linux补丁服务器

‘壹’ linux服务器基本配置

检查硬件支持，在安装Linux之前，先确定你的计算机的硬件是否能被Linux所支持。首先，Linux目前支持几乎所有的处理器（CPU）。
其次，早期的Linux只支持数量很少的显卡、声卡，而如今，如果要安装Linux，已经不需要再为硬件是否能被Linux支持担心了。

2、经过十多年的发展，Linux内核不断完善，已经能够支持大部分的主流硬件，同时各大硬件厂商也意识到了Linux操作系统对其产品线的重要性，纷纷针对Linux推出了驱动程序和补丁，使得Linux在硬件驱动上获得了更广泛的支持。

‘贰’ linux服务器双硬盘优缺点

linux服务器双硬盘优缺点：

优点：硬件上来说，linux可以使用非X86架构的cpu，例如power系列的精简指令集的cpu，另外linux对硬件要求比windows低很多。

缺点：windows很多功能模仿自unix系统，而linux和unix全兼容，所以很多专业服务强过windows很多。

服务器可用性：

Linux服务器利用SLES 12利用“永久在线”功能集诱导企业级IT组织使用Linux服务器操作系统，这些功能包括基于Btrfs的快照、热补丁以及高可用性。

SUSE主席Nils Brauckmann表示，SUSE想打造一个可靠的Linux服务器版本，其更新旨在确保连续不间断服务。

Linux服务器内核更新需要服务器重新启动，就是说Linux服务器管理员无法给关键业务或基本服务器打补丁。即使几分钟的宕机在企业数据中心中也是无法容忍的。这让很多服务器运行着没打补丁的软件，脆弱易受攻击。热补丁解决了这个问题。

‘叁’ 如何检查Linux系统服务器的安全性

但由于该操作系统是一个多用户操作系统，黑客们为了在攻击中隐藏自己，往往会选择 Linux作为首先攻击的对象。那么，作为一名Linux用户，我们该如何通过合理的方法来防范Linux的安全呢？下面笔者搜集和整理了一些防范 Linux安全的几则措施，现在把它们贡献出来，恳请各位网友能不断补充和完善。 1、禁止使用Ping命令Ping命令是计算机之间进行相互检测线路完好的一个应用程序，计算机间交流数据的传输没有 经过任何的加密处理，因此我们在用ping命令来检测某一个服务器时，可能在因特网上存在某个非法分子，通过专门的黑客程序把在网络线路上传输的信息中途 窃取，并利用偷盗过来的信息对指定的服务器或者系统进行攻击，为此我们有必要在Linux系统中禁止使用Linux命令。在Linux里，如果要想使 ping没反应也就是用来忽略icmp包，因此我们可以在Linux的命令行中输入如下命令： echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all 如果想恢复使用ping命令，就可以输入 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all2、注意对系统及时备份为了防止系统在使用的过程中发生以外情况而难以正常运行，我们应该对Linux完好的系统进 行备份，最好是在一完成Linux系统的安装任务后就对整个系统进行备份，以后可以根据这个备份来验证系统的完整性，这样就可以发现系统文件是否被非法修 改过。如果发生系统文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。备份信息时，我们可以把完好的系统信息备份在CD-ROM光盘上，以后 可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高，那么可以将光盘设置为可启动的并且将验证工作作为系统启 动过程的一部分。这样只要可以通过光盘启动，就说明系统尚未被破坏过。 3、改进登录服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别，使用一个更安全的登录服务器 来取代Linux自身的登录工具也可以进一步提高安全。在大的Linux网络中，最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满 足所有系统登录需求并且拥有足够的磁盘空间的服务器系统，在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志 文件的能力。 4、取消Root命令历史记录在Linux下，系统会自动记录用户输入过的命令，而root用户发出的命令往往具有敏感的 信息，为了保证安全性，一般应该不记录或者少记录root的命令历史记录。为了设置系统不记录每个人执行过的命令，我们可以在Linux的命令行下，首先 用cd命令进入到/etc命令，然后用编辑命令来打开该目录下面的profile文件，并在其中输入如下内容： HISTFILESIZE=0
HISTSIZE=0当然，我们也可以直接在命令行中输入如下命令： ln -s /dev/null ~/.bash_history5、为关键分区建立只读属性Linux的文件系统可以分成几个主要的分区，每个分区分别进行不同的配置和安装，一般情况 下至少要建立/、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生 了改变，那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽 量将它们设置为只读，并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。 当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等，其自身的性质就决定了不能将它们设置为只读，但应该不允许它具有执行权限。 6、杀掉攻击者的所有进程假设我们从系统的日志文件中发现了一个用户从我们未知的主机登录，而且我们确定该用户在这台 主机上没有相应的帐号，这表明此时我们正在受到攻击。为了保证系统的安全被进一步破坏，我们应该马上锁住指定的帐号，如果攻击者已经登录到指定的系统，我 们应该马上断开主机与网络的物理连接。如有可能，我们还要进一步查看此用户的历史记录，再仔细查看一下其他用户是否也已经被假冒，攻击者是否拥有有限权 限；最后应该杀掉此用户的所有进程，并把此主机的IP地址掩码加入到文件hosts.deny中。 7、改进系统内部安全机制我们可以通过改进Linux操作系统的内部功能来防止缓冲区溢出，从而达到增强Linux系 统内部安全机制的目的，大大提高了整个系统的安全性。但缓冲区溢出实施起来是相当困难的，因为入侵者必须能够判断潜在的缓冲区溢出何时会出现以及它在内存 中的什么位置出现。缓冲区溢出预防起来也十分困难，系统管理员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此，许多人甚至包括 Linux Torvalds本人也认为这个安全Linux补丁十分重要，因为它防止了所有使用缓冲区溢出的攻击。但是需要引起注意的是，这些补丁也会导致对执行栈的 某些程序和库的依赖问题，这些问题也给系统管理员带来的新的挑战。 8、对系统进行跟踪记录为了能密切地监视黑客的攻击活动，我们应该启动日志文件，来记录系统的运行情况，当黑客在攻 击系统时，它的蛛丝马迹都会被记录在日志文件中的，因此有许多黑客在开始攻击系统时，往往首先通过修改系统的日志文件，来隐藏自己的行踪，为此我们必须限 制对/var/log文件的访问，禁止一般权限的用户去查看日志文件。当然，系统中内置的日志管理程序功能可能不是太强，我们应该采用专门的日志程序，来 观察那些可疑的多次连接尝试。另外，我们还要小心保护好具有根权限的密码和用户，因为黑客一旦知道了这些具有根权限的帐号后，他们就可以修改日志文件来隐 藏其踪迹了。 9、使用专用程序来防范安全有时，我们通过人工的方法来监视系统的安全比较麻烦，或者是不周密，因此我们还可以通过专业 程序来防范系统的安全，目前最典型的方法为设置陷井和设置蜜罐两种方法。所谓陷井就是激活时能够触发报警事件的软件，而蜜罐（honey pot）程序是指设计来引诱有入侵企图者触发专门的报警的陷井程序。通过设置陷井和蜜罐程序，一旦出现入侵事件系统可以很快发出报警。在许多大的网络中， 一般都设计有专门的陷井程序。陷井程序一般分为两种：一种是只发现入侵者而不对其采取报复行动，另一种是同时采取报复行动。 10、将入侵消灭在萌芽状态入侵者进行攻击之前最常做的一件事情就是端号扫瞄，如果能够及时发现和阻止入侵者的端号扫瞄 行为，那么可以大大减少入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器，也可以是一个复杂的入侵检测系统或可配置的防火墙。我们可以采用诸 如Abacus Port Sentry这样专业的工具，来监视网络接口并且与防火墙交互操作，最终达到关闭端口扫瞄攻击的目的。当发生正在进行的端口扫瞄时，Abacus Sentry可以迅速阻止它继续执行。但是如果配置不当，它也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。正确地使用这个软件将能够有效地防止对 端号大量的并行扫瞄并且阻止所有这样的入侵者。 11、严格管理好口令前面我们也曾经说到过，黑客一旦获取具有根权限的帐号时，就可以对系统进行任意的破坏和攻 击，因此我们必须保护好系统的操作口令。通常用户的口令是保存在文件/etc/passwd文件中的，尽管/etc/passwd是一个经过加密的文件， 但黑客们可以通过许多专用的搜索方法来查找口令，如果我们的口令选择不当，就很容易被黑客搜索到。因此，我们一定要选择一个确保不容易被搜索的口令。另外，我们最好能安装一个口令过滤工具，并借用该工具来帮助自己检查设置的口令是否耐得住攻击。

‘肆’ 关于linux的漏洞补丁

由于最近Bash爆发了一个严重的漏洞，故此影响了市面上几乎所有的Linux系统。处于安全的角度考虑客户要求为每一个受影响的主机都进行漏洞修补。由于公司使用的是红帽系统故此安全也同样受到影响。
（题外话：红帽的补丁需要收费才能下载，作为穷人我表示无奈，问了一下公司也表示没有购买红帽的服务，红帽的服务一般是按着CPU颗数算的，好像是两颗为一组，一组服务（红帽的人管服务叫订阅）5×8服务价格为799美元，7×24的价格为1299美元。）
有漏洞的服务器执行以下命令会有"vulnerable"和"this is a test"的信息提示，如图：

如果没有漏洞或者漏洞已修补则只提示"this is a test"。
由于公司没有购买红帽服务故此从第三方渠道获得了补丁。（花了我好多积分，肉疼）
设计到的服务器有两种，一种是Red Hat Enterprise Linux Server release 5系统是32为的，系统上的bash为bash-3.2-24.el5。
拿到的补丁文件有bash-3.2-33.el5_11.4.i386.rpm这个文件是适合我这个版本使用。
上传到服务器上，开始安装。

顺利安装完成，再次执行测试语句得知漏洞已修补。

另一种为Red Hat Enterprise Linux Server release 6也是32位的，bash的版本为bash-4.1.2-8.el6.i686。这台比较麻烦得到的补丁包为bash-4.1.2-15.el6_5.2.src.rpm。一般来讲这种src的包都是为编译的，需要编译之后生成正常的rpm来进行安装。突然脑子抽筋了直接进行了安装，结果就报错了，如图：

后来想起来未编译的src的包需要进行编译然后才能生成正常的rpm包。
把src的包上传到服务器上，然后如下命令进行编译：
rpmbuild --rebuildbash-4.1.2-15.el6_5.2.src.rpm编译之后看提示在/root/rpmbuild/RPMS/i686/目录下生成了若干个包。

进入/root/rpmbuild/RPMS/i686/在下面找到bash-4.1.2-15.el6.2.i686.rpm这个包进行安装，再次测试漏洞已修复完成，如图：

剩下的就是还剩了几台红帽6的服务器，拿着这个编译好的包，到各个服务器上安装即可。到此为止宣布修复完成。
有需要红帽5和6补丁包的朋友我在这里提供了下载地址，32和64位的都在这里，上传Linux公社1号FTP服务器中了，请需要的朋友可以下载并参考以上步骤安装即可。
------------------------------------------分割线------------------------------------------
FTP地址：ftp://ftp1.linuxidc.com
用户名：ftp1.linuxidc.com
密码：www.linuxidc.com
www.jy18.cn
在 2014年LinuxIDC.com\10月\Bash漏洞最新补丁安装教程【附下载】
下载方法见 http://www.linuxidc.com/Linux/2013-10/91140.htm
------------------------------------------分割线------------------------------------------
Gitlab-shell 受 Bash CVE-2014-6271 漏洞影响 http://www.linuxidc.com/Linux/2014-09/107181.htm
Linux再曝安全漏洞Bash 比心脏出血还严重 http://www.linuxidc.com/Linux/2014-09/107176.htm
解决办法是升级 Bash，请参考这篇文章。http://www.linuxidc.com/Linux/2014-09/107182.htm
Linux Bash安全漏洞修复 http://www.linuxidc.com/Linux/2014-10/107609.htm
更多RedHat相关信息见RedHat 专题页面 http://www.linuxidc.com/topicnews.aspx?tid=10
本文永久更新链接地址：http://www.linuxidc.com/Linux/2014-10/107851.htm

‘伍’ LINUX补丁服务器搭建

有很多成熟的方案可以选择，比如架设本地软件仓库即系一种无痛的更新升级方案，把软件仓库架设好以后，自动同步官方源，自动更新库，然后把局域网内部机器的更新源设置为本地软件仓库，设置每天仓库更新后，收到升级通知就自动更新软件。

‘陆’ 防黑加固Linux服务器安全加固

使用一些安全测试的办法与工具对服务器进行风险检测，找出服务器的脆弱点以及存在的安全缺陷。
针对服务器操作系统自身的安全测试，包括一些系统配置、主机漏洞扫描等等
查看服务器操作系统当前用户是否为root用户，尽量避免使用root用户登录，启动其他服务程序，除非是一些需要root权限的安全工具，前提需要保证工具来源可信。终端需要 who 既可以查看当前登录用户。
登录到Linux系统，此时切换到root用户，下载lynis安全审计工具，切换到lynis运行脚本目录，执行 ./lynis --check-all –Q 脚本语句，开始对本地主机扫描审计，等待扫描结束，查看扫描结果。
登录到Linux系统，切换到root用户，使用命令行方式安装Clamav 杀毒软件，安装完毕需要更新病毒库，执行扫描任务，等待扫描结束获取扫描结果，根据扫描结果删除恶意代码病毒；
登录到Linux系统，切换到root用户，下载Maldetect Linux恶意软件检测工具，解压缩后完成安装。运行扫描命令检测病毒，等待扫描结束获取扫描报告，根据扫描报告删除恶意病毒软件；
登录到Linux系统，切换到root用户，下载Chkrootkit后门检测工具包，解压缩后进入 Chkrootkit目录，使用gcc安装Chkrootkit，安装成功即开始Chkrootkit扫描工作，等待扫描结束，根据扫描结果恢复系统；
登录到Linux系统，切换到root用户，下载RKHunter 后门检测工具包，解压缩后进入 RKHunter 目录，执行命令安装RKHunter ，安装成功即开始启用后门检测工作，等待检测结束，根据检测报告更新操作系统，打上漏洞对应补丁；
使用下面工具扫描Web站点：nikto、wa3f、sqlmap、safe3 … …
扫描Web站点的信息：操作系统类型、操作系统版本、端口、服务器类型、服务器版本、Web站点错误详细信息、Web目录索引、Web站点结构、Web后台管理页面 …
测试sql注入，出现几个sql注入点
测试xss攻击，出现几个xss注入点
手动测试某些网页的输入表单，存在没有进行逻辑判断的表单，例如：输入邮箱的表单，对于非邮箱地址的输入结果，任然会继续处理，而不是提示输入错误，返回继续输入。
针对风险测试后得到的安全测试报告，修复系统存在的脆弱点与缺陷，并且进一步加强服务器的安全能力，可以借助一些安全工具与监控工具的帮助来实现。
对服务器本身存在的脆弱性与缺陷性进行的安全加固措施。
使用非root用户登录操作系统，使用非root用户运行其他服务程序，如：web程序等；
web权限，只有web用户组用户才能操作web应用，web用户组添加当前系统用户；
数据库权限，只有数据库用户组用户才能操作数据库，数据库用户组添加当前系统用户；
根据安全审计、恶意代码检查、后门检测等工具扫描出来的结果，及时更新操作系统，针对暴露的漏洞打上补丁。
对于发现的恶意代码病毒与后门程序等及时删除，恢复系统的完整性、可信行与可用性。
部署在服务器上的Web站点因为程序员编写代码时没有注意大多的安全问题，造成Web服务站点上面有一些容易被利用安全漏洞，修复这些漏洞以避免遭受入侵被破坏。
配置当前服务器隐藏服务器信息，例如配置服务器，隐藏服务器类型、服务器的版本、隐藏服务器管理页面或者限制IP访问服务器管理页面、Web站点错误返回信息提供友好界面、隐藏Web索引页面、隐藏Web站点后台管理或者限制IP访问Web站点后台。
使用Web代码过滤sql注入或者使用代理服务器过滤sql注入，这里更加应该使用Web代码过滤sql注入，因为在页面即将提交给服务器之前过滤sql注入，比sql注入到达代理服务器时过滤，更加高效、节省资源，用户体验更好，处理逻辑更加简单。

‘柒’ linux服务器怎么修复漏洞

去腾讯智慧安全申请个御点终端安全系统
申请好了之后，打开腾讯御点，选择修复漏洞
可以自动检测出电脑里面需要修复的漏洞然后一键修复

‘捌’ 有没有linux版本服务器的破解补丁

linux版本的服务器基本上都是免费的，要破解补丁何用？？？

‘玖’ 怎样在100台linux服务器上同时安装一个软件或者更新一个补丁

1. 脚本实现
2.搭建自动部署软件 cfengine
3。让服务器分发一个脚本客户端得到
4脚本的内容安装或者更新你想要的软件/补丁
5.不清楚网络一个cfengine的工作原理 如何搭建

‘拾’ 怎样在100台linux服务器上同时安装一个软件或者更新一个补丁

我又过同样的问题，但是这样设计的问题就会比较多，首先你需要写一个执行命令，命令中分别把要用的服务器登录，然后执行命令，反馈之后，再执行下一个，直到执行完毕