1. linux安全优化和内核参数优化方案有那些
入口安全优化
ssh配置优化
修改之前,需要将/etc/ssh/sshd_config备份一个,比如/etc/ssh/sshd_config.old, 主要优化如下参数:
Port 12011
PermitRootLogin no
UseDNS no
#防止ssh客户端超时#
ClientAliveInterval 30
ClientAliveCountMax 99
GSSAuthentication no
主要目的更改ssh远程端口、禁用root远程登录(本地还是可以root登录的)、禁用dns、防止ssh超时、解决ssh慢,当然也可以启用密钥登录,这个根据公司需求。
注意:修改以后需重启ssh生效,另外需要iptables放行最新ssh端口。
iptables优化
原则:用到哪些放行哪些,不用的一律禁止。
举下简单的例子:敏感服务比如mysql这种3306控制,默认禁止远程,确实有必要可以放行自己指定IP连接或者通过vpn拨号做跳板连接,不可直接放置于公网; 如单位有自己的公网IP或固定IP,那只允许自己的公网IP进行连接ssh或者指定服务端口就更好了。
用户权限以及系统安全优化
非root用户添加以及sudo权限控制
用户配置文件锁定
服务控制
默认无关服务都禁止运行并chkconfig xxx off,只保留有用服务。这种如果是云计算厂商提供的,一般都是优化过。如果是自己安装的虚拟机或者托管的机器,那就需要优化下,默认只保留network、sshd、iptables、crond、以及rsyslog等必要服务,一些无关紧要的服务就可以off掉了,
内核参数优化
进程级文件以及系统级文件句柄数量参数优化
默认ulinit -n看到的是1024,这种如果系统文件开销量非常大,那么就会遇到各种报错比如:
localhost kernel: VFS: file-max limit 65535 reached 或者too many open files 等等,那就是文件句柄打开数量已经超过系统限制,就需要优化了。
这个参数我们进程级优化文件如下:
vim /etc/security/limits.conf
# End of file
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535
好了,退出当前终端以后重新登录可以看到ulimit -n已经改成了65535。另外需要注意,进程级参数优化还需要修改文件:
/etc/security/limits.d/90-nproc.conf 这个会影响到参数。查看某一个进程的limits可以通过cat /proc/pid/limits查看。默认这个文件参数推荐设置:
[root@21yunwei 9001]# cat /etc/security/limits.d/90-nproc.conf
* soft nproc 65535
root soft nproc unlimited
系统级文件句柄优化
修改/etc/sysctl.conf添加如下参数:
fs.file-max=65535
内核参数优化(这个是非常重要的)。具体优化的文件为/etc/sysctl.conf,后尾追加优化参数:
net.ipv4.neigh.default.gc_stale_time=120
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.arp_announce = 2
net.ipv4.conf.all.arp_announce=2
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.conf.lo.arp_announce=2
net.ipv4.tcp_synack_retries = 2
#参数的值决定了内核放弃连接之前发送SYN+ACK包的数量。
net.ipv4.tcp_syn_retries = 1
#表示在内核放弃建立连接之前发送SYN包的数量。
net.ipv4.tcp_max_syn_backlog = 262144
#这个参数表示TCP三次握手建立阶段接受SYN请求列队的最大长度,默认1024,将其设置的大一些可以使出现Nginx繁忙来不及accept新连接的情况时,Linux不至于丢失客户端发起的链接请求。
设置完以后执行命令sysctl -p使得配置新配置的内核参数生效。系统优化这个内核对系统本身安全以及高并发都非常的有效(可以解决大量TIME_WAIT带来的无法访问使用、系统文件句柄数量超出等等)。
net.ipv4.tcp_timestamps = 1 #开启时间戳,配合tcp复用。如遇到局域网内的其他机器由于时间戳不同导致无法连接服务器,有可能是这个参数导致。注:阿里的slb会清理掉tcp_timestampsnet.ipv4.tcp_tw_recycle = 1 #这个参数用于设置启用timewait快速回收net.ipv4.tcp_max_tw_buckets = 6000 #参数设置为 1 ,表示允许将TIME_WAIT状态的socket重新用于新的TCP链接,该参数默认为180000,过多的TIME_WAIT套接字会使Web服务器变慢。net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_fin_timeout = 1 #当服务器主动关闭链接时,选项决定了套接字保持在FIN-WAIT-2状态的时间。默认值是60秒。net.ipv4.tcp_keepalive_time = 600 #当keepalive启动时,TCP发送keepalive消息的频度;默认是2小时,将其设置为10分钟,可以更快的清理无效链接。net.ipv4.ip_local_port_range = 1024 65000#定义UDP和TCP链接的本地端口的取值范围。fs.file-max=65535 #表示最大可以打开的句柄数;
设置完以后执行命令sysctl -p使得配置新配置的内核参数生效。这个内核对系统本身安全以及高并发都非常的有效(可以解决大量TIME_WAIT带来的无法访问使用、系统文件句柄数量超出等等)。
2. Linux有哪些优点
提到linux的优点,首先就是他的开源,任何人都是可以查看他的源代码的,这使得他特别的安全,而windows则不开源,所以你要经常的打补丁,修补漏洞之类的。
其次,linux内核优化的好,没有哪个linux需要右键的刷新键(红旗linux是为了国人的使用习惯加的),而windows则不同,微软的系统非常的复杂,而且运先行效率相对linux要低很多。
虽然linux在桌面市场没有优势(只占1%多一点的占有率),但他在服务器行业的地位那是无敌的(20%多)。
linux占用系统资源特别少,早期的linux,64M内存就能跑的很流畅,这也是他的优势。
我也只说了几点我比较了解的方面,而linux的优点还有很多很多,具体的还得再实践中自己领悟。个人感觉如果完全依赖微软这种越来越人性化的图形界面,人就会越来越笨,最终沦为windows的奴隶,这是很可怕的一件事情,呵呵,希望对你有帮助
Linux 的优点很多,其中主要的有以下几个方面:
eTrade公司的首席技术官John Levin说:“采用Linux操作系统环境比运行与维护UNIX操作系统成本降低几乎30倍”。
总结一下,主要有以下几个原因:
低软件成本:
由于Linux 是开放源代码的操作系统,除了Kernel免费以外,它的许多系统程序以及应用程序也是自由软件,可以从网上免费获得。所以它的软件成本非常低廉。
低人员培训成本:
Linux最初是从大学生开发出来的,并由重多的业余爱好者共同丰富和完善它的功能,所以有许多的学生和计算机从业人员,已经具备Linux的技能。而且在低端的PC,PC服务器上也可使用,而且普及率越来越高。人才储备比较充足,用人单位可以比较容易地招到这方面的人才。
而且,众多的企业级的用户的计算环境是低端(PC,PC服务器)和高端(UNIX服务器或中型机甚至大型机)计算机共存,不同厂商的计算机共存(涉及的操作系统可能有Windows,IBM AIX,HP-UNIX,SUN Solaris 等等),这就要求计算机系统的管理和维护人员具有多个操作系统的技能,而如果采用Linux,由于几乎所有档次的计算机平台都支持Linux,所以技术人员只需这一种操作系统的培训就可以了。
低移植成本:
Linux能够在几乎所有的计算机平台上运行,包括PC、PC服务器、UNIX服务器、中型机、大型计算机上,给用户的应用软件在不同的平台之间的移植创造了极为便利的条件。
例如,企业级用户随着业务的不断增长,硬件平台从小型的PC服务器升级到较高端的UNIX服务器,甚至更高端的中型机或大型机的情况是极为常见的。过去,由于PC服务器使用的是Windows 操作系统,而UNIX 服务器使用的操作系统,中型机和大型机使用的是厂商提供的专用系统,所以在不同的平台之间的软件移植,可能会发生中间件软件的版本更换,应用软件的重新编译,甚至是应用软件源代码的修改,很可能需要比较大的人力物力的投入,而如果采用了Linux 操作系统,不同平台之间的移植就会容易的多。
低管理成本:
同理,由于众多的企业级的用户的计算环境是低端和高端计算机共存,不同厂商的计算机共存,如果将操作系统都统一成Linux, 系统的一致性,可降低管理的成本。
同时,任何一个操作系统,都不是完美的,都有一些或大或小的漏洞甚至是错误。由于Linux是一个开放源代码的软件,有众多的互联网上志愿开发者在协同工作,使得Linux的功能的完善和漏洞的发现和修改的速度非常快,降低了使用和管理的风险,从而降低了管理的成本。
高性能:
Linux高性能方面的特点表现在Linux系统资源的低占用率和在高性能运算的优势。
2.3.2 操作系统的低占用率
Linux 是由内核(kernel)以及在其之上的实用程序构成的,内核负责管理计算机的各种资源,如处理器和内存,而且必须保证合理地分配资源。当Linux启动时,内核被调入内存,并一直驻留在内存中直到关机断电。同大多数的Unix或者类Unix系统类似,Linux的内核在设计的时候被设计的尽量很小,把许多工作交给内核以外的实用程序执行。通过利用Linux这个特点,用户在安装Linux的时候可以定制安装的应用程序的多少,在某些情况下用户可以仅安装一个Linux的核心。
2.3.3 Linux在高性能运算方面的优势
在科学计算和石油勘探等高性能计算领域应用最为广泛的是高性能计算群集技术(High Performance Computing Cluster,简称HPC Cluster)。它是一种并行计算群集的实现方法。近年来,新的HPC系统正迅速崛起,这就是使用运行Linux操作系统的Intel平台的计算机来构建HPC Cluster。由于使用Linux操作系统,通用的硬件平台和标准的网络组件,群集中的各个结点价格相对低廉,扩展容易实现,从而可以得到更高的性价比。Linux 可以运行在PC、PC服务器上这些传统上是Windows 操作系统垄断的领域,在这一领域, Linux的出现好似一股春风吹来,不仅打破了Windows的垄断,而且它在功能和性能上,都优于Windows操作系统,而更接近与高端的UNIX系统。使低端的用户,也能享用到某些只有高端系统才能带来的好处。
2.3.4 高可扩展性、可维护性
Linux具有的可扩展性与可维护性使Linux具有更多的优势。
可扩展性
标准的Linux实用程序有着大量的功能,开发人员可以通过修改源代码来进行功能的扩展。Linux可以在广泛的硬件平台上运行且有类似的接口,用户可以把应用程序从一个Linux系统很方便的移植到另外一个Linux系统。
可维护性
由于Linux的用户界面与各个商业版本的UNIX非常相近,几乎所有的IT技术人员都对其操作界面有相当的了解。此外,由于Linux可以在各种硬件平台上运行,熟悉Linux的技术人员可以很容易地管理多种硬件平台上的应用。目前很多版本的Linux比如红旗Linux的用户界面都在模仿Window 进行开发,因此可以方便非IT技术人员实用。
开放的标准
Linux是一个从公开源代码发展来的操作系统,因此奠定了Linux相较其他诸如Windows、以及各商业版本UNIX操作系统的先天优势,由于全世界无数的技术人员都可以帮助Linux修改系统错误,提升性能,因此到目前Linux已经迅速成为一个相对健壮的操作系统,并且也越来越多的跻身各种的企业关键业务之中。
主要是开源和稳定两大优势。
通常来说有以下几点:1.低软件成本,因为Linux是开源的,所以Linux上众多的软件也都是开源且免费的。2.低移植成本,Linux能够在所有的计算机平台上运行,比如个人PC、专业服务器、手机等3.高性能高稳定,Linux有来自世界各地的开源贡献,具备了高稳定和高性能的特点。Linux还有很多的优点就不一一列举了,总之Linux非常流行,如果你想学习Linux的话,可以去看看《Linux就该这么学》这本书,非常适合初学者学习。
linux优点
1.模块化程度高
Linux的内核设计非常精巧,分成进程调度、内存管理、进程间通信、虚拟文件系统和网络接口五大部分;其独特的模块机制可根据用户的需要,实时地将某些模块插入或从内核中移走,使得Linux系统内核可以裁剪得非常小巧,很适合于嵌入式系统的需要。
2.源码公开
由于Linux系统的开发从一开始就与GNU项目紧密地结合起来,所以它的大多数组成部分都直接来
自GNU项目。任何人、任何组织只要遵守GPL条款,就可以自由使用Linux
源代码,为用户提供了最大限度的自由度。这一点也正投嵌入式系统所好,因为嵌入式系统应用千差万别,设计者往往需要针对具体的应用对源码进行修改和优化,
所以是否能获得源代码
对于嵌入式系统的开发是至关重要的。加之Linux的软件资源十分丰富,每种通用程序在Linux上几乎都可以找到,并且数量还在不断增加。这一切就使设
计者在其基础之上进行二次开发变得非常容易。另外,由于Linux源代码公开,也使用户不用担心有“后闸”等安全隐患。
同时,源码开放给各教育机构提供极大的方便,从而也促进了Linux的学习、推广和应用。
3.广泛的硬件支持
Linux能支持x86、ARM、MIPS、ALPHA和PowerPC等多种体系结构的微处理器。目前已成功地移植到数十种硬件平台,几乎能运行在所有流行的处理器上。
由于世界范围内有众多开发者在为Linux的扩充贡献力量,所以Linux有着异常丰富的驱动程序资源,支持各种主流硬件设各和最新的硬件技术,甚至可在没有存储管理单元MMU 的处理器上运行,这些都进一步促进了Linux在嵌入式系统中的应用。
4.安全性及可靠性好
内核高效稳定。Linux内核的高效和稳定已在各个领域内得到了大量事实的验证。
Linux中大量网络管理、网络服务等方面的功能,可使用户很方便地建立高效稳定的防火墙、路由器、工作站、服务器等。为提高安全性,它还提供了大量的网络管理软件、网络分析软件和网络安全软件等。
5.具有优秀的开发工具
开发嵌入式系统的关键是需要有一套完善的开发和调试工具。传统的嵌入式开发调试工具是在线仿真器(In Circuit Emulator,ICE),它通过取代目标板的微处理器,给目标程序提供一个完整的仿真环境,从而使开发者能非常清楚地了解到程序在目标板上的工作状态,便于监视和调试程序。在线仿真器的价格非常高,而且只适合做非常底层的调试。如果使用的是嵌人式Linux,一旦软硬件能支持正常的串口功能,即使不用在线仿真器,也可以很好地进行开发和调试工作,从而节省了一笔不小的开发费用。嵌入式Linux为开发者提供了一套完整的工具链(Tool Chain),能够很方便地实现从操作系统到应用软件各个级别的调试。
6.有很好的网络支持利文件系统支持
Linux从诞生之日起就与Inter密不可分,支持各种标准的Inter网络协议,并且很容易移植到嵌入式系统当中。目前,Linux几乎支持所有主流的网络硬件、网络协议和文件系统,因此它是NFS的一个很好的平台。
另一方面,由于Linux有很好的文件系统支持(例如,它支持Ext2、FAT32、romfs等文件系统),是数据各份、同步和复制的良好平台,这些都为开发嵌入式系统应用打下了坚实的基础。
7.与UNIX完全兼容
目前,在Linux中所包含的工具和实用程序,可以完成UNIX的所有主要功能。
但由于Linux不是为实时而设计的,因而这就成了Linux在实时系统中应用的最大遗憾。不过,目前有众多的自由软件爱好者正在为此进行不懈的努力,也取得了诸多成果。
稳定性和高效性:因为 Linux 是由 Unix 发展而来,因此 Linux 与 Unix 有许多相似之处,不只是用户接口和操作方式,Linux 还继承了 Unix 卓越的稳定性和高效性。对于使用 Linux 作为操作系统的服务器,连续运行一年不宕机是相当平常的事情。
低配置要求:Linux 对硬件的要求很低,它可以在数年前的电脑上很流畅的运行。使用 Windows,则需要不断升级机器的硬件。
免费或者少许费用:Linux 基于 GPL,因此任何人可以免费使用或者修改其中的原代码。只有在选择某些厂商制作的 Linux 的发行版时,才会需要一点点费用。
强大的支持:大量的 Linux 爱好者会进行交流讨论,并且开发分享一些好的软件,有非常开放的使用氛围。
安全性:Linux 拥有相当庞大的用户和社区支持,因此能很快发现系统漏洞,并迅速发布安全补丁。
真正的多用户:Linux 实现不同的用户共同登录系统,并且资源分享比较公平。而不是像 Windows 那样的伪多用户操作系统,如果需要登录更多的用户,要么退出当前用户,要么向微软购买多用户授权。
Linux 还有许多其它优点,如强大的网络支持、方便的控制台操作等等,虽然整体上而言 Linux 做得很好,但它依然还是存在一些不足之处。
Linux 的缺点:
没有特定的支持厂商:因为 Linux 上面的软件都是免费发行的,所以自然不会有售后服务之类的支持。
图形界面不够好:这恐怕是影响 Linux 桌面端普及的最重要原因了。但随着时间的流逝,X-window 也变得越来越好用,越来越优秀了。目前各大 Linux 发行版,都能很好地做为桌面端计算机使用。
Redhat认证是由服务器系统领域着名的厂商--Redhat公司推出的。红帽认证分为三个层次,初级的RHCT(红帽官方在2011年1月1号,取消RHCT的考试,改为RHCSA),中级的RHCE,高级的RHCA。另外在2005年,红帽又推出了一个新的安全领域的高级认证:RHCSS。
RHCSA,是红帽认证系统管理员的简称。它是Red Hat的入门级认证,通过此项认证表明你可以独立完成Red Hat Linux 本地客户的配置,包括安装调配Linux的本地使用、本地网络客户端和本地系统的排除。
RHCE,是Red Hat认证工程师的简称。要获得这个认证,必须通过Red Hat公司的考试,而这个考试被业界认为是最严格的IT认证考试,而这个认证也被称为是CCIE并列最好的IT认证。
RHCE已经在Linux认证领域的高端赢得了应有的地位。可以说获得RHCE已经成为Linux使用者势必要夺取的最具有挑战性的认证。由于Red Hat在企业中的流行(至少在安装Linux的企业中80%使用 Red Hat),在学习具体应用中用到的Linux技能时完全可以通过认证掌握很多有用的知识。
国际上权威的认证杂志Certification Magazine,早在2002年的一个对热门IT认证质量进行的独立调查中得出,RHCE认证在总体质量、教学质量和考试质量上都是第一名。
着名的IT认证网站每年都会对最热门的IT认证进行排名。它的权威评论家Becky Nagel在2002将RHCE排在10个最热门的认证中的第六位,在2003年10个最热门的认证中将RHCE排在第三位,2004年RHCE排名第五位,2005年排名第三位,而2006年不仅连续第5年入榜,更跃居排行榜第一位。他对RHCE如此评论:"如果您想证明您具备最高等级的Linux水平,毫无疑问,您应当选择RHCE。赢得这样的评价,并不仅是因为它是由Linux业界的领导者推出的,而是由于获得这个认证必须通过一个严格的测试应试者实际技能水平的试验考试。这不是一个靠死记硬背能通过的考试。去年我们这样评价,今年我们还是这样评价:如果您是一位RHCE,您应该对您的能力充满自信。"
而红帽企业级Linux产品的推出,更进一步提升了RHCE的价值。无论是过去获得RHCE认证的,还是将来准备参加RHCE认证的技术人员来讲,这都是一个令人振奋的消息!因为在过去,RHCE只是代表Linux领域顶级认证。随着企业级Linux替代原来在大公司里处于核心地位的Unix系统,RHCE认证将成为IT领域的黄金认证,而RHCE也将成为大公司顶级技术人员的代名词。
RHCA,2004年Red Hat又推出一个新的认证:Red Hat认证架构师(Red Hat Certified Architect,简称:RHCA),是Red Hat最高级别的认证,包括5门考试:EX333 网络服务安全管理;EX401 系统管理及部署;EX423 目录服务及认证;EX436 企业级存储管理;EX442 系统优化及调整。每门考试都有相应的对应的培训(具体见后)。考生必须通过所有上述5门考试才能获得证书。要参加RHCA考试,考生必需已经获得Red Hat认证工程师(RHCE)证书。
RHCSS,红帽认证安全专家(Red Hat Certified Security Specialist)也是RHCE的后续认证,它对企业级Linux的安全管理进行专门考核,目前尚未在国内推广。
优点:开源 稳定 性能强大 灵活
缺点:入门门槛高
个人感觉前者的优点是对硬件要求要低一些,几乎所有软件都是正版免费的,界面可根据自己的爱好和操作习惯随意设置,至于后者的缺点可去网上查查
怎样选择文、理科?
1、兴趣。兴趣是学习的最大动力,无论选文、选理,兴趣是第一前提。举个例子,2001年高考文科状元郝煜在接受采访时说:“我的强项是理科,但我从小钟爱文科,并一直保持到高中,所以我选了文科并取得成功。”因此若你在生活中对某方面感兴趣,很关注或上某科课时比较有精神,就可以考虑选这方面的学科。总之永远把兴趣放在第一位,一定是对的。
2、特长。特长是学习的推进剂。它将使你的学习得心应手,在竞争上胜人一筹,是文理科选择的重要依据。那么怎样发现自己的特长(天赋)呢?如果你对某科感觉特别好,或用相同的时间得到的效果比起其它科更好,或以少量时间获得的效果与其它科学花费多时间获得的效果相当或更好,如果你自身的某些特长与某科的联系很密切,都说明你有学习这一科的特长和能力。你就应该考虑,哪一科能更好地发挥和促进你的特长的发展。
3、成绩:成绩是此次选择的最实际的依据。所以了解自己各科成绩的确切情况是非常重要的。政治组吴老师说到:同学们非常有必要去查阅自己各科成绩,以及文综、理综成绩的排名,并作具体分析比较,看自己哪科更具竞争力。了解下面三科在文理科选择中至关重要的作用,很是关键。
语文:作为各科学习的基础,与每科都有密切联系,相比之下,语文与文科的联系更大,所以语文比较好,文科又比理科稍微好的宜选文科。但若理比文好,则选理也具优势,因为大部分理科生语文并不强,所以语文好,可以使自己的竞争力提高一个档次。(来自语文组老师的意见)
数学:文科、理科的主要学科,在促进竞争力上与语文相当,但理科对数学的要求更高。当然数学对文科的某些问题(如地理上的温度、太阳高度等)的解决也有重要作用。(来自数学组老师的意见)
英语:虽然在高中其地位与语、数相当,但到大学是地位最高的,不管学什么,英语是必备、必修的学科,英语成绩好,可以使你对文理科的选择较自由些。
4、理想:每个人都有理想,而且它可能是你的奋斗目标。那么选择与自己的理想接近的学科,将对此学科的学习起促进作用。比如,你想成为企业家,则文科与这理想更接近,学习起文科来就可能更积极,更主动,学习成绩也就可能更出色。
5、社会:观察、分析社会趋势,了解社会对人才的需求,因为此次文理科选择不光为了考好高考,从长远上看,还要要为自己的未来作好打算,打好基础。
总之,每一个同学都应根据自己的实际情况,认真分析,切不可由于某些不良的客观原因而作出错误的选择,误已一生。这样的例子我们一中举不胜举。
一是它的穿透力很强不易损坏物体,而且它在两万赫兹以上,不会影响到人们的正常工作。
二是他的传播速度快。
应用在医疗中,如b超.还运用在探测上,如声纳,超声波雷达,金属探伤仪等。
3. 如何给安装好Linux服务器进行优化设置和安全设置
1、 关闭不需要的服务
这个应该很容易理解的,凡是我们的系统不需要的服务,一概关闭,这样一个好处是减少内存和CPU时间的占用,另一个好处相对可以提高安全性
那么哪些服务是肯定要保留的呢?
在linux机器上通常有四项服务是必须保留的
iptables
linux下强大的防火墙,只要机器需要连到网上,哪里离得开它
network
linux机器的网络,如果不上网可以关闭,只要上网当然要打开它
sshd
这是openssh server,如果你的机器不是本地操作,而是托管到IDC机房,
那么访问机器时需要通过这个sshd服务进行
syslog
这是linux系统的日志系统,必须要有,
否则机器出现问题时会找不到原因
除了这四项必需的服务之外,其他的服务需要保留哪些呢?
这时就可以根据系统的用途而定,比如:数据库服务器,就需要启用mysqld(或oracle)
web服务器,就需要启用apache
2、 关闭不需要的tty
请编辑你的/etc/inittab
找到如下一段:
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
3:2345:respawn:/sbin/mingetty tty3
4:2345:respawn:/sbin/mingetty tty4
5:2345:respawn:/sbin/mingetty tty5
6:2345:respawn:/sbin/mingetty tty6
这段命令使init为你打开了6个控制台,分别可以用alt+f1到alt+f6进行访问
此6个控制台默认都驻留在内存中,事实上没有必要使用这么多的
你用ps auxf这个命令可以看到,是六个进程
root 3004 0.0 0.0 1892 412 tty1 Ss+ Jun29 0:00 /sbin/mingetty tty1
root 3037 0.0 0.0 2492 412 tty2 Ss+ Jun29 0:00 /sbin/mingetty tty2
root 3038 0.0 0.0 2308 412 tty3 Ss+ Jun29 0:00 /sbin/mingetty tty3
root 3051 0.0 0.0 1812 412 tty4 Ss+ Jun29 0:00 /sbin/mingetty tty4
root 3056 0.0 0.0 2116 412 tty5 Ss+ Jun29 0:00 /sbin/mingetty tty5
root 3117 0.0 0.0 2396 412 tty6 Ss+ Jun29 0:00 /sbin/mingetty tty6
3. 如何关闭这些进程?
通常我们保留前2个控制台就可以了,
把后面4个用#注释掉就可以了
然后无需重启机器,只需要执行 init q 这个命令即可
init q
q作为参数的含义:重新执行/etc/inittab中的命令
修改完成后需重启机器使之生效
4 、如何关闭atime?
一个linux文件默认有3个时间:
atime:对此文件的访问时间
ctime:此文件inode发生变化的时间
mtime:此文件的修改时间
如果有多个小文件时通常没有必要记录文件的访问时间,
这样可以减少磁盘的io,比如web服务器的页面上有多个小图片
如何进行设置呢?
修改文件系统的配置文件:vi /etc/fstab
在包含大量小文件的分区中使用noatime,nodiratime两项
例如:
/dev/md5 /data/pics1 ext3 noatime,nodiratime 0 0
这样文件被访问时就不会再产生写磁盘的io
5、 一定要让你的服务器运行在level 3上
做法:
vi /etc/inittab
id:3:initdefault:
让服务器运行X是没有必要的
6, 优化sshd
X11Forwarding no //不进行x图形的转发
UseDNS no //不对IP地址做反向的解析
7、 优化shell
修改命令history记录
# vi /etc/profile
找到 HISTSIZE=1000 改为 HISTSIZE=100
然后 source /etc/profile
4. Linux怎么设置安全管理
对于Linux管理用户来说,系统的安全也是至关重要的。那么Linux怎么设置安全管理呢?接下来大家跟着我一起来了解一下Linux设置安全管理的解决 方法 吧。
Linux设置安全管理方法
1.引导程序安全
Linux系统的root密码是很容易的,当然前提是你没有设置引导程序密码,如掘老毁GRUB或LILO,为了防止通过引导程序破译root密码,强烈建议设置GRUB或LILO的引导密码,可以编辑其配置文件/etc/grub.conf或/etc/lilo.conf,设置password参数。
2.不安全权限设置
大家常见的Linux下文件权判备限是r w x,其实还有一种权限叫s,如果给某个文件赋予的s权限,那么这个文件在执行的时候就会拥有相应宿主用户或宿主组用户的权限,例如:
#chmod u+s testfile
#ls -la testfile
rwsr----- root root 10 testfile
这样,当这个文件被 其它 用户执行的时候,此用户就具有了此文件宿主用户root的对testfile的执行权限。类似,当文件的宿主组具有s权限后,执行此文件的用户就具有了此文件宿主组用户对此文件的权限,这是相当危险的。
大家可以试想下,如果命令chmod的文件被赋予了s权限,那么其它用户还有什么事情是不能做的呢?那它就含仿可以更改任何文件的权限了,当然,s权限需要和x权限结合使用,没有x权限的s权限是没有任何意义的。
3.自动注销
当某个用户使用服务器后忘记注销,也是很危险的事情,此时,管理员可以设置/etc/profile文件的timeout参数,当用户一段时间不做任何操作时,系统自动注销此用户。
4. 设置口令复杂度
为了防止系统用户口令过于简单而被破译,可以编辑/etc/login.defs文件,设置系统用户口令复杂度,例如口令最长,最短,过期时间等。
5.禁止不必要用户登陆系统
为了防止其它非系统用户登陆系统,可以在添加用户时,赋予此用户不存在的主目录和不存在的shell环境,当然,最好还更改/etc/passwd和/etc/shadow两个文件的访问权限,使之后root用户可以访问。
Linux系统特点就是因为它是一款免费传播类 操作系统 ,使其具有服务器应有的天然特性,但也正是因为有这些特性,所以在管理不当的情况下,也会造成很严重的安全性问题,所以我们的好好使用它,保护它!
5. 如何做好Linux服务器安全维护
首先,这些恶意的攻击行为,旨在消耗服务器资源,影响服务器的正常运作,甚至攻击到服务器所在网络瘫痪。还有一方面,就是入侵行为,这种大多与某些利益有关联,有的涉及到企业的敏感信息,有的是同行相煎。
第一,做好硬件维护
当处理数据越来越多,占用资源也随之增多时,服务器就需要更多的内存和硬盘容量来储存这些资源,因此,每隔段时间后服务器需要升级,可是需要注意的增加内存或者硬盘时,要考虑到兼容性、稳定性,否则不同型号的内存有可能会引起系统出错。
还有对设备进行卸载和更换时,需要仔细阅读说明书,不要强行拆卸,而且必须在完全断电,服务器接地良好的情况下进行,防止静电对设备造成损坏。
同样,服务器的最大杀手尘土,因此需要定期给服务器除尘。特别要注意电源的除尘。
第二,做好数据的备份
对企业来说,服务器上的数据是非常宝贵,如果数据库丢失了,损失是非常巨大的,因此,企业需对数据进行定期备份,以防万一。一般企业都需要每天对服务器上的数据进行备份,而且要将备份数据放置在不同服务器上,
数据需要备份,同样需要防盗。可以通过密码保护好磁带并且如果你的备份程序支持加密功能,你还可以加密这些数据。同时,要定好备份时间,通常备份的过程会选择在晚上10点以后进行,到半夜结束。
第三,定期做好网络检查
第四,关闭不必要的服务,只开该开的端口
对于初学者,建议在所有的工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。如果你并不想这样做,那么至少使用Windows NT。你可以锁定工作站,使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能。
或者关闭那些不必要开的服务,做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的,甚至可以说是危险的,比如:默认的共享远程注册表访问(Remote Registry Service),系统很多敏感的信息都是写在注册表里的,如pcanywhere的加密密码等。
关闭那些不必要的端口。一些看似不必要的端口,确可以向黑客透露许多操作系统的敏感信息,如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统,因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问,还可以返回该服务器上软件及其版本的一些信息,这些对黑客的入侵都提供了很大的帮助。此外,开启的端口更有可能成为黑客进入服务器的门户。
以上是服务器日常操作安全维护的一些技巧。
6. 如何让你的linux操作系统更加安全
BIOS安全
记着要在BIOS设置中设定一个BIOS密码,不接收软盘启薯烂动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等。
LILO安全
在“/etc/lilo.conf”文件中添加3个参数:time-out、restricted 和 password。这些选项会在启动时间(如“linux single”)转到启动转载程序过程中,要求提供密码。
步骤1
编辑lilo.conf文件(/etc/lilo.conf),添加和更改这三个选项:
QUOTE:
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
time-out=00 #change this line to 00
prompt
Default=linux
restricted #add this line
password= #add this line and put your password
image=/boot/vmlinuz-2.2.14-12
label=linux
initrd=/boot/initrd-2.2.14-12.img
root=/dev/hda6
read-only
步骤2
由于其中的密码未加密,“/etc/lilo.conf”文件只对根用户为可读。
[root@kapil /]# chmod 600 /etc/lilo.conf (不再为全局可读)
步骤3
作了上述修改后,更新配置文件“/etc/lilo.conf”。
[Root@kapil /]# /sbin/lilo -v (更新lilo.conf文件)
步骤4
还有一个方法使“/etc/lilo.conf”更安全,那就是用chattr命令将其设为不可改:
[root@kapil /]# chattr i /etc/lilo.conf
它将阻止任何对“lilo.conf”文件的更改,无论是否故意。
关于lilo安全的更多信息,请参考LILO。
禁用所有专门帐号
在lp, sync, shutdown, halt, news, uucp, operator, games, gopher等系统中,将你不使用的所有默认用户帐号和群组帐号删除。
要删除用户帐号:
[root@kapil /]# userdel LP
要删除群组帐号:
[root@kapil /]# groupdel LP
选择恰当数察漏的密码
选择密码时要遵循如下原则:
密码长度:安装Linux系统时默认的最短密码长度为5个字符。这个没扮长度还不够,应该增为8个。要改为8个字符,必须编辑 login.defs 文件(/etc/login.defs):
PASS_MIN_LEN 5
改为:
PASS_MIN_LEN 8
“login.defs”是登录程序的配置文件。
启用盲区密码支持
请启用盲区密码功能。要实现这一点,使用“/usr/sbin/authconfig”实用程序。如果想把系统中现有的密码和群组改为盲区密码和群组,则分别用 pwconv 和 grpconv 命令。
7. 如何提高Linux系统安全性的十大招数
Linux是一种类Unix的操作系统。从理论上讲,Unix本身的设计并没有什么重大的安全缺陷。多年来,绝大多数在Unix操作系统上发现的安全问题主要存在于个别程序中,所以大部分Unix厂商都声称有能力解决这些问题,提供安全的Unix操作系统。
但Linux有些不同,因为它不属于某一家厂商,没有厂商宣称对它提供安全保证,因此用户只有自己解决安全问题。Linux不论在功能上、价格上或性能上都有很多优点,然而,作为开放式操作系统,它不可避免地存在一些安全隐患。关于如何解决这些隐患,为应用提供一个安全的操作平台,本文会告诉你一些最基本、最常用,同时也是最有效的招数。
Linux是一种类Unix的操作系统。从理论上讲,Unix本身的设计并没有什么重大的安全缺陷。多年来,绝大多数在Unix操作系统上发现的安全问题主要存在于个别程序中,所以大部分Unix厂商都声称有能力解决这些问题,提供安全的Unix操作系统。但Linux有些不同,因为它不属于某一家厂商,没有厂商宣称对它提供安全保证,因此用户只有自己解决安全问题。
Linux是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入Linux系统,或者盗取Linux系统上的重要信息。不过,只要我们仔细地设定Linux的各种系统功能,并且加上必要的安全措施,就能让黑客们无机可乘。
一般来说,对Linux系统的安全设定包括取消不必要的服务、限制远程存取、隐藏重要资料、修补安全漏洞、采用安全工具以及经常性的安全检查等。本文教你十种提高Linux系统安全性的招数。虽然招数不大,但招招奏效,你不妨一试。
第1招:取消不必要的服务
早期的Unix版本中,每一个不同的网络服务都有一个服务程序在后台运行,后来的版本用统一的/etc/inetd服务器程序担此重任。 Inetd是Internetdaemon的缩写,它同时监视多个网络端口,一旦接收到外界传来的连接信息,就执行相应的TCP或UDP网络服务。
由于受inetd的统一指挥,因此Linux中的大部分TCP或UDP服务都是在/etc/inetd.conf文件中设定。所以取消不必要服务的第一步就是检查/etc/inetd.conf文件,在不要的服务前加上“#”号。
一般来说,除了http、smtp、telnet和ftp之外,其他服务都应该取消,诸如简单文件传输协议tftp、网络邮件存储及接收所用的imap/ipop传输协议、寻找和搜索资料用的gopher以及用于时间同步的daytime和time等。
还有一些报告系统状态的服务,如finger、efinger、systat和netstat等,虽然对系统查错和寻找用户非常有用,但也给黑客提供了方便之门。例如,黑客可以利用finger服务查找用户的电话、使用目录以及其他重要信息。因此,很多Linux系统将这些服务全部取消或部分取消,以增强系统的安全性。
Inetd除了利用/etc/inetd.conf设置系统服务项之外,还利用/etc/services文件查找各项服务所使用的端口。因此,用户必须仔细检查该文件中各端口的设定,以免有安全上的漏洞。
在Linux中有两种不同的服务型态:一种是仅在有需要时才执行的服务,如finger服务;另一种是一直在执行的永不停顿的服务。这类服务在系统启动时就开始执行,因此不能靠修改inetd来停止其服务,而只能从修改/etc/rc.d/rc[n].d/文件或用Run level editor去修改它。提供文件服务的NFS服务器和提供NNTP新闻服务的news都属于这类服务,如果没有必要,最好取消这些服务。
第2招:限制系统的出入
在进入Linux系统之前,所有用户都需要登录,也就是说,用户需要输入用户账号和密码,只有它们通过系统验证之后,用户才能进入系统。
与其他Unix操作系统一样,Linux一般将密码加密之后,存放在/etc/passwd文件中。Linux系统上的所有用户都可以读到/etc/passwd文件,虽然文件中保存的密码已经经过加密,但仍然不太安全。因为一般的用户可以利用现成的密码破译工具,以穷举法猜测出密码。比较安全的方法是设定影子文件/etc/shadow,只允许有特殊权限的用户阅读该文件。
在Linux系统中,如果要采用影子文件,必须将所有的公用程序重新编译,才能支持影子文件。这种方法比较麻烦,比较简便的方法是采用插入式验证模块(PAM)。很多Linux系统都带有Linux的工具程序PAM,它是一种身份验证机制,可以用来动态地改变身份验证的方法和要求,而不要求重新编译其他公用程序。这是因为PAM采用封闭包的方式,将所有与身份验证有关的逻辑全部隐藏在模块内,因此它是采用影子档案的最佳帮手。
此外,PAM还有很多安全功能:它可以将传统的DES加密方法改写为其他功能更强的加密方法,以确保用户密码不会轻易地遭人破译;它可以设定每个用户使用电脑资源的上限;它甚至可以设定用户的上机时间和地点。
Linux系统管理人员只需花费几小时去安装和设定PAM,就能大大提高Linux系统的安全性,把很多攻击阻挡在系统之外。
第3招:保持最新的系统核心
由于Linux流通渠道很多,而且经常有更新的程序和系统补丁出现,因此,为了加强系统安全,一定要经常更新系统内核。
Kernel是Linux操作系统的核心,它常驻内存,用于加载操作系统的其他部分,并实现操作系统的基本功能。由于Kernel控制计算机和网络的各种功能,因此,它的安全性对整个系统安全至关重要。
早期的Kernel版本存在许多众所周知的安全漏洞,而且也不太稳定,只有2.0.x以上的版本才比较稳定和安全,新版本的运行效率也有很大改观。在设定Kernel的功能时,只选择必要的功能,千万不要所有功能照单全收,否则会使Kernel变得很大,既占用系统资源,也给黑客留下可乘之机。
在Internet上常常有最新的安全修补程序,Linux系统管理员应该消息灵通,经常光顾安全新闻组,查阅新的修补程序。
第4招:检查登录密码
设定登录密码是一项非常重要的安全措施,如果用户的密码设定不合适,就很容易被破译,尤其是拥有超级用户使用权限的用户,如果没有良好的密码,将给系统造成很大的安全漏洞。
在多用户系统中,如果强迫每个用户选择不易猜出的密码,将大大提高系统的安全性。但如果passwd程序无法强迫每个上机用户使用恰当的密码,要确保密码的安全度,就只能依靠密码破解程序了。
实际上,密码破解程序是黑客工具箱中的一种工具,它将常用的密码或者是英文字典中所有可能用来作密码的字都用程序加密成密码字,然后将其与Linux系统的/etc/passwd密码文件或/etc/shadow影子文件相比较,如果发现有吻合的密码,就可以求得明码了。
在网络上可以找到很多密码破解程序,比较有名的程序是crack。用户可以自己先执行密码破解程序,找出容易被黑客破解的密码,先行改正总比被黑客破解要有利。
第5招:设定用户账号的安全等级
除密码之外,用户账号也有安全等级,这是因为在Linux上每个账号可以被赋予不同的权限,因此在建立一个新用户ID时,系统管理员应该根据需要赋予该账号不同的权限,并且归并到不同的用户组中。
在Linux系统上的tcpd中,可以设定允许上机和不允许上机人员的名单。其中,允许上机人员名单在/etc/hosts.allow 中设置,不允许上机人员名单在/etc/hosts.deny中设置。设置完成之后,需要重新启动inetd程序才会生效。此外,Linux将自动把允许进入或不允许进入的结果记录到/rar/log/secure文件中,系统管理员可以据此查出可疑的进入记录。
每个账号ID应该有专人负责。在企业中,如果负责某个ID的职员离职,管理员应立即从系统中删除该账号。很多入侵事件都是借用了那些很久不用的账号。
在用户账号之中,黑客最喜欢具有root权限的账号,这种超级用户有权修改或删除各种系统设置,可以在系统中畅行无阻。因此,在给任何账号赋予root权限之前,都必须仔细考虑。
Linux系统中的/etc/securetty文件包含了一组能够以root账号登录的终端机名称。例如,在RedHatLinux系统中,该文件的初始值仅允许本地虚拟控制台(rtys)以root权限登录,而不允许远程用户以root权限登录。最好不要修改该文件,如果一定要从远程登录为root权限,最好是先以普通账号登录,然后利用su命令升级为超级用户。
第6招:消除黑客犯罪的温床
在Unix系统中,有一系列r字头的公用程序,它们是黑客用以入侵的武器,非常危险,因此绝对不要将root账号开放给这些公用程序。由于这些公用程序都是用.rhosts文件或者hosts.equiv文件核准进入的,因此一定要确保root账号不包括在这些文件之内。
由于r字头指令是黑客们的温床,因此很多安全工具都是针对这一安全漏洞而设计的。例如,PAM工具就可以用来将r字头公用程序的功力废掉,它在/etc/pam.d/rlogin文件中加上登录必须先核准的指令,使整个系统的用户都不能使用自己home目录下的.rhosts文件。
第7招:增强安全防护工具
SSH是安全套接层的简称,它是可以安全地用来取代rlogin、rsh和rcp等公用程序的一套程序组。SSH采用公开密钥技术对网络上两台主机之间的通信信息加密,并且用其密钥充当身份验证的工具。
由于SSH将网络上的信息加密,因此它可以用来安全地登录到远程主机上,并且在两台主机之间安全地传送信息。实际上,SSH不仅可以保障Linux主机之间的安全通信,Windows用户也可以通过SSH安全地连接到Linux服务器上。
第8招:限制超级用户的权力
我们在前面提到,root是Linux保护的重点,由于它权力无限,因此最好不要轻易将超级用户授权出去。但是,有些程序的安装和维护工作必须要求有超级用户的权限,在这种情况下,可以利用其他工具让这类用户有部分超级用户的权限。Sudo就是这样的工具。
Sudo程序允许一般用户经过组态设定后,以用户自己的密码再登录一次,取得超级用户的权限,但只能执行有限的几个指令。例如,应用 sudo后,可以让管理磁带备份的管理人员每天按时登录到系统中,取得超级用户权限去执行文档备份工作,但却没有特权去作其他只有超级用户才能作的工作。
Sudo不但限制了用户的权限,而且还将每次使用sudo所执行的指令记录下来,不管该指令的执行是成功还是失败。在大型企业中,有时候有许多人同时管理Linux系统的各个不同部分,每个管理人员都有用sudo授权给某些用户超级用户权限的能力,从sudo的日志中,可以追踪到谁做耸裁匆约案亩 了系统的哪些部分 ?
值得注意的是,sudo并不能限制所有的用户行为,尤其是当某些简单的指令没有设置限定时,就有可能被黑客滥用。例如,一般用来显示文件内容的/etc/cat指令,如果有了超级用户的权限,黑客就可以用它修改或删除一些重要的文件。
8. linuxfq神器是啥
1 Linuxfq神器是一款Linux系统下的网络工具。
2 它可以帮助用户判启尺进行网络旁型流量分析,抓包和协议分析,同时还掘高支持对网络设备进行嗅探和控制。
3 此外,Linuxfq还能够进行网络攻击和防御,提供了多种攻击和防御方法,是网络安全领域的重要工具之一。
9. 如何使Linux服务器变得更安全
1.安装和配置一个防火墙
一个配置适当的防火墙不仅是系统有效应对外部攻击的第一道防线,也是最重要的一道防线。在新系统第一次连接上Internet之前,防火墙就应该被安装并且配置好。防火墙配置成拒绝接收所有数据包,然后再打开允许接收的数据包,将有利于系统的安全。Linux为我们提供了一个非常优秀的防火墙工具,它就是netfilter/iptables。它完全是免费的,并且可以在一台低配置的老机器上很好地运行。防火墙的具体设置方法请参见iptables使用方法。
2、关闭无用的服务和端口
任何网络连接都是通过开放的应用端口来实现的。如果我们尽可能少地开放端口,就使网络攻击变成无源之水,从而大大减少了攻击者成功的机会。把Linux作为专用服务器是个明智的举措。例如,希望Linux成为的Web服务器,可以取消系统内所有非必要的服务,只开启必要服务。这样做可以尽量减少后门,降低隐患,而且可以合理分配系统资源,提高整机性能。以下是几个不常用的服务:
① fingerd(finger服务器)报告指定用户的个人信息,包括用户名、真实姓名、shell、目录和联系方式,它将使系统暴露在不受欢迎的情报收集活动下,应避免启动此服务。
② R服务(rshd、rlogin、rwhod、rexec)提供各种级别的命令,它们可以在远程主机上运行或与远程主机交互,在封闭的网络环境中登录而不再要求输入用户名和口令,相当方便。然而在公共服务器上就会暴露问题,导致安全威胁。
3、删除不用的软件包
在进行系统规划时,总的原则是将不需要的服务一律去掉。默认的Linux就是一个强大的系统,运行了很多的服务。但有许多服务是不需要的,很容易引起安全风险。这个文件就是/etc/xinetd.conf,它制定了/usr/sbin/xinetd将要监听的服务,你可能只需要其中的一个:ftp,其它的类如telnet、shell、login、exec、talk、ntalk、imap、finger、auth等,除非你真的想用它,否则统统关闭。
4、不设置缺省路由
在主机中,应该严格禁止设置缺省路由,即default route。建议为每一个子网或网段设置一个路由,否则其它机器就可能通过一定方式访问该主机。
5、口令管理
口令的长度一般不要少于8个字符,口令的组成应以无规则的大小写字母、数字和符号相结合,严格避免用英语单词或词组等设置口令,而且各用户的口令应该养成定期更换的习惯。另外,口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护,必须做到只有系统管理员才能访问这2个文件。安装一个口令过滤工具加npasswd,能帮你检查你的口令是否耐得住攻击。如果你以前没有安装此类的工具,建议你现在马上安装。如果你是系统管理员,你的系统中又没有安装口令过滤工具,请你马上检查所有用户的口令是否能被穷尽搜索到,即对你的/ect/passwd文件实施穷尽搜索攻击。用单词作密码是根本架不住暴力攻击的。黑客们经常用一些常用字来破解密码。曾经有一位美国黑客表示,只要用“password”这个字,就可以打开全美多数的计算机。其它常用的单词还有:account、ald、alpha、beta、computer、dead、demo、dollar、games、bod、hello、help、intro、kill、love、no、ok、okay、please、sex、secret、superuser、system、test、work、yes等。
密码设置和原则:
a.足够长,指头只要多动一下为密码加一位,就可以让攻击者的辛苦增加十倍;
b. 不要用完整的单词,尽可能包括数字、标点符号和特殊字符等;
c.混用大小写字符;
d.经常修改。
6、分区管理
一个潜在的攻击,它首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!。
为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区记录数据,如log文件,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。
很多Linux桌面用户往往是使用Windows、Linux双系统。最好使用双硬盘。方法如下:首先将主硬盘的数据线拆下,找一个10GB左右的硬盘挂在计算机上,将小硬盘设置为从盘,按照平常的操作安装Linux服务器版本,除了启动的引导程序放在MBR外,其它没有区别。 安装完成,调试出桌面后,关闭计算机。将小硬盘的数据线拆下,装上原硬盘,并设定为主盘(这是为了原硬盘和小硬盘同时挂接在一个数据线上),然后安装Windows软件。将两个硬盘都挂在数据线上,数据线是IDE 0接口,将原硬盘设定为主盘,小硬盘设定为从盘。如果要从原硬盘启动,就在CMOS里将启动的顺序设定为“C、D、CDROM”,或者是“IDE0(HDD-0)”。这样计算机启动的时候,进入Windows界面。如果要从小硬盘启动,就将启动顺序改为“D、C、CDROM”,或者是“IDE1(HDD-1)”,启动之后,将进入Linux界面。平时两个操作系统是互相不能够访问的。
7、防范网络嗅探:
嗅探器技术被广泛应用于网络维护和管理方面,它工作的时候就像一部被动声纳,默默的接收看来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况,以便找出网络中的漏洞。在网络安全日益被注意的今天.我们不但要正确使用嗅探器.还要合理防范嗅探器的危害.嗅探器能够造成很大的安全危害,主要是因为它们不容易被发现。对于一个安全性能要求很严格的企业,同时使用安全的拓扑结构、会话加密、使用静态的ARP地址是有必要的。
8、完整的日志管理
日志文件时刻为你记录着你的系统的运行情况。当黑客光临时,也不能逃脱日志的法眼。所以黑客往往在攻击时修改日志文件,来隐藏踪迹。因此我们要限制对/var/log文件的访问,禁止一般权限的用户去查看日志文件。
另外要使用日志服务器。将客户机的日志信息保存副本是好主意,创建一台服务器专门存放日志文件,可以通过检查日志来发现问题。修改/etc/sysconfig/syslog文件加入接受远程日志记录。
/etc/sysconfig/syslog SYSLOGD_OPTIONS="-m r 0"
还应该设定日志远程保存。修改/etc/syslog.conf文件加入日志服务器的设置,syslog将保存副本在日志服务器上。
/etc/syslog.conf *.* @log_server_IP
可以使用彩色日志过滤器。彩色日志loco过滤器,目前版本是0.32。使用loco /var/log/messages | more可以显示出彩色的日志,明显标记出root的位置和日志中异常的命令。这样可以减少分析日志时人为遗漏。还要进行日志的定期检查。Red Hat Linux中提供了logwatch工具,定期自动检查日志并发送邮件到管理员信箱。需要修改/etc/log.d/conf/ logwatch.conf文件,在MailTo = root参数后增加管理员的邮件地址。Logwatch会定期检查日志,过滤有关使用root、sudo、telnet、ftp登录等信息,协助管理员分析日常安全。完整的日志管理要包括网络数据的正确性、有效性、合法性。对日志文件的分析还可以预防入侵。例如、某一个用户几小时内的20次的注册失败记录,很可能是入侵者正在尝试该用户的口令。
9、终止正进行的攻击
假如你在检查日志文件时,发现了一个用户从你未知的主机登录,而且你确定此用户在这台主机上没有账号,此时你可能正被攻击。首先你要马上锁住此账号(在口令文件或shadow文件中,此用户的口令前加一个Ib或其他的字符)。若攻击者已经连接到系统,你应马上断开主机与网络的物理连接。如有可能,你还要进一步查看此用户的历史记录,查看其他用户是否也被假冒,攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件hosts.deny中。
10、使用安全工具软件:
Linux已经有一些工具可以保障服务器的安全。如bastille linux和Selinux。 bastille linux对于不熟悉 linux 安全设定的使用者来说,是一套相当方便的软件,bastille linux 目的是希望在已经存在的 linux 系统上,建构出一个安全性的环境。增强安全性的Linux(SELinux)是美国安全部的一个研发项目,它的目的在于增强开发代码的Linux内核,以提供更强的保护措施,防止一些关于安全方面的应用程序走弯路,减轻恶意软件带来的灾难。普通的Linux系统的安全性是依赖内核的,这个依赖是通过setuid/setgid产生的。在传统的安全机制下,暴露了一些应用授权问题、配置问题或进程运行造成整个系统的安全问题。这些问题在现在的操作系统中都存在,这是由于他们的复杂性和与其它程序的互用性造成的。SELinux只单单依赖于系统的内核和安全配置政策。一旦你正确配置了系统,不正常的应用程序配置或错误将只返回错误给用户的程序和它的系统后台程序。其它用户程序的安全性和他们的后台程序仍然可以正常运行,并保持着它们的安全系统结构。用简单一点的话说就是:没有任何的程序配置错误可以造成整个系统的崩溃。安装SELinux SELinux的内核、工具、程序/工具包,还有文档都可以到增强安全性的Linux网站上上下载你必须有一个已经存在的Linux系统来编译你的新内核,这样才能访问没有更改的系统补丁包。
11.使用保留IP地址
维护网络安全性最简单的方法是保证网络中的主机不同外界接触。最基本的方法是与公共网络隔离。然而,这种通过隔离达到的安全性策略在许多情况下是不能接受的。这时,使用保留IP地址是一种简单可行的方法,它可以让用户访问Internet同时保证一定的安全性。- RFC 1918规定了能够用于本地 TCP/IP网络使用的IP地址范围,这些IP地址不会在Internet上路由,因此不必注册这些地址。通过在该范围分配IP地址,可以有效地将网络流量限制在本地网络内。这是一种拒绝外部计算机访问而允许内部计算机互联的快速有效的方法。 保留IP地址范围:
---- 10.0.0 .0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
--- 192.168.0.0 - 192.168.255.255。
来自保留IP地址的网络交通不会经过Internet路由器,因此被赋予保留IP地址的任何计算机不能从外部网络访问。但是,这种方法同时也不允许用户访问外部网络。IP伪装可以解决这一问题。
12、合理选择Linux发行版本:
对于服务器使用的Linux版本,既不使用最新的发行版本,也不选择太老的版本。应当使用比较成熟的版本:前一个产品的最后发行版本如RHEL 3.0等。毕竟对于服务器来说安全稳定是第一的。
13、部署Linux防范病毒软件
Linux操作系统一直被认为是Windows系统的劲敌,因为它不仅安全、稳定、成本低,而且很少发现有病毒传播。但是,随着越来越多的服务器、工作站和个人电脑使用Linux软件,电脑病毒制造者也开始攻击这一系统。对于Linux系统无论是服务器,还是工作站的安全性和权限控制都是比较强大的,这主要得力于其优秀的技术设计,不仅使它的作业系统难以宕机,而且也使其难以被滥用。Unix经过20多年的发展和完善,已经变得非常坚固,而Linux基本上继承了它的优点。在Linux里,如果不是超级用户,那么恶意感染系统文件的程序将很难得逞。速客一号(Slammer)、冲击波(Blast)、霸王虫(Sobig)、 米虫(Mimail)、劳拉(Win32.Xorala)病毒等恶性程序虽然不会损坏Linux服务器,但是却会传播给访问它的Windows系统平台的计算机。
10. Linux服务器的安全防护都有哪些措施
一、强化密码强度
只要涉及到登录,就需要用到密码,如果密码设定不恰当,就很容易被黑客破解,如果是超级管理员(root)用户,如果没有设立良好的密码机制,可能给系统造成无法挽回的后果。
很多用户喜欢用自己的生日、姓名、英文名等信息来设定,这些方式可以通过字典或者社会工程的手段去破解,因此建议用户在设定密码时,尽量使用非字典中出现的组合字符,且采用数字与字符、大小写相结合的密码,增加密码被破译的难度。
二、登录用户管理
进入Linux系统前,都是需要登录的,只有通过系统验证后,才能进入Linux操作系统,而Linux一般将密码加密后,存放在/etc/passwd文件中,那么所有用户都可以读取此文件,虽然其中保存的密码已加密,但安全系数仍不高,因此可以设定影子文件/etc/shadow,只允许有特殊权限的用户操作。
三、账户安全等级管理
在Linux操作系统上,每个账户可以被赋予不同的权限,因此在建立一个新用户ID时,系统管理员应根据需要赋予该账号不同的权限,且归并到不同的用户组中。每个账号ID应有专人负责,在企业中,如果负责某个ID的员工离职,该立即从系统中删除该账号。
四、谨慎使用"r"系列远程程序管理
在Linux操作系统中,有一系列r开头的公用程序,如rlogin、rcp等,非常容易被不法分子用来攻击我们的系统,因此千万不要将root账号开放给这些公用程序,现如今很多安全工具都是针对此漏洞而设计的,比如PAM工具,就可以将其有效地禁止掉。
五、root用户权限管理
root可谓是Linux重点保护对象,因为其权利是最高的,因此千万不要将它授权出去,但有些程序的安装、维护必须要求是超级用户权限,在此情况下,可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。
六、综合防御管理
防火墙、IDS等防护技术已成功应用到网络安全的各个领域,且都有非常成熟的产品,需要注意的是:在大多数情况下,需要综合使用这两项技术,因为防火墙相当于安全防护的第一层,它仅仅通过简单地比较IP地址/端口对来过滤网络流量,而IDS更加具体,它需要通过具体的数据包(部分或者全部)来过滤网络流量,是安全防护的第二层。综合使用它们,能够做到互补,并且发挥各自的优势,最终实现综合防御。
酷酷云服务器为您诚意解答,服务器租户的选择,酷酷云值得信赖。