權,就通過配置/etc/sudoers來完成,這也是多用戶系統下賬號安全管理的基本方式。
5、刪減系統登錄歡迎信息 系統的一些歡迎信息或版本信息,雖然能給系統管理者帶來一定的方便,但是這些信息有時候可能被黑客利用,成為攻擊伺服器的幫凶,為了保證系統的安全,可以修改或刪除某些系統文件,需要修改或刪除的文件有4個,分別是:/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。/etc/issue和/etc/issue.net文件都記錄了操作系統的名稱和版本號,當用戶通過本地終端或本地虛擬控制台等登錄系統時,/etc/issue的文件內容就會顯示,當用戶通過ssh或telnet等遠程登錄系統時,/etc/issue.net文件內容就會在登錄後顯示。在默認情況下/etc/issue.net文件的內容是不會在ssh登錄後顯示的,要顯示這個信息可以修改/etc/ssh/sshd_config文件,在此文件中添加如下內容即可:Banner /etc/issue.net其實這些登錄提示很明顯泄漏了系統信息,為了安全起見,建議將此文件中的內容刪除或修改。/etc/redhat-release文件也記錄了操作系統的名稱和版本號,為了安全起見,可以將此文件中的內容刪除/etc/motd文件是系統的公告信息。每次用戶登錄後,/etc/motd文件的內容就會顯示在用戶的終端。通過這個文件系統管理員可以發布一些軟體或硬體的升級、系統維護等通告信息,但是此文件的最大作用就、是可以發布一些警告信息,當黑客登錄系統後,會發現這些警告信息,進而產生一些震懾作用。看過國外的一個報道,黑客入侵了一個伺服器,而這個伺服器卻給出了歡迎登錄的信息,因此法院不做任何裁決。
遠程訪問和認證安全
1、遠程登錄取消telnet而採用SSH方式 telnet是一種古老的遠程登錄認證服務,它在網路上用明文傳送口令和數據,因此別有用心的人就會非常容易截獲這些口令和數據。而且,telnet服務程序的安全驗證方式也極其脆弱,攻擊者可以輕松將虛假信息傳送給伺服器。現在遠程登錄基本拋棄了telnet這種方式,而取而代之的是通過SSH服務遠程登錄伺服器。
2、合理使用Shell歷史命令記錄功能 在Linux下可通過history命令查看用戶所有的歷史操作記錄,同時shell命令操作記錄默認保存在用戶目錄下的.bash_history文件中,通過這個文件可以查詢shell命令的執行歷史,有助於運維人員進行系統審計和問題排查,同時,在伺服器遭受黑客攻擊後,也可以通過這個命令或文件查詢黑客登錄伺服器所執行的歷史命令操作,但是有時候黑客在入侵伺服器後為了毀滅痕跡,可能會刪除.bash_history文件,這就需要合理的保護或備份.bash_history文件。
3、啟用tcp_wrappers防火牆Tcp_Wrappers是一個用來分析TCP/IP封包的軟體,類似的IP封包軟體還有iptables。Linux默認都安裝了Tcp_Wrappers。作為一個安全的系統,Linux本身有兩層安全防火牆,通過IP過濾機制的iptables實現第一層防護。iptables防火牆通過直觀地監視系統的運行狀況,阻擋網路中的一些惡意攻擊,保護整個系統正常運行,免遭攻擊和破壞。如果通過了第一層防護,那麼下一層防護就是tcp_wrappers了。通過Tcp_Wrappers可以實現對系統中提供的某些服務的開放與關閉、允許和禁止,從而更有效地保證系統安全運行。
文件系統安全
1、鎖定系統重要文件系統運維人員有時候可能會遇到通過root用戶都不能修改或者刪除某個文件的情況,產生這種情況的大部分原因可能是這個文件被鎖定了。在Linux下鎖定文件的命令是chattr,通過這個命令可以修改ext2、ext3、ext4文件系統下文件屬性,但是這個命令必須有超級用戶root來執行。和這個命令對應的命令是lsattr,這個命令用來查詢文件屬性。對重要的文件進行加鎖,雖然能夠提高伺服器的安全性,但是也會帶來一些不便。例如:在軟體的安裝、升級時可能需要去掉有關目錄和文件的immutable屬性和append-only屬性,同時,對日誌文件設置了append-only屬性,可能會使日誌輪換(logrotate)無法進行。因此,在使用chattr命令前,需要結合伺服器的應用環境來權衡是否需要設置immutable屬性和append-only屬性。另外,雖然通過chattr命令修改文件屬性能夠提高文件系統的安全性,但是它並不適合所有的目錄。chattr命令不能保護/、/dev、/tmp、/var等目錄。根目錄不能有不可修改屬性,因為如果根目錄具有不可修改屬性,那麼系統根本無法工作:/dev在啟動時,syslog需要刪除並重新建立/dev/log套接字設備,如果設置了不可修改屬性,那麼可能出問題;/tmp目錄會有很多應用程序和系統程序需要在這個目錄下建立臨時文件,也不能設置不可修改屬性;/var是系統和程序的日誌目錄,如果設置為不可修改屬性,那麼系統寫日誌將無法進行,所以也不能通過chattr命令保護。
2、文件許可權檢查和修改不正確的許可權設置直接威脅著系統的安全,因此運維人員應該能及時發現這些不正確的許可權設置,並立刻修正,防患於未然。下面列舉幾種查找系統不安全許可權的方法。
(1)查找系統中任何用戶都有寫許可權的文件或目錄
查找文件:find / -type f -perm -2 -o -perm -20 |xargs ls -al查找目錄:find / -type d -perm -2 -o -perm -20 |xargs ls –ld
(2)查找系統中所有含「s」位的程序
find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al
含有「s」位許可權的程序對系統安全威脅很大,通過查找系統中所有具有「s」位許可權的程序,可以把某些不必要的「s」位程序去掉,這樣可以防止用戶濫用許可權或提升許可權的可能性。
(3)檢查系統中所有suid及sgid文件
find / -user root -perm -2000 -print -exec md5sum {} \;find / -user root -perm -4000 -print -exec md5sum {} \;
將檢查的結果保存到文件中,可在以後的系統檢查中作為參考。
(4)檢查系統中沒有屬主的文件
find / -nouser -o –nogroup
沒有屬主的孤兒文件比較危險,往往成為黑客利用的工具,因此找到這些文件後,要麼刪除掉,要麼修改文件的屬主,使其處於安全狀態。
3、/tmp、/var/tmp、/dev/shm安全設定在Linux系統中,主要有兩個目錄或分區用來存放臨時文件,分別是/tmp和/var/tmp。存儲臨時文件的目錄或分區有個共同點就是所有用戶可讀寫、可執行,這就為系統留下了安全隱患。攻擊者可以將病毒或者木馬腳本放到臨時文件的目錄下進行信息收集或偽裝,嚴重影響伺服器的安全,此時,如果修改臨時目錄的讀寫執行許可權,還有可能影響系統上應用程序的正常運行,因此,如果要兼顧兩者,就需要對這兩個目錄或分區就行特殊的設置。/dev/shm是Linux下的一個共享內存設備,在Linux啟動的時候系統默認會載入/dev/shm,被載入的/dev/shm使用的是tmpfs文件系統,而tmpfs是一個內存文件系統,存儲到tmpfs文件系統的數據會完全駐留在RAM中,這樣通過/dev/shm就可以直接操控系統內存,這將非常危險,因此如何保證/dev/shm安全也至關重要。對於/tmp的安全設置,需要看/tmp是一個獨立磁碟分區,還是一個根分區下的文件夾,如果/tmp是一個獨立的磁碟分區,那麼設置非常簡單,修改/etc/fstab文件中/tmp分區對應的掛載屬性,加上nosuid、noexec、nodev三個選項即可,修改後的/tmp分區掛載屬性類似如下:LABEL=/tmp /tmp ext3 rw,nosuid,noexec,nodev 0 0 其中,nosuid、noexec、nodev選項,表示不允許任何suid程序,並且在這個分區不能執行任何腳本等程序,並且不存在設備文件。在掛載屬性設置完成後,重新掛載/tmp分區,保證設置生效。對於/var/tmp,如果是獨立分區,安裝/tmp的設置方法是修改/etc/fstab文件即可;如果是/var分區下的一個目錄,那麼可以將/var/tmp目錄下所有數據移動到/tmp分區下,然後在/var下做一個指向/tmp的軟連接即可。也就是執行如下操作:
[root@server ~]# mv /var/tmp/* /tmp[root@server ~]# ln -s /tmp /var/tmp
如果/tmp是根目錄下的一個目錄,那麼設置稍微復雜,可以通過創建一個loopback文件系統來利用Linux內核的loopback特性將文件系統掛載到/tmp下,然後在掛載時指定限制載入選項即可。一個簡單的操作示例如下:
[root@server ~]# dd if=/dev/zero of=/dev/tmpfs bs=1M count=10000[root@server ~]# mke2fs -j /dev/tmpfs[root@server ~]# cp -av /tmp /tmp.old[root@server ~]# mount -o loop,noexec,nosuid,rw /dev/tmpfs /tmp[root@server ~]# chmod 1777 /tmp[root@server ~]# mv -f /tmp.old/* /tmp/[root@server ~]# rm -rf /tmp.old
最後,編輯/etc/fstab,添加如下內容,以便系統在啟動時自動載入loopback文件系統:
/dev/tmpfs /tmp ext3 loop,nosuid,noexec,rw 0 0
Linux後門入侵檢測工具rootkit是Linux平台下最常見的一種木馬後門工具,它主要通過替換系統文件來達到入侵和和隱蔽的目的,這種木馬比普通木馬後門更加危險和隱蔽,普通的檢測工具和檢查手段很難發現這種木馬。rootkit攻擊能力極強,對系統的危害很大,它通過一套工具來建立後門和隱藏行跡,從而讓攻擊者保住許可權,以使它在任何時候都可以使用root許可權登錄到系統。rootkit主要有兩種類型:文件級別和內核級別,下面分別進行簡單介紹。文件級別的rootkit一般是通過程序漏洞或者系統漏洞進入系統後,通過修改系統的重要文件來達到隱藏自己的目的。在系統遭受rootkit攻擊後,合法的文件被木馬程序替代,變成了外殼程序,而其內部是隱藏著的後門程序。通常容易被rootkit替換的系統程序有login、ls、ps、ifconfig、、find、netstat等,其中login程序是最經常被替換的,因為當訪問Linux時,無論是通過本地登錄還是遠程登錄,/bin/login程序都會運行,系統將通過/bin/login來收集並核對用戶的賬號和密碼,而rootkit就是利用這個程序的特點,使用一個帶有根許可權後門密碼的/bin/login來替換系統的/bin/login,這樣攻擊者通過輸入設定好的密碼就能輕松進入系統。此時,即使系統管理員修改root密碼或者清除root密碼,攻擊者還是一樣能通過root用戶登錄系統。攻擊者通常在進入Linux系統後,會進行一系列的攻擊動作,最常見的是安裝嗅探器收集本機或者網路中其他伺服器的重要數據。在默認情況下,Linux中也有一些系統文件會監控這些工具動作,例如ifconfig命令,所以,攻擊者為了避免被發現,會想方設法替換其他系統文件,常見的就是ls、ps、ifconfig、、find、netstat等。如果這些文件都被替換,那麼在系統層面就很難發現rootkit已經在系統中運行了。這就是文件級別的rootkit,對系統維護很大,目前最有效的防禦方法是定期對系統重要文件的完整性進行檢查,如果發現文件被修改或者被替換,那麼很可能系統已經遭受了rootkit入侵。檢查件完整性的工具很多,常見的有Tripwire、 aide等,可以通過這些工具定期檢查文件系統的完整性,以檢測系統是否被rootkit入侵。內核級rootkit是比文件級rootkit更高級的一種入侵方式,它可以使攻擊者獲得對系統底層的完全控制權,此時攻擊者可以修改系統內核,進而截獲運行程序向內核提交的命令,並將其重定向到入侵者所選擇的程序並運行此程序,也就是說,當用戶要運行程序A時,被入侵者修改過的內核會假裝執行A程序,而實際上卻執行了程序B。內核級rootkit主要依附在內核上,它並不對系統文件做任何修改,因此一般的檢測工具很難檢測到它的存在,這樣一旦系統內核被植入rootkit,攻擊者就可以對系統為所欲為而不被發現。目前對於內核級的rootkit還沒有很好的防禦工具,因此,做好系統安全防範就非常重要,將系統維持在最小許可權內工作,只要攻擊者不能獲取root許可權,就無法在內核中植入rootkit。
1、rootkit後門檢測工具chkrootkit chkrootkit是一個Linux系統下查找並檢測rootkit後門的工具,它的官方址:http://www.chkrootkit.org/。 chkrootkit沒有包含在官方的CentOS源中,因此要採取手動編譯的方法來安裝,不過這種安裝方法也更加安全。chkrootkit的使用比較簡單,直接執行chkrootkit命令即可自動開始檢測系統。下面是某個系統的檢測結果:
[root@server chkrootkit]# /usr/local/chkrootkit/chkrootkitChecking `ifconfig』… INFECTEDChecking `ls』… INFECTEDChecking `login』… INFECTEDChecking `netstat』… INFECTEDChecking `ps』… INFECTEDChecking `top』… INFECTEDChecking `sshd』… not infectedChecking `syslogd』… not tested
從輸出可以看出,此系統的ifconfig、ls、login、netstat、ps和top命令已經被感染。針對被感染rootkit的系統,最安全而有效的方法就是備份數據重新安裝系統。chkrootkit在檢查rootkit的過程中使用了部分系統命令,因此,如果伺服器被黑客入侵,那麼依賴的系統命令可能也已經被入侵者替換,此時chkrootkit的檢測結果將變得完全不可信。為了避免chkrootkit的這個問題,可以在伺服器對外開放前,事先將chkrootkit使用的系統命令進行備份,在需要的時候使用備份的原始系統命令讓chkrootkit對rootkit進行檢測。
2、rootkit後門檢測工具RKHunter RKHunter是一款專業的檢測系統是否感染rootkit的工具,它通過執行一系列的腳本來確認伺服器是否已經感染rootkit。在官方的資料中,RKHunter可以作的事情有:MD5校驗測試,檢測文件是否有改動
檢測rootkit使用的二進制和系統工具文件 檢測特洛伊木馬程序的特徵碼 檢測常用程序的文件屬性是否異常 檢測系統相關的測試 檢測隱藏文件 檢測可疑的核心模塊LKM 檢測系統已啟動的監聽埠
在Linux終端使用rkhunter來檢測,最大的好處在於每項的檢測結果都有不同的顏色顯示,如果是綠色的表示沒有問題,如果是紅色的,那就要引起關注了。另外,在執行檢測的過程中,在每個部分檢測完成後,需要以Enter鍵來繼續。如果要讓程序自動運行,可以執行如下命令:
[root@server ~]# /usr/local/bin/rkhunter –check –skip-keypress
同時,如果想讓檢測程序每天定時運行,那麼可以在/etc/crontab中加入如下內容:
30 09 * * * root /usr/local/bin/rkhunter –check –cronjob
這樣,rkhunter檢測程序就會在每天的9:30分運行一次。伺服器遭受攻擊後的處理過程安全總是相對的,再安全的伺服器也有可能遭受到攻擊。作為一個安全運維人員,要把握的原則是:盡量做好系統安全防護,修復所有已知的危險行為,同時,在系統遭受攻擊後能夠迅速有效地處理攻擊行為,最大限度地降低攻擊對系統產生的影響。
Ⅳ linux伺服器的優點
很多人都認為Linux伺服器具有最好的生態系統,伺服器端的各種軟體都為它而設計。Linux系統之所以會成為目前最受關注的系統之一,主要原因是它的免費,以及系統的開放性,可以隨時取得程序的原代碼,這對於程序開發人員是很重要的。除了這些它還具有以下的優勢:
Linux伺服器優勢1:良好的穩定性
Linux內核的源代碼是以標准規范的32位(在64位CPU上是64位)的計算機來做的最佳化設計,可確保其系統的穩定性。正因為Linux的穩定,才使得一些安裝Linux的主機像Unix機一樣常年不關而不曾宕機。
Linux伺服器優勢2:豐富的軟體支持
與其他的操作系統不同的是,安裝了Linux系統後,用戶常用的一些辦公軟體、圖形處理工具、多媒體播放軟體和網路工具等都已無需安裝。而對於程序開發人員來說,Linux更是一個很好的操作平台,在Linux的軟體包中,包含了多種程序語言與開發工具,如gcc、cc、C++、Tcl/Tk、Perl、Fortran77等。
Linux伺服器優勢3:可靠的安全性
Linux系統是一個具有先天病毒免疫能力的操作系統,很少受到病毒攻擊。
對於一個開放式系統而言,在方便用戶的同時,很可能存在安全隱患。不過,利用Linux自帶防火牆、入侵檢測和安全認證等工具,及時修補系統的漏洞,就能大大提高Linux系統的安全性,讓黑客們無機可乘。
Linux伺服器優勢4:完善的網路功能
Linux內置了很豐富的免費網路伺服器軟體、資料庫和網頁的開發工具,如Apache、Sendmail、VSFtp、SSH、MySQL、PHP和JSP等。近年來,越來越多的企業看到了Linux的這些強大的功能,利用Linux擔任全方位的網路伺服器。
Linux伺服器優勢5:多用戶多任務
和Unix系統一樣,Linux系統是一個真正的多用戶多任務的操作系統。多個用戶可以各自擁有和使用系統資源,即每個用戶對自己的資源(例如:文件、設備)有特定的許可權,互不影響,同時多個用戶可以在同一時間以網路聯機的方式使用計算機系統。多任務是現代計算機的最主要的一個特點,由於Linux系統調度每一個進程是平等地訪問處理器的,所以它能同時執行多個程序,而且各個程序的運行是互相獨立的。
Linux伺服器優勢6:跨平台的硬體支持
由於Linux的內核大部分是用C語言編寫的,並採用了可移植的Unix標准應用程序介面,所以它支持如i386、Alpha、AMD和Sparc等系統平台,以及從個人電腦到大型主機,甚至包括嵌入式系統在內的各種硬體設備。
Linux在它的追捧者眼裡是一個近乎完美的操作系統,它具有運行穩定、功能強大、獲取方便等優點,因而有著廣闊的前景。只要你不是有什麼特殊的需求,那麼你就可以採用Linux系統。可參考書籍《Linux就該這么學》了解更多Linux知識。
Ⅵ 怎麼在linux中配置mysql伺服器及驗證
一是netstat -an可以檢查是否啟動服務、偵聽了3306埠,但是埠號可能改變,而且不啟動的時候檢查不到。
二是find可以查找是否存在mysqld文件,當然文件名也是可以修改的,查找命令可以這樣:
$ find / -name mysqld -print
Ⅶ 登錄linux伺服器如何統一認證
要麼大家用一個用戶,要麼復制「口令」給每個人;
btw:似乎可以裝 「AD」,但是沒操練過
Ⅷ linux系統的認證有哪些
Linux認證指獲得專業Linux培訓後通過考試得到的資格。目前國際上廣泛承認的Linux認證有LinuxProfessionalInstitute(簡稱為LPI)、SairLinux和GNU、Linux+和RedHatCertifiedEngineer。
Linux Professional Institute(LPI)
就Linux團體所關注的程度來看,LPI認證計劃受到了最為廣泛的支持。LPI已經先期推出了Linux ProfessionInstitute Certified-Level 1(簡稱為LPIC-1)認證計劃,不久的將來還會按預定計劃推出第2和第3級認證。為了獲得LPIC-1證書,你必須通過兩門各自長達90分鍾的考試—--101 (LPI General Linux,Part1)和102 (LPI General Linux,Part2)。LPI的LPIC—1的應試對象主要是有至少1年Linux工作經驗的系統管理員。
Sair Linux 和 GNU
同LPI一樣,Sair提供了三種級別的認證計劃;
Level 1——Sair Linux & GNU Certified Administrator(LCA)
Level 2 —-- Sair Linux & GNU Certified Engineer(LCE)
Level 3 ---- Master Sair Linux & GNU Certified Engineer(MLCE)
第1級才是得到完全開發的Sair認證項目,這一點也和LPI一樣。
Linux+
CompTIA主辦的Linux+認證計劃是最新進入Linux認證市場的。該計劃於2001年9月21日正式推出,已經在Linux從業人員和業內引起了廣泛的關注。幾乎所有的主要認證出版商都撰寫了針對Linux+認證的考試參考書,眾多的IT 培訓中心都在准備Linux+認證計劃了。
同CompTIA推出的其他帶「+」號的認證一樣,Linux+資格證書只需要通過一場考試即可獲得(VUE和Prometric考試中心舉辦此類考試),一旦你獲得了Linux+資格證書,證書就終生有效。Linux+考試價格是190美元,考試採用多選題形式,時長120分鍾,所覆蓋的內容很多都是和Sair以及LPI認證完全一樣的,但難度稍有降低。
LPI和Sair認證計劃的考試對象是具有相當經驗的Linux網路和系統管理員,而Linux+認證則主要面向只有半年左右的Linux體驗、想獲得基本Linux技術資格的個人。
Red Hat Certified Engineer
Linux+ 代表了低級的Linux認證計劃,而高級的Linux認證長期以來則幾乎完全是Red Hat CertifiedEngineer(RHCE)認證計劃的天下。RHCE是該領域最具挑戰性的認證考試,所以它也是最有價值的Linux認證。但也是最貴的,全套課程費用為2,498美金,也可單獨做認證測驗,費用為749 美金。
Ⅸ linux 可以組建portal認證伺服器
這個是可以的,例如使用Coovachilli 作為 Web認證Portal和網關,這個軟體