1. linux安全優化和內核參數優化方案有那些
入口安全優化
ssh配置優化
修改之前,需要將/etc/ssh/sshd_config備份一個,比如/etc/ssh/sshd_config.old, 主要優化如下參數:
Port 12011
PermitRootLogin no
UseDNS no
#防止ssh客戶端超時#
ClientAliveInterval 30
ClientAliveCountMax 99
GSSAuthentication no
主要目的更改ssh遠程埠、禁用root遠程登錄(本地還是可以root登錄的)、禁用dns、防止ssh超時、解決ssh慢,當然也可以啟用密鑰登錄,這個根據公司需求。
注意:修改以後需重啟ssh生效,另外需要iptables放行最新ssh埠。
iptables優化
原則:用到哪些放行哪些,不用的一律禁止。
舉下簡單的例子:敏感服務比如mysql這種3306控制,默認禁止遠程,確實有必要可以放行自己指定IP連接或者通過vpn撥號做跳板連接,不可直接放置於公網; 如單位有自己的公網IP或固定IP,那隻允許自己的公網IP進行連接ssh或者指定服務埠就更好了。
用戶許可權以及系統安全優化
非root用戶添加以及sudo許可權控制
用戶配置文件鎖定
服務控制
默認無關服務都禁止運行並chkconfig xxx off,只保留有用服務。這種如果是雲計算廠商提供的,一般都是優化過。如果是自己安裝的虛擬機或者託管的機器,那就需要優化下,默認只保留network、sshd、iptables、crond、以及rsyslog等必要服務,一些無關緊要的服務就可以off掉了,
內核參數優化
進程級文件以及系統級文件句柄數量參數優化
默認ulinit -n看到的是1024,這種如果系統文件開銷量非常大,那麼就會遇到各種報錯比如:
localhost kernel: VFS: file-max limit 65535 reached 或者too many open files 等等,那就是文件句柄打開數量已經超過系統限制,就需要優化了。
這個參數我們進程級優化文件如下:
vim /etc/security/limits.conf
# End of file
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535
好了,退出當前終端以後重新登錄可以看到ulimit -n已經改成了65535。另外需要注意,進程級參數優化還需要修改文件:
/etc/security/limits.d/90-nproc.conf 這個會影響到參數。查看某一個進程的limits可以通過cat /proc/pid/limits查看。默認這個文件參數推薦設置:
[root@21yunwei 9001]# cat /etc/security/limits.d/90-nproc.conf
* soft nproc 65535
root soft nproc unlimited
系統級文件句柄優化
修改/etc/sysctl.conf添加如下參數:
fs.file-max=65535
內核參數優化(這個是非常重要的)。具體優化的文件為/etc/sysctl.conf,後尾追加優化參數:
net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.conf.lo.arp_announce=2
net.ipv4.tcp_synack_retries = 2
#參數的值決定了內核放棄連接之前發送SYN+ACK包的數量。
net.ipv4.tcp_syn_retries = 1
#表示在內核放棄建立連接之前發送SYN包的數量。
net.ipv4.tcp_max_syn_backlog = 262144
#這個參數表示TCP三次握手建立階段接受SYN請求列隊的最大長度,默認1024,將其設置的大一些可以使出現Nginx繁忙來不及accept新連接的情況時,Linux不至於丟失客戶端發起的鏈接請求。
設置完以後執行命令sysctl -p使得配置新配置的內核參數生效。系統優化這個內核對系統本身安全以及高並發都非常的有效(可以解決大量TIME_WAIT帶來的無法訪問使用、系統文件句柄數量超出等等)。
net.ipv4.tcp_timestamps = 1 #開啟時間戳,配合tcp復用。如遇到區域網內的其他機器由於時間戳不同導致無法連接伺服器,有可能是這個參數導致。註:阿里的slb會清理掉tcp_timestampsnet.ipv4.tcp_tw_recycle = 1 #這個參數用於設置啟用timewait快速回收net.ipv4.tcp_max_tw_buckets = 6000 #參數設置為 1 ,表示允許將TIME_WAIT狀態的socket重新用於新的TCP鏈接,該參數默認為180000,過多的TIME_WAIT套接字會使Web伺服器變慢。net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_fin_timeout = 1 #當伺服器主動關閉鏈接時,選項決定了套接字保持在FIN-WAIT-2狀態的時間。默認值是60秒。net.ipv4.tcp_keepalive_time = 600 #當keepalive啟動時,TCP發送keepalive消息的頻度;默認是2小時,將其設置為10分鍾,可以更快的清理無效鏈接。net.ipv4.ip_local_port_range = 1024 65000#定義UDP和TCP鏈接的本地埠的取值范圍。fs.file-max=65535 #表示最大可以打開的句柄數;
設置完以後執行命令sysctl -p使得配置新配置的內核參數生效。這個內核對系統本身安全以及高並發都非常的有效(可以解決大量TIME_WAIT帶來的無法訪問使用、系統文件句柄數量超出等等)。
2. Linux有哪些優點
提到linux的優點,首先就是他的開源,任何人都是可以查看他的源代碼的,這使得他特別的安全,而windows則不開源,所以你要經常的打補丁,修補漏洞之類的。
其次,linux內核優化的好,沒有哪個linux需要右鍵的刷新鍵(紅旗linux是為了國人的使用習慣加的),而windows則不同,微軟的系統非常的復雜,而且運先行效率相對linux要低很多。
雖然linux在桌面市場沒有優勢(只佔1%多一點的佔有率),但他在伺服器行業的地位那是無敵的(20%多)。
linux佔用系統資源特別少,早期的linux,64M內存就能跑的很流暢,這也是他的優勢。
我也只說了幾點我比較了解的方面,而linux的優點還有很多很多,具體的還得再實踐中自己領悟。個人感覺如果完全依賴微軟這種越來越人性化的圖形界面,人就會越來越笨,最終淪為windows的奴隸,這是很可怕的一件事情,呵呵,希望對你有幫助
Linux 的優點很多,其中主要的有以下幾個方面:
eTrade公司的首席技術官John Levin說:「採用Linux操作系統環境比運行與維護UNIX操作系統成本降低幾乎30倍」。
總結一下,主要有以下幾個原因:
低軟體成本:
由於Linux 是開放源代碼的操作系統,除了Kernel免費以外,它的許多系統程序以及應用程序也是自由軟體,可以從網上免費獲得。所以它的軟體成本非常低廉。
低人員培訓成本:
Linux最初是從大學生開發出來的,並由重多的業余愛好者共同豐富和完善它的功能,所以有許多的學生和計算機從業人員,已經具備Linux的技能。而且在低端的PC,PC伺服器上也可使用,而且普及率越來越高。人才儲備比較充足,用人單位可以比較容易地招到這方面的人才。
而且,眾多的企業級的用戶的計算環境是低端(PC,PC伺服器)和高端(UNIX伺服器或中型機甚至大型機)計算機共存,不同廠商的計算機共存(涉及的操作系統可能有Windows,IBM AIX,HP-UNIX,SUN Solaris 等等),這就要求計算機系統的管理和維護人員具有多個操作系統的技能,而如果採用Linux,由於幾乎所有檔次的計算機平台都支持Linux,所以技術人員只需這一種操作系統的培訓就可以了。
低移植成本:
Linux能夠在幾乎所有的計算機平台上運行,包括PC、PC伺服器、UNIX伺服器、中型機、大型計算機上,給用戶的應用軟體在不同的平台之間的移植創造了極為便利的條件。
例如,企業級用戶隨著業務的不斷增長,硬體平台從小型的PC伺服器升級到較高端的UNIX伺服器,甚至更高端的中型機或大型機的情況是極為常見的。過去,由於PC伺服器使用的是Windows 操作系統,而UNIX 伺服器使用的操作系統,中型機和大型機使用的是廠商提供的專用系統,所以在不同的平台之間的軟體移植,可能會發生中間件軟體的版本更換,應用軟體的重新編譯,甚至是應用軟體源代碼的修改,很可能需要比較大的人力物力的投入,而如果採用了Linux 操作系統,不同平台之間的移植就會容易的多。
低管理成本:
同理,由於眾多的企業級的用戶的計算環境是低端和高端計算機共存,不同廠商的計算機共存,如果將操作系統都統一成Linux, 系統的一致性,可降低管理的成本。
同時,任何一個操作系統,都不是完美的,都有一些或大或小的漏洞甚至是錯誤。由於Linux是一個開放源代碼的軟體,有眾多的互聯網上志願開發者在協同工作,使得Linux的功能的完善和漏洞的發現和修改的速度非常快,降低了使用和管理的風險,從而降低了管理的成本。
高性能:
Linux高性能方面的特點表現在Linux系統資源的低佔用率和在高性能運算的優勢。
2.3.2 操作系統的低佔用率
Linux 是由內核(kernel)以及在其之上的實用程序構成的,內核負責管理計算機的各種資源,如處理器和內存,而且必須保證合理地分配資源。當Linux啟動時,內核被調入內存,並一直駐留在內存中直到關機斷電。同大多數的Unix或者類Unix系統類似,Linux的內核在設計的時候被設計的盡量很小,把許多工作交給內核以外的實用程序執行。通過利用Linux這個特點,用戶在安裝Linux的時候可以定製安裝的應用程序的多少,在某些情況下用戶可以僅安裝一個Linux的核心。
2.3.3 Linux在高性能運算方面的優勢
在科學計算和石油勘探等高性能計算領域應用最為廣泛的是高性能計算群集技術(High Performance Computing Cluster,簡稱HPC Cluster)。它是一種並行計算群集的實現方法。近年來,新的HPC系統正迅速崛起,這就是使用運行Linux操作系統的Intel平台的計算機來構建HPC Cluster。由於使用Linux操作系統,通用的硬體平台和標準的網路組件,群集中的各個結點價格相對低廉,擴展容易實現,從而可以得到更高的性價比。Linux 可以運行在PC、PC伺服器上這些傳統上是Windows 操作系統壟斷的領域,在這一領域, Linux的出現好似一股春風吹來,不僅打破了Windows的壟斷,而且它在功能和性能上,都優於Windows操作系統,而更接近與高端的UNIX系統。使低端的用戶,也能享用到某些只有高端系統才能帶來的好處。
2.3.4 高可擴展性、可維護性
Linux具有的可擴展性與可維護性使Linux具有更多的優勢。
可擴展性
標準的Linux實用程序有著大量的功能,開發人員可以通過修改源代碼來進行功能的擴展。Linux可以在廣泛的硬體平台上運行且有類似的介面,用戶可以把應用程序從一個Linux系統很方便的移植到另外一個Linux系統。
可維護性
由於Linux的用戶界面與各個商業版本的UNIX非常相近,幾乎所有的IT技術人員都對其操作界面有相當的了解。此外,由於Linux可以在各種硬體平台上運行,熟悉Linux的技術人員可以很容易地管理多種硬體平台上的應用。目前很多版本的Linux比如紅旗Linux的用戶界面都在模仿Window 進行開發,因此可以方便非IT技術人員實用。
開放的標准
Linux是一個從公開源代碼發展來的操作系統,因此奠定了Linux相較其他諸如Windows、以及各商業版本UNIX操作系統的先天優勢,由於全世界無數的技術人員都可以幫助Linux修改系統錯誤,提升性能,因此到目前Linux已經迅速成為一個相對健壯的操作系統,並且也越來越多的躋身各種的企業關鍵業務之中。
主要是開源和穩定兩大優勢。
通常來說有以下幾點:1.低軟體成本,因為Linux是開源的,所以Linux上眾多的軟體也都是開源且免費的。2.低移植成本,Linux能夠在所有的計算機平台上運行,比如個人PC、專業伺服器、手機等3.高性能高穩定,Linux有來自世界各地的開源貢獻,具備了高穩定和高性能的特點。Linux還有很多的優點就不一一列舉了,總之Linux非常流行,如果你想學習Linux的話,可以去看看《Linux就該這么學》這本書,非常適合初學者學習。
linux優點
1.模塊化程度高
Linux的內核設計非常精巧,分成進程調度、內存管理、進程間通信、虛擬文件系統和網路介面五大部分;其獨特的模塊機制可根據用戶的需要,實時地將某些模塊插入或從內核中移走,使得Linux系統內核可以裁剪得非常小巧,很適合於嵌入式系統的需要。
2.源碼公開
由於Linux系統的開發從一開始就與GNU項目緊密地結合起來,所以它的大多數組成部分都直接來
自GNU項目。任何人、任何組織只要遵守GPL條款,就可以自由使用Linux
源代碼,為用戶提供了最大限度的自由度。這一點也正投嵌入式系統所好,因為嵌入式系統應用千差萬別,設計者往往需要針對具體的應用對源碼進行修改和優化,
所以是否能獲得源代碼
對於嵌入式系統的開發是至關重要的。加之Linux的軟體資源十分豐富,每種通用程序在Linux上幾乎都可以找到,並且數量還在不斷增加。這一切就使設
計者在其基礎之上進行二次開發變得非常容易。另外,由於Linux源代碼公開,也使用戶不用擔心有「後閘」等安全隱患。
同時,源碼開放給各教育機構提供極大的方便,從而也促進了Linux的學習、推廣和應用。
3.廣泛的硬體支持
Linux能支持x86、ARM、MIPS、ALPHA和PowerPC等多種體系結構的微處理器。目前已成功地移植到數十種硬體平台,幾乎能運行在所有流行的處理器上。
由於世界范圍內有眾多開發者在為Linux的擴充貢獻力量,所以Linux有著異常豐富的驅動程序資源,支持各種主流硬體設各和最新的硬體技術,甚至可在沒有存儲管理單元MMU 的處理器上運行,這些都進一步促進了Linux在嵌入式系統中的應用。
4.安全性及可靠性好
內核高效穩定。Linux內核的高效和穩定已在各個領域內得到了大量事實的驗證。
Linux中大量網路管理、網路服務等方面的功能,可使用戶很方便地建立高效穩定的防火牆、路由器、工作站、伺服器等。為提高安全性,它還提供了大量的網路管理軟體、網路分析軟體和網路安全軟體等。
5.具有優秀的開發工具
開發嵌入式系統的關鍵是需要有一套完善的開發和調試工具。傳統的嵌入式開發調試工具是在線模擬器(In Circuit Emulator,ICE),它通過取代目標板的微處理器,給目標程序提供一個完整的模擬環境,從而使開發者能非常清楚地了解到程序在目標板上的工作狀態,便於監視和調試程序。在線模擬器的價格非常高,而且只適合做非常底層的調試。如果使用的是嵌人式Linux,一旦軟硬體能支持正常的串口功能,即使不用在線模擬器,也可以很好地進行開發和調試工作,從而節省了一筆不小的開發費用。嵌入式Linux為開發者提供了一套完整的工具鏈(Tool Chain),能夠很方便地實現從操作系統到應用軟體各個級別的調試。
6.有很好的網路支持利文件系統支持
Linux從誕生之日起就與Inter密不可分,支持各種標準的Inter網路協議,並且很容易移植到嵌入式系統當中。目前,Linux幾乎支持所有主流的網路硬體、網路協議和文件系統,因此它是NFS的一個很好的平台。
另一方面,由於Linux有很好的文件系統支持(例如,它支持Ext2、FAT32、romfs等文件系統),是數據各份、同步和復制的良好平台,這些都為開發嵌入式系統應用打下了堅實的基礎。
7.與UNIX完全兼容
目前,在Linux中所包含的工具和實用程序,可以完成UNIX的所有主要功能。
但由於Linux不是為實時而設計的,因而這就成了Linux在實時系統中應用的最大遺憾。不過,目前有眾多的自由軟體愛好者正在為此進行不懈的努力,也取得了諸多成果。
穩定性和高效性:因為 Linux 是由 Unix 發展而來,因此 Linux 與 Unix 有許多相似之處,不只是用戶介面和操作方式,Linux 還繼承了 Unix 卓越的穩定性和高效性。對於使用 Linux 作為操作系統的伺服器,連續運行一年不宕機是相當平常的事情。
低配置要求:Linux 對硬體的要求很低,它可以在數年前的電腦上很流暢的運行。使用 Windows,則需要不斷升級機器的硬體。
免費或者少許費用:Linux 基於 GPL,因此任何人可以免費使用或者修改其中的原代碼。只有在選擇某些廠商製作的 Linux 的發行版時,才會需要一點點費用。
強大的支持:大量的 Linux 愛好者會進行交流討論,並且開發分享一些好的軟體,有非常開放的使用氛圍。
安全性:Linux 擁有相當龐大的用戶和社區支持,因此能很快發現系統漏洞,並迅速發布安全補丁。
真正的多用戶:Linux 實現不同的用戶共同登錄系統,並且資源分享比較公平。而不是像 Windows 那樣的偽多用戶操作系統,如果需要登錄更多的用戶,要麼退出當前用戶,要麼向微軟購買多用戶授權。
Linux 還有許多其它優點,如強大的網路支持、方便的控制台操作等等,雖然整體上而言 Linux 做得很好,但它依然還是存在一些不足之處。
Linux 的缺點:
沒有特定的支持廠商:因為 Linux 上面的軟體都是免費發行的,所以自然不會有售後服務之類的支持。
圖形界面不夠好:這恐怕是影響 Linux 桌面端普及的最重要原因了。但隨著時間的流逝,X-window 也變得越來越好用,越來越優秀了。目前各大 Linux 發行版,都能很好地做為桌面端計算機使用。
Redhat認證是由伺服器系統領域著名的廠商--Redhat公司推出的。紅帽認證分為三個層次,初級的RHCT(紅帽官方在2011年1月1號,取消RHCT的考試,改為RHCSA),中級的RHCE,高級的RHCA。另外在2005年,紅帽又推出了一個新的安全領域的高級認證:RHCSS。
RHCSA,是紅帽認證系統管理員的簡稱。它是Red Hat的入門級認證,通過此項認證表明你可以獨立完成Red Hat Linux 本地客戶的配置,包括安裝調配Linux的本地使用、本地網路客戶端和本地系統的排除。
RHCE,是Red Hat認證工程師的簡稱。要獲得這個認證,必須通過Red Hat公司的考試,而這個考試被業界認為是最嚴格的IT認證考試,而這個認證也被稱為是CCIE並列最好的IT認證。
RHCE已經在Linux認證領域的高端贏得了應有的地位。可以說獲得RHCE已經成為Linux使用者勢必要奪取的最具有挑戰性的認證。由於Red Hat在企業中的流行(至少在安裝Linux的企業中80%使用 Red Hat),在學習具體應用中用到的Linux技能時完全可以通過認證掌握很多有用的知識。
國際上權威的認證雜志Certification Magazine,早在2002年的一個對熱門IT認證質量進行的獨立調查中得出,RHCE認證在總體質量、教學質量和考試質量上都是第一名。
著名的IT認證網站每年都會對最熱門的IT認證進行排名。它的權威評論家Becky Nagel在2002將RHCE排在10個最熱門的認證中的第六位,在2003年10個最熱門的認證中將RHCE排在第三位,2004年RHCE排名第五位,2005年排名第三位,而2006年不僅連續第5年入榜,更躍居排行榜第一位。他對RHCE如此評論:"如果您想證明您具備最高等級的Linux水平,毫無疑問,您應當選擇RHCE。贏得這樣的評價,並不僅是因為它是由Linux業界的領導者推出的,而是由於獲得這個認證必須通過一個嚴格的測試應試者實際技能水平的試驗考試。這不是一個靠死記硬背能通過的考試。去年我們這樣評價,今年我們還是這樣評價:如果您是一位RHCE,您應該對您的能力充滿自信。"
而紅帽企業級Linux產品的推出,更進一步提升了RHCE的價值。無論是過去獲得RHCE認證的,還是將來准備參加RHCE認證的技術人員來講,這都是一個令人振奮的消息!因為在過去,RHCE只是代表Linux領域頂級認證。隨著企業級Linux替代原來在大公司里處於核心地位的Unix系統,RHCE認證將成為IT領域的黃金認證,而RHCE也將成為大公司頂級技術人員的代名詞。
RHCA,2004年Red Hat又推出一個新的認證:Red Hat認證架構師(Red Hat Certified Architect,簡稱:RHCA),是Red Hat最高級別的認證,包括5門考試:EX333 網路服務安全管理;EX401 系統管理及部署;EX423 目錄服務及認證;EX436 企業級存儲管理;EX442 系統優化及調整。每門考試都有相應的對應的培訓(具體見後)。考生必須通過所有上述5門考試才能獲得證書。要參加RHCA考試,考生必需已經獲得Red Hat認證工程師(RHCE)證書。
RHCSS,紅帽認證安全專家(Red Hat Certified Security Specialist)也是RHCE的後續認證,它對企業級Linux的安全管理進行專門考核,目前尚未在國內推廣。
優點:開源 穩定 性能強大 靈活
缺點:入門門檻高
個人感覺前者的優點是對硬體要求要低一些,幾乎所有軟體都是正版免費的,界面可根據自己的愛好和操作習慣隨意設置,至於後者的缺點可去網上查查
怎樣選擇文、理科?
1、興趣。興趣是學習的最大動力,無論選文、選理,興趣是第一前提。舉個例子,2001年高考文科狀元郝煜在接受采訪時說:「我的強項是理科,但我從小鍾愛文科,並一直保持到高中,所以我選了文科並取得成功。」因此若你在生活中對某方面感興趣,很關注或上某科課時比較有精神,就可以考慮選這方面的學科。總之永遠把興趣放在第一位,一定是對的。
2、特長。特長是學習的推進劑。它將使你的學習得心應手,在競爭上勝人一籌,是文理科選擇的重要依據。那麼怎樣發現自己的特長(天賦)呢?如果你對某科感覺特別好,或用相同的時間得到的效果比起其它科更好,或以少量時間獲得的效果與其它科學花費多時間獲得的效果相當或更好,如果你自身的某些特長與某科的聯系很密切,都說明你有學習這一科的特長和能力。你就應該考慮,哪一科能更好地發揮和促進你的特長的發展。
3、成績:成績是此次選擇的最實際的依據。所以了解自己各科成績的確切情況是非常重要的。政治組吳老師說到:同學們非常有必要去查閱自己各科成績,以及文綜、理綜成績的排名,並作具體分析比較,看自己哪科更具競爭力。了解下面三科在文理科選擇中至關重要的作用,很是關鍵。
語文:作為各科學習的基礎,與每科都有密切聯系,相比之下,語文與文科的聯系更大,所以語文比較好,文科又比理科稍微好的宜選文科。但若理比文好,則選理也具優勢,因為大部分理科生語文並不強,所以語文好,可以使自己的競爭力提高一個檔次。(來自語文組老師的意見)
數學:文科、理科的主要學科,在促進競爭力上與語文相當,但理科對數學的要求更高。當然數學對文科的某些問題(如地理上的溫度、太陽高度等)的解決也有重要作用。(來自數學組老師的意見)
英語:雖然在高中其地位與語、數相當,但到大學是地位最高的,不管學什麼,英語是必備、必修的學科,英語成績好,可以使你對文理科的選擇較自由些。
4、理想:每個人都有理想,而且它可能是你的奮斗目標。那麼選擇與自己的理想接近的學科,將對此學科的學習起促進作用。比如,你想成為企業家,則文科與這理想更接近,學習起文科來就可能更積極,更主動,學習成績也就可能更出色。
5、社會:觀察、分析社會趨勢,了解社會對人才的需求,因為此次文理科選擇不光為了考好高考,從長遠上看,還要要為自己的未來作好打算,打好基礎。
總之,每一個同學都應根據自己的實際情況,認真分析,切不可由於某些不良的客觀原因而作出錯誤的選擇,誤已一生。這樣的例子我們一中舉不勝舉。
一是它的穿透力很強不易損壞物體,而且它在兩萬赫茲以上,不會影響到人們的正常工作。
二是他的傳播速度快。
應用在醫療中,如b超.還運用在探測上,如聲納,超聲波雷達,金屬探傷儀等。
3. 如何給安裝好Linux伺服器進行優化設置和安全設置
1、 關閉不需要的服務
這個應該很容易理解的,凡是我們的系統不需要的服務,一概關閉,這樣一個好處是減少內存和CPU時間的佔用,另一個好處相對可以提高安全性
那麼哪些服務是肯定要保留的呢?
在linux機器上通常有四項服務是必須保留的
iptables
linux下強大的防火牆,只要機器需要連到網上,哪裡離得開它
network
linux機器的網路,如果不上網可以關閉,只要上網當然要打開它
sshd
這是openssh server,如果你的機器不是本地操作,而是託管到IDC機房,
那麼訪問機器時需要通過這個sshd服務進行
syslog
這是linux系統的日誌系統,必須要有,
否則機器出現問題時會找不到原因
除了這四項必需的服務之外,其他的服務需要保留哪些呢?
這時就可以根據系統的用途而定,比如:資料庫伺服器,就需要啟用mysqld(或oracle)
web伺服器,就需要啟用apache
2、 關閉不需要的tty
請編輯你的/etc/inittab
找到如下一段:
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6
這段命令使init為你打開了6個控制台,分別可以用alt+f1到alt+f6進行訪問
此6個控制台默認都駐留在內存中,事實上沒有必要使用這么多的
你用ps auxf這個命令可以看到,是六個進程
root 3004 0.0 0.0 1892 412 tty1 Ss+ Jun29 0:00 /sbin/mingetty tty1
root 3037 0.0 0.0 2492 412 tty2 Ss+ Jun29 0:00 /sbin/mingetty tty2
root 3038 0.0 0.0 2308 412 tty3 Ss+ Jun29 0:00 /sbin/mingetty tty3
root 3051 0.0 0.0 1812 412 tty4 Ss+ Jun29 0:00 /sbin/mingetty tty4
root 3056 0.0 0.0 2116 412 tty5 Ss+ Jun29 0:00 /sbin/mingetty tty5
root 3117 0.0 0.0 2396 412 tty6 Ss+ Jun29 0:00 /sbin/mingetty tty6
3. 如何關閉這些進程?
通常我們保留前2個控制台就可以了,
把後面4個用#注釋掉就可以了
然後無需重啟機器,只需要執行 init q 這個命令即可
init q
q作為參數的含義:重新執行/etc/inittab中的命令
修改完成後需重啟機器使之生效
4 、如何關閉atime?
一個linux文件默認有3個時間:
atime:對此文件的訪問時間
ctime:此文件inode發生變化的時間
mtime:此文件的修改時間
如果有多個小文件時通常沒有必要記錄文件的訪問時間,
這樣可以減少磁碟的io,比如web伺服器的頁面上有多個小圖片
如何進行設置呢?
修改文件系統的配置文件:vi /etc/fstab
在包含大量小文件的分區中使用noatime,nodiratime兩項
例如:
/dev/md5 /data/pics1 ext3 noatime,nodiratime 0 0
這樣文件被訪問時就不會再產生寫磁碟的io
5、 一定要讓你的伺服器運行在level 3上
做法:
vi /etc/inittab
id:3:initdefault:
讓伺服器運行X是沒有必要的
6, 優化sshd
X11Forwarding no //不進行x圖形的轉發
UseDNS no //不對IP地址做反向的解析
7、 優化shell
修改命令history記錄
# vi /etc/profile
找到 HISTSIZE=1000 改為 HISTSIZE=100
然後 source /etc/profile
4. Linux怎麼設置安全管理
對於Linux管理用戶來說,系統的安全也是至關重要的。那麼Linux怎麼設置安全管理呢?接下來大家跟著我一起來了解一下Linux設置安全管理的解決 方法 吧。
Linux設置安全管理方法
1.引導程序安全
Linux系統的root密碼是很容易的,當然前提是你沒有設置引導程序密碼,如掘老毀GRUB或LILO,為了防止通過引導程序破譯root密碼,強烈建議設置GRUB或LILO的引導密碼,可以編輯其配置文件/etc/grub.conf或/etc/lilo.conf,設置password參數。
2.不安全許可權設置
大家常見的Linux下文件權判備限是r w x,其實還有一種許可權叫s,如果給某個文件賦予的s許可權,那麼這個文件在執行的時候就會擁有相應宿主用戶或宿主組用戶的許可權,例如:
#chmod u+s testfile
#ls -la testfile
rwsr----- root root 10 testfile
這樣,當這個文件被 其它 用戶執行的時候,此用戶就具有了此文件宿主用戶root的對testfile的執行許可權。類似,當文件的宿主組具有s許可權後,執行此文件的用戶就具有了此文件宿主組用戶對此文件的許可權,這是相當危險的。
大家可以試想下,如果命令chmod的文件被賦予了s許可權,那麼其它用戶還有什麼事情是不能做的呢?那它就含仿可以更改任何文件的許可權了,當然,s許可權需要和x許可權結合使用,沒有x許可權的s許可權是沒有任何意義的。
3.自動注銷
當某個用戶使用伺服器後忘記注銷,也是很危險的事情,此時,管理員可以設置/etc/profile文件的timeout參數,當用戶一段時間不做任何操作時,系統自動注銷此用戶。
4. 設置口令復雜度
為了防止系統用戶口令過於簡單而被破譯,可以編輯/etc/login.defs文件,設置系統用戶口令復雜度,例如口令最長,最短,過期時間等。
5.禁止不必要用戶登陸系統
為了防止其它非系統用戶登陸系統,可以在添加用戶時,賦予此用戶不存在的主目錄和不存在的shell環境,當然,最好還更改/etc/passwd和/etc/shadow兩個文件的訪問許可權,使之後root用戶可以訪問。
Linux系統特點就是因為它是一款免費傳播類 操作系統 ,使其具有伺服器應有的天然特性,但也正是因為有這些特性,所以在管理不當的情況下,也會造成很嚴重的安全性問題,所以我們的好好使用它,保護它!
5. 如何做好Linux伺服器安全維護
首先,這些惡意的攻擊行為,旨在消耗伺服器資源,影響伺服器的正常運作,甚至攻擊到伺服器所在網路癱瘓。還有一方面,就是入侵行為,這種大多與某些利益有關聯,有的涉及到企業的敏感信息,有的是同行相煎。
第一,做好硬體維護
當處理數據越來越多,佔用資源也隨之增多時,伺服器就需要更多的內存和硬碟容量來儲存這些資源,因此,每隔段時間後伺服器需要升級,可是需要注意的增加內存或者硬碟時,要考慮到兼容性、穩定性,否則不同型號的內存有可能會引起系統出錯。
還有對設備進行卸載和更換時,需要仔細閱讀說明書,不要強行拆卸,而且必須在完全斷電,伺服器接地良好的情況下進行,防止靜電對設備造成損壞。
同樣,伺服器的最大殺手塵土,因此需要定期給伺服器除塵。特別要注意電源的除塵。
第二,做好數據的備份
對企業來說,伺服器上的數據是非常寶貴,如果資料庫丟失了,損失是非常巨大的,因此,企業需對數據進行定期備份,以防萬一。一般企業都需要每天對伺服器上的數據進行備份,而且要將備份數據放置在不同伺服器上,
數據需要備份,同樣需要防盜。可以通過密碼保護好磁帶並且如果你的備份程序支持加密功能,你還可以加密這些數據。同時,要定好備份時間,通常備份的過程會選擇在晚上10點以後進行,到半夜結束。
第三,定期做好網路檢查
第四,關閉不必要的服務,只開該開的埠
對於初學者,建議在所有的工作站上使用Windows 2000。Windows 2000是一個非常安全的操作系統。如果你並不想這樣做,那麼至少使用Windows NT。你可以鎖定工作站,使得一些沒有安全訪問權的人想要獲得網路配置信息變得困難或是不可能。
或者關閉那些不必要開的服務,做好本地管理和組管理。Windows系統有很多默認的服務其實沒必要開的,甚至可以說是危險的,比如:默認的共享遠程注冊表訪問(Remote Registry Service),系統很多敏感的信息都是寫在注冊表裡的,如pcanywhere的加密密碼等。
關閉那些不必要的埠。一些看似不必要的埠,確可以向黑客透露許多操作系統的敏感信息,如windows 2000 server默認開啟的IIS服務就告訴對方你的操作系統是windows 2000。69埠告訴黑客你的操作系統極有可能是linux或者unix系統,因為69是這些操作系統下默認的tftp服務使用的埠。對埠的進一步訪問,還可以返回該伺服器上軟體及其版本的一些信息,這些對黑客的入侵都提供了很大的幫助。此外,開啟的埠更有可能成為黑客進入伺服器的門戶。
以上是伺服器日常操作安全維護的一些技巧。
6. 如何讓你的linux操作系統更加安全
BIOS安全
記著要在BIOS設置中設定一個BIOS密碼,不接收軟盤啟薯爛動。這樣可以阻止不懷好意的人用專門的啟動盤啟動你的Linux系統,並避免別人更改BIOS設置,如更改軟盤啟動設置或不彈出密碼框直接啟動伺服器等。
LILO安全
在「/etc/lilo.conf」文件中添加3個參數:time-out、restricted 和 password。這些選項會在啟動時間(如「linux single」)轉到啟動轉載程序過程中,要求提供密碼。
步驟1
編輯lilo.conf文件(/etc/lilo.conf),添加和更改這三個選項:
QUOTE:
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
time-out=00 #change this line to 00
prompt
Default=linux
restricted #add this line
password= #add this line and put your password
image=/boot/vmlinuz-2.2.14-12
label=linux
initrd=/boot/initrd-2.2.14-12.img
root=/dev/hda6
read-only
步驟2
由於其中的密碼未加密,「/etc/lilo.conf」文件只對根用戶為可讀。
[root@kapil /]# chmod 600 /etc/lilo.conf (不再為全局可讀)
步驟3
作了上述修改後,更新配置文件「/etc/lilo.conf」。
[Root@kapil /]# /sbin/lilo -v (更新lilo.conf文件)
步驟4
還有一個方法使「/etc/lilo.conf」更安全,那就是用chattr命令將其設為不可改:
[root@kapil /]# chattr i /etc/lilo.conf
它將阻止任何對「lilo.conf」文件的更改,無論是否故意。
關於lilo安全的更多信息,請參考LILO。
禁用所有專門帳號
在lp, sync, shutdown, halt, news, uucp, operator, games, gopher等系統中,將你不使用的所有默認用戶帳號和群組帳號刪除。
要刪除用戶帳號:
[root@kapil /]# userdel LP
要刪除群組帳號:
[root@kapil /]# groupdel LP
選擇恰當數察漏的密碼
選擇密碼時要遵循如下原則:
密碼長度:安裝Linux系統時默認的最短密碼長度為5個字元。這個沒扮長度還不夠,應該增為8個。要改為8個字元,必須編輯 login.defs 文件(/etc/login.defs):
PASS_MIN_LEN 5
改為:
PASS_MIN_LEN 8
「login.defs」是登錄程序的配置文件。
啟用盲區密碼支持
請啟用盲區密碼功能。要實現這一點,使用「/usr/sbin/authconfig」實用程序。如果想把系統中現有的密碼和群組改為盲區密碼和群組,則分別用 pwconv 和 grpconv 命令。
7. 如何提高Linux系統安全性的十大招數
Linux是一種類Unix的操作系統。從理論上講,Unix本身的設計並沒有什麼重大的安全缺陷。多年來,絕大多數在Unix操作系統上發現的安全問題主要存在於個別程序中,所以大部分Unix廠商都聲稱有能力解決這些問題,提供安全的Unix操作系統。
但Linux有些不同,因為它不屬於某一家廠商,沒有廠商宣稱對它提供安全保證,因此用戶只有自己解決安全問題。Linux不論在功能上、價格上或性能上都有很多優點,然而,作為開放式操作系統,它不可避免地存在一些安全隱患。關於如何解決這些隱患,為應用提供一個安全的操作平台,本文會告訴你一些最基本、最常用,同時也是最有效的招數。
Linux是一種類Unix的操作系統。從理論上講,Unix本身的設計並沒有什麼重大的安全缺陷。多年來,絕大多數在Unix操作系統上發現的安全問題主要存在於個別程序中,所以大部分Unix廠商都聲稱有能力解決這些問題,提供安全的Unix操作系統。但Linux有些不同,因為它不屬於某一家廠商,沒有廠商宣稱對它提供安全保證,因此用戶只有自己解決安全問題。
Linux是一個開放式系統,可以在網路上找到許多現成的程序和工具,這既方便了用戶,也方便了黑客,因為他們也能很容易地找到程序和工具來潛入Linux系統,或者盜取Linux系統上的重要信息。不過,只要我們仔細地設定Linux的各種系統功能,並且加上必要的安全措施,就能讓黑客們無機可乘。
一般來說,對Linux系統的安全設定包括取消不必要的服務、限制遠程存取、隱藏重要資料、修補安全漏洞、採用安全工具以及經常性的安全檢查等。本文教你十種提高Linux系統安全性的招數。雖然招數不大,但招招奏效,你不妨一試。
第1招:取消不必要的服務
早期的Unix版本中,每一個不同的網路服務都有一個服務程序在後台運行,後來的版本用統一的/etc/inetd伺服器程序擔此重任。 Inetd是Internetdaemon的縮寫,它同時監視多個網路埠,一旦接收到外界傳來的連接信息,就執行相應的TCP或UDP網路服務。
由於受inetd的統一指揮,因此Linux中的大部分TCP或UDP服務都是在/etc/inetd.conf文件中設定。所以取消不必要服務的第一步就是檢查/etc/inetd.conf文件,在不要的服務前加上「#」號。
一般來說,除了http、smtp、telnet和ftp之外,其他服務都應該取消,諸如簡單文件傳輸協議tftp、網路郵件存儲及接收所用的imap/ipop傳輸協議、尋找和搜索資料用的gopher以及用於時間同步的daytime和time等。
還有一些報告系統狀態的服務,如finger、efinger、systat和netstat等,雖然對系統查錯和尋找用戶非常有用,但也給黑客提供了方便之門。例如,黑客可以利用finger服務查找用戶的電話、使用目錄以及其他重要信息。因此,很多Linux系統將這些服務全部取消或部分取消,以增強系統的安全性。
Inetd除了利用/etc/inetd.conf設置系統服務項之外,還利用/etc/services文件查找各項服務所使用的埠。因此,用戶必須仔細檢查該文件中各埠的設定,以免有安全上的漏洞。
在Linux中有兩種不同的服務型態:一種是僅在有需要時才執行的服務,如finger服務;另一種是一直在執行的永不停頓的服務。這類服務在系統啟動時就開始執行,因此不能靠修改inetd來停止其服務,而只能從修改/etc/rc.d/rc[n].d/文件或用Run level editor去修改它。提供文件服務的NFS伺服器和提供NNTP新聞服務的news都屬於這類服務,如果沒有必要,最好取消這些服務。
第2招:限制系統的出入
在進入Linux系統之前,所有用戶都需要登錄,也就是說,用戶需要輸入用戶賬號和密碼,只有它們通過系統驗證之後,用戶才能進入系統。
與其他Unix操作系統一樣,Linux一般將密碼加密之後,存放在/etc/passwd文件中。Linux系統上的所有用戶都可以讀到/etc/passwd文件,雖然文件中保存的密碼已經經過加密,但仍然不太安全。因為一般的用戶可以利用現成的密碼破譯工具,以窮舉法猜測出密碼。比較安全的方法是設定影子文件/etc/shadow,只允許有特殊許可權的用戶閱讀該文件。
在Linux系統中,如果要採用影子文件,必須將所有的公用程序重新編譯,才能支持影子文件。這種方法比較麻煩,比較簡便的方法是採用插入式驗證模塊(PAM)。很多Linux系統都帶有Linux的工具程序PAM,它是一種身份驗證機制,可以用來動態地改變身份驗證的方法和要求,而不要求重新編譯其他公用程序。這是因為PAM採用封閉包的方式,將所有與身份驗證有關的邏輯全部隱藏在模塊內,因此它是採用影子檔案的最佳幫手。
此外,PAM還有很多安全功能:它可以將傳統的DES加密方法改寫為其他功能更強的加密方法,以確保用戶密碼不會輕易地遭人破譯;它可以設定每個用戶使用電腦資源的上限;它甚至可以設定用戶的上機時間和地點。
Linux系統管理人員只需花費幾小時去安裝和設定PAM,就能大大提高Linux系統的安全性,把很多攻擊阻擋在系統之外。
第3招:保持最新的系統核心
由於Linux流通渠道很多,而且經常有更新的程序和系統補丁出現,因此,為了加強系統安全,一定要經常更新系統內核。
Kernel是Linux操作系統的核心,它常駐內存,用於載入操作系統的其他部分,並實現操作系統的基本功能。由於Kernel控制計算機和網路的各種功能,因此,它的安全性對整個系統安全至關重要。
早期的Kernel版本存在許多眾所周知的安全漏洞,而且也不太穩定,只有2.0.x以上的版本才比較穩定和安全,新版本的運行效率也有很大改觀。在設定Kernel的功能時,只選擇必要的功能,千萬不要所有功能照單全收,否則會使Kernel變得很大,既佔用系統資源,也給黑客留下可乘之機。
在Internet上常常有最新的安全修補程序,Linux系統管理員應該消息靈通,經常光顧安全新聞組,查閱新的修補程序。
第4招:檢查登錄密碼
設定登錄密碼是一項非常重要的安全措施,如果用戶的密碼設定不合適,就很容易被破譯,尤其是擁有超級用戶使用許可權的用戶,如果沒有良好的密碼,將給系統造成很大的安全漏洞。
在多用戶系統中,如果強迫每個用戶選擇不易猜出的密碼,將大大提高系統的安全性。但如果passwd程序無法強迫每個上機用戶使用恰當的密碼,要確保密碼的安全度,就只能依靠密碼破解程序了。
實際上,密碼破解程序是黑客工具箱中的一種工具,它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字,然後將其與Linux系統的/etc/passwd密碼文件或/etc/shadow影子文件相比較,如果發現有吻合的密碼,就可以求得明碼了。
在網路上可以找到很多密碼破解程序,比較有名的程序是crack。用戶可以自己先執行密碼破解程序,找出容易被黑客破解的密碼,先行改正總比被黑客破解要有利。
第5招:設定用戶賬號的安全等級
除密碼之外,用戶賬號也有安全等級,這是因為在Linux上每個賬號可以被賦予不同的許可權,因此在建立一個新用戶ID時,系統管理員應該根據需要賦予該賬號不同的許可權,並且歸並到不同的用戶組中。
在Linux系統上的tcpd中,可以設定允許上機和不允許上機人員的名單。其中,允許上機人員名單在/etc/hosts.allow 中設置,不允許上機人員名單在/etc/hosts.deny中設置。設置完成之後,需要重新啟動inetd程序才會生效。此外,Linux將自動把允許進入或不允許進入的結果記錄到/rar/log/secure文件中,系統管理員可以據此查出可疑的進入記錄。
每個賬號ID應該有專人負責。在企業中,如果負責某個ID的職員離職,管理員應立即從系統中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號。
在用戶賬號之中,黑客最喜歡具有root許可權的賬號,這種超級用戶有權修改或刪除各種系統設置,可以在系統中暢行無阻。因此,在給任何賬號賦予root許可權之前,都必須仔細考慮。
Linux系統中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱。例如,在RedHatLinux系統中,該文件的初始值僅允許本地虛擬控制台(rtys)以root許可權登錄,而不允許遠程用戶以root許可權登錄。最好不要修改該文件,如果一定要從遠程登錄為root許可權,最好是先以普通賬號登錄,然後利用su命令升級為超級用戶。
第6招:消除黑客犯罪的溫床
在Unix系統中,有一系列r字頭的公用程序,它們是黑客用以入侵的武器,非常危險,因此絕對不要將root賬號開放給這些公用程序。由於這些公用程序都是用.rhosts文件或者hosts.equiv文件核准進入的,因此一定要確保root賬號不包括在這些文件之內。
由於r字頭指令是黑客們的溫床,因此很多安全工具都是針對這一安全漏洞而設計的。例如,PAM工具就可以用來將r字頭公用程序的功力廢掉,它在/etc/pam.d/rlogin文件中加上登錄必須先核準的指令,使整個系統的用戶都不能使用自己home目錄下的.rhosts文件。
第7招:增強安全防護工具
SSH是安全套接層的簡稱,它是可以安全地用來取代rlogin、rsh和rcp等公用程序的一套程序組。SSH採用公開密鑰技術對網路上兩台主機之間的通信信息加密,並且用其密鑰充當身份驗證的工具。
由於SSH將網路上的信息加密,因此它可以用來安全地登錄到遠程主機上,並且在兩台主機之間安全地傳送信息。實際上,SSH不僅可以保障Linux主機之間的安全通信,Windows用戶也可以通過SSH安全地連接到Linux伺服器上。
第8招:限制超級用戶的權力
我們在前面提到,root是Linux保護的重點,由於它權力無限,因此最好不要輕易將超級用戶授權出去。但是,有些程序的安裝和維護工作必須要求有超級用戶的許可權,在這種情況下,可以利用其他工具讓這類用戶有部分超級用戶的許可權。Sudo就是這樣的工具。
Sudo程序允許一般用戶經過組態設定後,以用戶自己的密碼再登錄一次,取得超級用戶的許可權,但只能執行有限的幾個指令。例如,應用 sudo後,可以讓管理磁帶備份的管理人員每天按時登錄到系統中,取得超級用戶許可權去執行文檔備份工作,但卻沒有特權去作其他只有超級用戶才能作的工作。
Sudo不但限制了用戶的許可權,而且還將每次使用sudo所執行的指令記錄下來,不管該指令的執行是成功還是失敗。在大型企業中,有時候有許多人同時管理Linux系統的各個不同部分,每個管理人員都有用sudo授權給某些用戶超級用戶許可權的能力,從sudo的日誌中,可以追蹤到誰做聳裁匆約案畝 了系統的哪些部分 ?
值得注意的是,sudo並不能限制所有的用戶行為,尤其是當某些簡單的指令沒有設置限定時,就有可能被黑客濫用。例如,一般用來顯示文件內容的/etc/cat指令,如果有了超級用戶的許可權,黑客就可以用它修改或刪除一些重要的文件。
8. linuxfq神器是啥
1 Linuxfq神器是一款Linux系統下的網路工具。
2 它可以幫助用戶判啟尺進行網路旁型流量分析,抓包和協議分析,同時還掘高支持對網路設備進行嗅探和控制。
3 此外,Linuxfq還能夠進行網路攻擊和防禦,提供了多種攻擊和防禦方法,是網路安全領域的重要工具之一。
9. 如何使Linux伺服器變得更安全
1.安裝和配置一個防火牆
一個配置適當的防火牆不僅是系統有效應對外部攻擊的第一道防線,也是最重要的一道防線。在新系統第一次連接上Internet之前,防火牆就應該被安裝並且配置好。防火牆配置成拒絕接收所有數據包,然後再打開允許接收的數據包,將有利於系統的安全。Linux為我們提供了一個非常優秀的防火牆工具,它就是netfilter/iptables。它完全是免費的,並且可以在一台低配置的老機器上很好地運行。防火牆的具體設置方法請參見iptables使用方法。
2、關閉無用的服務和埠
任何網路連接都是通過開放的應用埠來實現的。如果我們盡可能少地開放埠,就使網路攻擊變成無源之水,從而大大減少了攻擊者成功的機會。把Linux作為專用伺服器是個明智的舉措。例如,希望Linux成為的Web伺服器,可以取消系統內所有非必要的服務,只開啟必要服務。這樣做可以盡量減少後門,降低隱患,而且可以合理分配系統資源,提高整機性能。以下是幾個不常用的服務:
① fingerd(finger伺服器)報告指定用戶的個人信息,包括用戶名、真實姓名、shell、目錄和聯系方式,它將使系統暴露在不受歡迎的情報收集活動下,應避免啟動此服務。
② R服務(rshd、rlogin、rwhod、rexec)提供各種級別的命令,它們可以在遠程主機上運行或與遠程主機交互,在封閉的網路環境中登錄而不再要求輸入用戶名和口令,相當方便。然而在公共伺服器上就會暴露問題,導致安全威脅。
3、刪除不用的軟體包
在進行系統規劃時,總的原則是將不需要的服務一律去掉。默認的Linux就是一個強大的系統,運行了很多的服務。但有許多服務是不需要的,很容易引起安全風險。這個文件就是/etc/xinetd.conf,它制定了/usr/sbin/xinetd將要監聽的服務,你可能只需要其中的一個:ftp,其它的類如telnet、shell、login、exec、talk、ntalk、imap、finger、auth等,除非你真的想用它,否則統統關閉。
4、不設置預設路由
在主機中,應該嚴格禁止設置預設路由,即default route。建議為每一個子網或網段設置一個路由,否則其它機器就可能通過一定方式訪問該主機。
5、口令管理
口令的長度一般不要少於8個字元,口令的組成應以無規則的大小寫字母、數字和符號相結合,嚴格避免用英語單詞或片語等設置口令,而且各用戶的口令應該養成定期更換的習慣。另外,口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護,必須做到只有系統管理員才能訪問這2個文件。安裝一個口令過濾工具加npasswd,能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具,建議你現在馬上安裝。如果你是系統管理員,你的系統中又沒有安裝口令過濾工具,請你馬上檢查所有用戶的口令是否能被窮盡搜索到,即對你的/ect/passwd文件實施窮盡搜索攻擊。用單詞作密碼是根本架不住暴力攻擊的。黑客們經常用一些常用字來破解密碼。曾經有一位美國黑客表示,只要用「password」這個字,就可以打開全美多數的計算機。其它常用的單詞還有:account、ald、alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、love、no、ok、okay、please、sex、secret、superuser、system、test、work、yes等。
密碼設置和原則:
a.足夠長,指頭只要多動一下為密碼加一位,就可以讓攻擊者的辛苦增加十倍;
b. 不要用完整的單詞,盡可能包括數字、標點符號和特殊字元等;
c.混用大小寫字元;
d.經常修改。
6、分區管理
一個潛在的攻擊,它首先就會嘗試緩沖區溢出。在過去的幾年中,以緩沖區溢出為類型的安全漏洞是最為常見的一種形式了。更為嚴重的是,緩沖區溢出漏洞佔了遠程網路攻擊的絕大多數,這種攻擊可以輕易使得一個匿名的Internet用戶有機會獲得一台主機的部分或全部的控制權!。
為了防止此類攻擊,我們從安裝系統時就應該注意。如果用root分區記錄數據,如log文件,就可能因為拒絕服務產生大量日誌或垃圾郵件,從而導致系統崩潰。所以建議為/var開辟單獨的分區,用來存放日誌和郵件,以避免root分區被溢出。最好為特殊的應用程序單獨開一個分區,特別是可以產生大量日誌的程序,還建議為/home單獨分一個區,這樣他們就不能填滿/分區了,從而就避免了部分針對Linux分區溢出的惡意攻擊。
很多Linux桌面用戶往往是使用Windows、Linux雙系統。最好使用雙硬碟。方法如下:首先將主硬碟的數據線拆下,找一個10GB左右的硬碟掛在計算機上,將小硬碟設置為從盤,按照平常的操作安裝Linux伺服器版本,除了啟動的引導程序放在MBR外,其它沒有區別。 安裝完成,調試出桌面後,關閉計算機。將小硬碟的數據線拆下,裝上原硬碟,並設定為主盤(這是為了原硬碟和小硬碟同時掛接在一個數據線上),然後安裝Windows軟體。將兩個硬碟都掛在數據線上,數據線是IDE 0介面,將原硬碟設定為主盤,小硬碟設定為從盤。如果要從原硬碟啟動,就在CMOS里將啟動的順序設定為「C、D、CDROM」,或者是「IDE0(HDD-0)」。這樣計算機啟動的時候,進入Windows界面。如果要從小硬碟啟動,就將啟動順序改為「D、C、CDROM」,或者是「IDE1(HDD-1)」,啟動之後,將進入Linux界面。平時兩個操作系統是互相不能夠訪問的。
7、防範網路嗅探:
嗅探器技術被廣泛應用於網路維護和管理方面,它工作的時候就像一部被動聲納,默默的接收看來自網路的各種信息,通過對這些數據的分析,網路管理員可以深入了解網路當前的運行狀況,以便找出網路中的漏洞。在網路安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防範嗅探器的危害.嗅探器能夠造成很大的安全危害,主要是因為它們不容易被發現。對於一個安全性能要求很嚴格的企業,同時使用安全的拓撲結構、會話加密、使用靜態的ARP地址是有必要的。
8、完整的日誌管理
日誌文件時刻為你記錄著你的系統的運行情況。當黑客光臨時,也不能逃脫日誌的法眼。所以黑客往往在攻擊時修改日誌文件,來隱藏蹤跡。因此我們要限制對/var/log文件的訪問,禁止一般許可權的用戶去查看日誌文件。
另外要使用日誌伺服器。將客戶機的日誌信息保存副本是好主意,創建一台伺服器專門存放日誌文件,可以通過檢查日誌來發現問題。修改/etc/sysconfig/syslog文件加入接受遠程日誌記錄。
/etc/sysconfig/syslog SYSLOGD_OPTIONS="-m r 0"
還應該設定日誌遠程保存。修改/etc/syslog.conf文件加入日誌伺服器的設置,syslog將保存副本在日誌伺服器上。
/etc/syslog.conf *.* @log_server_IP
可以使用彩色日誌過濾器。彩色日誌loco過濾器,目前版本是0.32。使用loco /var/log/messages | more可以顯示出彩色的日誌,明顯標記出root的位置和日誌中異常的命令。這樣可以減少分析日誌時人為遺漏。還要進行日誌的定期檢查。Red Hat Linux中提供了logwatch工具,定期自動檢查日誌並發送郵件到管理員信箱。需要修改/etc/log.d/conf/ logwatch.conf文件,在MailTo = root參數後增加管理員的郵件地址。Logwatch會定期檢查日誌,過濾有關使用root、sudo、telnet、ftp登錄等信息,協助管理員分析日常安全。完整的日誌管理要包括網路數據的正確性、有效性、合法性。對日誌文件的分析還可以預防入侵。例如、某一個用戶幾小時內的20次的注冊失敗記錄,很可能是入侵者正在嘗試該用戶的口令。
9、終止正進行的攻擊
假如你在檢查日誌文件時,發現了一個用戶從你未知的主機登錄,而且你確定此用戶在這台主機上沒有賬號,此時你可能正被攻擊。首先你要馬上鎖住此賬號(在口令文件或shadow文件中,此用戶的口令前加一個Ib或其他的字元)。若攻擊者已經連接到系統,你應馬上斷開主機與網路的物理連接。如有可能,你還要進一步查看此用戶的歷史記錄,查看其他用戶是否也被假冒,攻擊音是否擁有根許可權。殺掉此用戶的所有進程並把此主機的ip地址掩碼加到文件hosts.deny中。
10、使用安全工具軟體:
Linux已經有一些工具可以保障伺服器的安全。如bastille linux和Selinux。 bastille linux對於不熟悉 linux 安全設定的使用者來說,是一套相當方便的軟體,bastille linux 目的是希望在已經存在的 linux 系統上,建構出一個安全性的環境。增強安全性的Linux(SELinux)是美國安全部的一個研發項目,它的目的在於增強開發代碼的Linux內核,以提供更強的保護措施,防止一些關於安全方面的應用程序走彎路,減輕惡意軟體帶來的災難。普通的Linux系統的安全性是依賴內核的,這個依賴是通過setuid/setgid產生的。在傳統的安全機制下,暴露了一些應用授權問題、配置問題或進程運行造成整個系統的安全問題。這些問題在現在的操作系統中都存在,這是由於他們的復雜性和與其它程序的互用性造成的。SELinux只單單依賴於系統的內核和安全配置政策。一旦你正確配置了系統,不正常的應用程序配置或錯誤將只返回錯誤給用戶的程序和它的系統後台程序。其它用戶程序的安全性和他們的後台程序仍然可以正常運行,並保持著它們的安全系統結構。用簡單一點的話說就是:沒有任何的程序配置錯誤可以造成整個系統的崩潰。安裝SELinux SELinux的內核、工具、程序/工具包,還有文檔都可以到增強安全性的Linux網站上上下載你必須有一個已經存在的Linux系統來編譯你的新內核,這樣才能訪問沒有更改的系統補丁包。
11.使用保留IP地址
維護網路安全性最簡單的方法是保證網路中的主機不同外界接觸。最基本的方法是與公共網路隔離。然而,這種通過隔離達到的安全性策略在許多情況下是不能接受的。這時,使用保留IP地址是一種簡單可行的方法,它可以讓用戶訪問Internet同時保證一定的安全性。- RFC 1918規定了能夠用於本地 TCP/IP網路使用的IP地址范圍,這些IP地址不會在Internet上路由,因此不必注冊這些地址。通過在該范圍分配IP地址,可以有效地將網路流量限制在本地網路內。這是一種拒絕外部計算機訪問而允許內部計算機互聯的快速有效的方法。 保留IP地址范圍:
---- 10.0.0 .0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
--- 192.168.0.0 - 192.168.255.255。
來自保留IP地址的網路交通不會經過Internet路由器,因此被賦予保留IP地址的任何計算機不能從外部網路訪問。但是,這種方法同時也不允許用戶訪問外部網路。IP偽裝可以解決這一問題。
12、合理選擇Linux發行版本:
對於伺服器使用的Linux版本,既不使用最新的發行版本,也不選擇太老的版本。應當使用比較成熟的版本:前一個產品的最後發行版本如RHEL 3.0等。畢竟對於伺服器來說安全穩定是第一的。
13、部署Linux防範病毒軟體
Linux操作系統一直被認為是Windows系統的勁敵,因為它不僅安全、穩定、成本低,而且很少發現有病毒傳播。但是,隨著越來越多的伺服器、工作站和個人電腦使用Linux軟體,電腦病毒製造者也開始攻擊這一系統。對於Linux系統無論是伺服器,還是工作站的安全性和許可權控制都是比較強大的,這主要得力於其優秀的技術設計,不僅使它的作業系統難以宕機,而且也使其難以被濫用。Unix經過20多年的發展和完善,已經變得非常堅固,而Linux基本上繼承了它的優點。在Linux里,如果不是超級用戶,那麼惡意感染系統文件的程序將很難得逞。速客一號(Slammer)、沖擊波(Blast)、霸王蟲(Sobig)、 米蟲(Mimail)、勞拉(Win32.Xorala)病毒等惡性程序雖然不會損壞Linux伺服器,但是卻會傳播給訪問它的Windows系統平台的計算機。
10. Linux伺服器的安全防護都有哪些措施
一、強化密碼強度
只要涉及到登錄,就需要用到密碼,如果密碼設定不恰當,就很容易被黑客破解,如果是超級管理員(root)用戶,如果沒有設立良好的密碼機制,可能給系統造成無法挽回的後果。
很多用戶喜歡用自己的生日、姓名、英文名等信息來設定,這些方式可以通過字典或者社會工程的手段去破解,因此建議用戶在設定密碼時,盡量使用非字典中出現的組合字元,且採用數字與字元、大小寫相結合的密碼,增加密碼被破譯的難度。
二、登錄用戶管理
進入Linux系統前,都是需要登錄的,只有通過系統驗證後,才能進入Linux操作系統,而Linux一般將密碼加密後,存放在/etc/passwd文件中,那麼所有用戶都可以讀取此文件,雖然其中保存的密碼已加密,但安全系數仍不高,因此可以設定影子文件/etc/shadow,只允許有特殊許可權的用戶操作。
三、賬戶安全等級管理
在Linux操作系統上,每個賬戶可以被賦予不同的許可權,因此在建立一個新用戶ID時,系統管理員應根據需要賦予該賬號不同的許可權,且歸並到不同的用戶組中。每個賬號ID應有專人負責,在企業中,如果負責某個ID的員工離職,該立即從系統中刪除該賬號。
四、謹慎使用"r"系列遠程程序管理
在Linux操作系統中,有一系列r開頭的公用程序,如rlogin、rcp等,非常容易被不法分子用來攻擊我們的系統,因此千萬不要將root賬號開放給這些公用程序,現如今很多安全工具都是針對此漏洞而設計的,比如PAM工具,就可以將其有效地禁止掉。
五、root用戶許可權管理
root可謂是Linux重點保護對象,因為其權利是最高的,因此千萬不要將它授權出去,但有些程序的安裝、維護必須要求是超級用戶許可權,在此情況下,可以利用其他工具讓這類用戶有部分超級用戶的許可權。sudo就是這樣的工具。
六、綜合防禦管理
防火牆、IDS等防護技術已成功應用到網路安全的各個領域,且都有非常成熟的產品,需要注意的是:在大多數情況下,需要綜合使用這兩項技術,因為防火牆相當於安全防護的第一層,它僅僅通過簡單地比較IP地址/埠對來過濾網路流量,而IDS更加具體,它需要通過具體的數據包(部分或者全部)來過濾網路流量,是安全防護的第二層。綜合使用它們,能夠做到互補,並且發揮各自的優勢,最終實現綜合防禦。
酷酷雲伺服器為您誠意解答,伺服器租戶的選擇,酷酷雲值得信賴。