Linux怎么設(shè)置安全管理

對于Linux管理用戶來說,系統(tǒng)的安全也是至關(guān)重要的。那么Linux怎么設(shè)置安全管理呢?接下來大家跟著我一起來了解一下Linux設(shè)置安全管理的解決 方法 吧。

成都創(chuàng)新互聯(lián)公司是一家專注于網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)與策劃設(shè)計(jì),錦江網(wǎng)站建設(shè)哪家好?成都創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)十多年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:錦江等地區(qū)。錦江做網(wǎng)站價(jià)格咨詢:18982081108

Linux設(shè)置安全管理方法

1.引導(dǎo)程序安全

Linux系統(tǒng)的root密碼是很容易的，當(dāng)然前提是你沒有設(shè)置引導(dǎo)程序密碼，如GRUB或LILO，為了防止通過引導(dǎo)程序破譯root密碼，強(qiáng)烈建議設(shè)置GRUB或LILO的引導(dǎo)密碼，可以編輯其配置文件/etc/grub.conf或/etc/lilo.conf，設(shè)置password參數(shù)。

2.不安全權(quán)限設(shè)置

大家常見的Linux下文件權(quán)限是r w x，其實(shí)還有一種權(quán)限叫s，如果給某個(gè)文件賦予的s權(quán)限，那么這個(gè)文件在執(zhí)行的時(shí)候就會(huì)擁有相應(yīng)宿主用戶或宿主組用戶的權(quán)限，例如：

#chmod u+s testfile

#ls -la testfile

rwsr----- root root 10 testfile

這樣，當(dāng)這個(gè)文件被 其它 用戶執(zhí)行的時(shí)候，此用戶就具有了此文件宿主用戶root的對testfile的執(zhí)行權(quán)限。類似，當(dāng)文件的宿主組具有s權(quán)限后，執(zhí)行此文件的用戶就具有了此文件宿主組用戶對此文件的權(quán)限，這是相當(dāng)危險(xiǎn)的。

大家可以試想下，如果命令chmod的文件被賦予了s權(quán)限，那么其它用戶還有什么事情是不能做的呢?那它就可以更改任何文件的權(quán)限了，當(dāng)然，s權(quán)限需要和x權(quán)限結(jié)合使用，沒有x權(quán)限的s權(quán)限是沒有任何意義的。

3.自動(dòng)注銷

當(dāng)某個(gè)用戶使用服務(wù)器后忘記注銷，也是很危險(xiǎn)的事情，此時(shí)，管理員可以設(shè)置/etc/profile文件的timeout參數(shù)，當(dāng)用戶一段時(shí)間不做任何操作時(shí)，系統(tǒng)自動(dòng)注銷此用戶。

4. 設(shè)置口令復(fù)雜度

為了防止系統(tǒng)用戶口令過于簡單而被破譯，可以編輯/etc/login.defs文件，設(shè)置系統(tǒng)用戶口令復(fù)雜度，例如口令最長，最短，過期時(shí)間等。

5.禁止不必要用戶登陸系統(tǒng)

為了防止其它非系統(tǒng)用戶登陸系統(tǒng)，可以在添加用戶時(shí)，賦予此用戶不存在的主目錄和不存在的shell環(huán)境，當(dāng)然，最好還更改/etc/passwd和/etc/shadow兩個(gè)文件的訪問權(quán)限，使之后root用戶可以訪問。

Linux系統(tǒng)特點(diǎn)就是因?yàn)樗且豢蠲赓M(fèi)傳播類 操作系統(tǒng) ，使其具有服務(wù)器應(yīng)有的天然特性，但也正是因?yàn)橛羞@些特性，所以在管理不當(dāng)?shù)那闆r下，也會(huì)造成很嚴(yán)重的安全性問題，所以我們的好好使用它，保護(hù)它!

如何做好網(wǎng)絡(luò)安全管理？

第一、物理安全

除了要保證要有電腦鎖之外，我們更多的要注意防火，要將電線和網(wǎng)絡(luò)放在比較隱蔽的地方。我們還要準(zhǔn)備UPS，以確保網(wǎng)絡(luò)能夠以持續(xù)的電壓運(yùn)行，在電子學(xué)中，峰值電壓是一個(gè)非常重要的概念，峰值電壓高的時(shí)候可以燒壞電器，迫使網(wǎng)絡(luò)癱瘓，峰值電壓最小的時(shí)候，網(wǎng)絡(luò)根本不能運(yùn)行。使用UPS可以排除這些意外。另外我們要做好防老鼠咬壞網(wǎng)線。

第二、系統(tǒng)安全（口令安全）

我們要盡量使用大小寫字母和數(shù)字以及特殊符號混合的密碼，但是自己要記住，我也見過很多這樣的網(wǎng)管，他的密碼設(shè)置的的確是復(fù)雜也安全，但是經(jīng)常自己都記不來，每次都要翻看筆記本。另外我們最好不要使用空口令或者是帶有空格的，這樣很容易被一些黑客識破。

我們也可以在屏保、重要的應(yīng)用程序上添加密碼，以確保雙重安全。

第三、打補(bǔ)丁

我們要及時(shí)的對系統(tǒng)補(bǔ)丁進(jìn)行更新，大多數(shù)病毒和黑客都是通過系統(tǒng)漏洞進(jìn)來的，例如今年五一風(fēng)靡全球臭名昭著的振蕩波就是利用了微軟的漏洞ms04-011進(jìn)來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是通過SQL的漏洞進(jìn)來的。所以我們要及時(shí)對系統(tǒng)和應(yīng)用程序打上最新的補(bǔ)丁，例如IE、OUTLOOK、SQL、OFFICE等應(yīng)用程序。

另外我們要把那些不需要的服務(wù)關(guān)閉，例如TELNET，還有關(guān)閉Guset帳號等。

第四、安裝防病毒軟件

病毒掃描就是對機(jī)器中的所有文件和郵件內(nèi)容以及帶有.exe的可執(zhí)行文件進(jìn)行掃描，掃描的結(jié)果包括清除病毒，刪除被感染文件，或?qū)⒈桓腥疚募筒《痉旁谝慌_隔離文件夾里面。所以我們要對全網(wǎng)的機(jī)器從網(wǎng)站服務(wù)器到郵件服務(wù)器到文件服務(wù)器知道客戶機(jī)都要安裝殺毒軟件，并保持最新的病毒定義碼。我們知道病毒一旦進(jìn)入電腦，他會(huì)瘋狂的自我復(fù)制，遍布全網(wǎng)，造成的危害巨大，甚至可以使得系統(tǒng)崩潰，丟失所有的重要資料。所以我們要至少每周一次對全網(wǎng)的電腦進(jìn)行集中殺毒，并定期的清除隔離病毒的文件夾。

現(xiàn)在有很多防火墻等網(wǎng)關(guān)產(chǎn)品都帶有反病毒功能，例如netscreen總裁謝青旗下的美國飛塔Fortigate防火墻就是，她具有防病毒的功能。

第五、應(yīng)用程序

我們都知道病毒有超過一半都是通過電子郵件進(jìn)來的，所以除了在郵件服務(wù)器上安裝防病毒軟件之外，還要對PC機(jī)上的outlook防護(hù)，我們要提高警惕性，當(dāng)收到那些無標(biāo)題的郵件，或是你不認(rèn)識的人發(fā)過來的，或是全是英語例如什么happy99，money，然后又帶有一個(gè)附件的郵件，建議您最好直接刪除，不要去點(diǎn)擊附件，因?yàn)榘俜种攀陨鲜遣《?。我前段時(shí)間就在一個(gè)政府部門碰到這樣的情況，他們單位有三個(gè)人一直收到郵件，一個(gè)小時(shí)竟然奇跡般的收到了2000多封郵件，致使最后郵箱爆破，起初他們懷疑是黑客進(jìn)入了他們的網(wǎng)絡(luò)，最后當(dāng)問到這幾個(gè)人他們都說收到了一封郵件，一個(gè)附件，當(dāng)去打開附件的時(shí)候，便不斷的收到郵件了，直至最后郵箱撐破。最后查出還是病毒惹的禍。

除了不去查看這些郵件之外，我們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。

很多黑客都是通過你訪問網(wǎng)頁的時(shí)候進(jìn)來的，你是否經(jīng)常碰到這種情況，當(dāng)你打開一個(gè)網(wǎng)頁的時(shí)候，會(huì)不斷的跳出非常多窗口，你關(guān)都關(guān)不掉，這就是黑客已經(jīng)進(jìn)入了你的電腦，并試圖控制你的電腦。

所以我們要將IE的安全性調(diào)高一點(diǎn)，經(jīng)常刪除一些cookies和脫機(jī)文件，還有就是禁用那些Active X的控件。

第六、代理服務(wù)器

代理服務(wù)器最先被利用的目的是可以加速訪問我們經(jīng)?？吹木W(wǎng)站，因?yàn)榇矸?wù)器都有緩沖的功能，在這里可以保留一些網(wǎng)站與IP地址的對應(yīng)關(guān)系。

要想了解代理服務(wù)器，首先要了解它的工作原理：

環(huán)境：局域網(wǎng)里面有一臺機(jī)器裝有雙網(wǎng)卡，充當(dāng)代理服務(wù)器，其余電腦通過它來訪問網(wǎng)絡(luò)。

1、內(nèi)網(wǎng)一臺機(jī)器要訪問新浪，于是將請求發(fā)送給代理服務(wù)器。

2、代理服務(wù)器對發(fā)來的請求進(jìn)行檢查，包括題頭和內(nèi)容，然后去掉不必要的或違反約定的內(nèi)容。

3、代理服務(wù)器重新整合數(shù)據(jù)包，然后將請求發(fā)送給下一級網(wǎng)關(guān)。

4、新浪網(wǎng)回復(fù)請求，找到對應(yīng)的IP地址。

5、代理服務(wù)器依然檢查題頭和內(nèi)容是否合法，去掉不適當(dāng)?shù)膬?nèi)容。

6、重新整合請求，然后將結(jié)果發(fā)送給內(nèi)網(wǎng)的那臺機(jī)器。

由此可以看出，代理服務(wù)器的優(yōu)點(diǎn)是可以隱藏內(nèi)網(wǎng)的機(jī)器，這樣可以防止黑客的直接攻擊，另外可以節(jié)省公網(wǎng)IP。缺點(diǎn)就是每次都要經(jīng)由服務(wù)器，這樣訪問速度會(huì)變慢。另外當(dāng)代理服務(wù)器被攻擊或者是損壞的時(shí)候，其余電腦將不能訪問網(wǎng)絡(luò)。

第七、防火墻

提到防火墻，顧名思義，就是防火的一道墻。防火墻的最根本工作原理就是數(shù)據(jù)包過濾。實(shí)際上在數(shù)據(jù)包過濾的提出之前，都已經(jīng)出現(xiàn)了防火墻。

數(shù)據(jù)包過濾，就是通過查看題頭的數(shù)據(jù)包是否含有非法的數(shù)據(jù)，我們將此屏蔽。

舉個(gè)簡單的例子，假如體育中心有一場劉德華演唱會(huì)，檢票員坐鎮(zhèn)門口，他首先檢查你的票是否對應(yīng)，是否今天的，然后撕下右邊的一條，將剩余的給你，然后告訴你演唱會(huì)現(xiàn)場在哪里，告訴你怎么走。這個(gè)基本上就是數(shù)據(jù)包過濾的工作流程吧。

你也許經(jīng)常聽到你們老板說：要增加一臺機(jī)器它可以禁止我們不想要的網(wǎng)站，可以禁止一些郵件它經(jīng)常給我們發(fā)送垃圾郵件和病毒等，但是沒有一個(gè)老板會(huì)說：要增加一臺機(jī)器它可以禁止我們不愿意訪問的數(shù)據(jù)包。實(shí)際意思就是這樣。接下來我們推薦幾個(gè)常用的數(shù)據(jù)包過濾工具。

系統(tǒng)與服務(wù)器安全管理

Windows 2000 Server、Freebsd是兩種常見的服務(wù)器。第一種是微軟的產(chǎn)品，方便好用，但是，你必須要不斷的patch它。Freebsd是一種優(yōu)雅的操作系統(tǒng)，它簡潔的內(nèi)核和優(yōu)異的性能讓人感動(dòng)。關(guān)于這幾種操作系統(tǒng)的安全，每種都可以寫一本書。我不會(huì)在這里對它們進(jìn)行詳細(xì)描述，只講一些系統(tǒng)初始化安全配置。

Windows2000 Server的初始安全配置

Windows的服務(wù)器在運(yùn)行時(shí)，都會(huì)打開一些端口，如135、139、445等。這些端口用于Windows本身的功能需要，冒失的關(guān)閉它們會(huì)影響到Windows的功能。然而，正是因?yàn)檫@些端口的存在，給Windows服務(wù)器帶來諸多的安全風(fēng)險(xiǎn)。遠(yuǎn)程攻擊者可以利用這些開放端口來廣泛的收集目標(biāo)主機(jī)信息，包括操作系統(tǒng)版本、域SID、域用戶名、主機(jī)SID、主機(jī)用戶名、帳號信息、網(wǎng)絡(luò)共享信息、網(wǎng)絡(luò)時(shí)間信息、Netbios名字、網(wǎng)絡(luò)接口信息等，并可用來枚舉帳號和口令。今年8月份和9月份，微軟先后發(fā)布了兩個(gè)基于135端口的RPCDCOM漏洞的安全公告，分別是MS03-026和 MS03-039，該漏洞風(fēng)險(xiǎn)級別高，攻擊者可以利用它來獲取系統(tǒng)權(quán)限。而類似于這樣的漏洞在微軟的操作系統(tǒng)中經(jīng)常存在。

解決這類問題的通用方法是打補(bǔ)丁，微軟有保持用戶補(bǔ)丁更新的良好習(xí)慣，并且它的Windows2000SP4安裝后可通過WindowsUpdate來自動(dòng)升級系統(tǒng)補(bǔ)丁。另外，在防火墻上明確屏蔽來自因特網(wǎng)的對135-139和445、593端口的訪問也是明智之舉。

Microsoft的SQLServer數(shù)據(jù)庫服務(wù)也容易被攻擊，今年3月份盛行的SQL蠕蟲即使得多家公司損失慘重，因此，如果安裝了微軟的'SQLServer，有必要做這些事：1）更新數(shù)據(jù)庫補(bǔ)??；2）更改數(shù)據(jù)庫的默認(rèn)服務(wù)端口（1433）；3）在防火墻上屏蔽數(shù)據(jù)庫服務(wù)端口；4）保證 sa口令非空。

另外，在Windows服務(wù)器上安裝殺毒軟件是絕對必須的，并且要經(jīng)常更新病毒庫，定期運(yùn)行殺毒軟件查殺病毒。

不要運(yùn)行不必要的服務(wù)，尤其是IIS，如果不需要它，就根本不要安裝。IIS歷來存在眾多問題，有幾點(diǎn)在配置時(shí)值得注意：1）操作系統(tǒng)補(bǔ)丁版本不得低于SP3;2）不要在默認(rèn)路徑運(yùn)行WEB（默認(rèn)是c:inetpubwwwroot）；3）以下ISAPI應(yīng)用程序擴(kuò)展可被刪掉：。 ida.idq.idc .shtm .shtml .printer。

Freebsd的初始安全配置

Freebsd在設(shè)計(jì)之初就考慮了安全問題，在初次安裝完成后，它基本只打開了22（SSH）和25（Sendmail）端口，然而，即使是 Sendmail也應(yīng)該把它關(guān)閉（因?yàn)闅v史上Sendmail存在諸多安全問題）。方式是編輯/etc/rc.conf文件，改動(dòng)和增加如下四句：

sendmail_enable="NO"

sendmail_submit_enable="NO"

sendmail_outbound_enable="NO"

sendmail_msp_queue_enable="NO"

這樣就禁止了Sendmail的功能，除非你的服務(wù)器處于一個(gè)安全的內(nèi)網(wǎng)（例如在防火墻之后并且網(wǎng)段中無其他公司主機(jī)），否則不要打開Sendmail。

禁止網(wǎng)絡(luò)日志：在/etc/rc.conf中保證有如下行：

syslogd_flags="-ss"

這樣做禁止了來自遠(yuǎn)程主機(jī)的日志記錄并關(guān)閉514端口，但仍允許記錄本機(jī)日志。

禁止NFS服務(wù)：在/etc/rc.conf中有如下幾行：

nfs_server_enable="NO"

nfs_client_enable="NO"

portmap_enable="NO"

有些情況下很需要NFS服務(wù)，例如用戶上傳圖片的目錄通常需要共享出來供幾臺WEB服務(wù)器使用，就要用到NFS。同理，要打開NFS，必須保證你的服務(wù)器處于安全的內(nèi)網(wǎng)，如果NFS服務(wù)器可以被其他人訪問到，那么系統(tǒng)存在較大風(fēng)險(xiǎn)。保證/etc/inetd.conf文件中所有服務(wù)都被注銷，跟其他系統(tǒng)不同，不要由inetd運(yùn)行任何服務(wù)。將如下語句加進(jìn)/etc/rc.conf：

inetd_enable="NO"

所有對/etc/rc.conf文件的修改執(zhí)行完后都應(yīng)重啟系統(tǒng)。

如果要運(yùn)行Apache，請編輯httpd.conf文件，修改如下選項(xiàng)以增進(jìn)安全或性能：

1） Timeout 300Timeout 120

2） MaxKeepAliveRequests 256

3） ServerSignature onServerSignature off

4） Options IndexesFollowSymLinks行把indexes刪掉（目錄的Options不要帶index選項(xiàng)）

5） 將Apache運(yùn)行的用戶和組改為nobody

6） MaxClients 150——MaxClients 1500

（如果要使用Apache，內(nèi)核一定要重新編譯，否則通不過Apache的壓力測試，關(guān)于如何配置和管理WEB服務(wù)器請見我的另一篇文章）

如果要運(yùn)行FTP服務(wù)，請安裝proftpd，它比較安全。在任何服務(wù)器上，都不要打開匿名FTP。

Windows 2000 Server和Freebsd兩種服務(wù)器的安全配置就向大家介紹完了，希望大家已經(jīng)掌握。

網(wǎng)站欄目：服務(wù)器安全管理怎么通過 服務(wù)器安全管理怎么通過網(wǎng)絡(luò)
URL網(wǎng)址：http://jinyejixie.com/article30/dddpgpo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、Google、外貿(mào)建站、手機(jī)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)公司、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)