學習linux作業系統時,你可能會遇到linux系統安全問題,這裡將介紹linux系統安全問題的解決方法,包含有取消不必要的服務、限制系統的出入等技術。
linux作為開放式的作業系統受到很多程式設計師的喜愛,很多高階程式設計師都喜歡編寫linux作業系統的相關軟體。這使得linux作業系統有著豐富的軟體支援,還有無數的技術人員作為技術後盾和技術支援,這使得linux越來越受到程式設計師的歡迎。
但這種開放式的作業系統有乙個最大的弊端就是每個程式設計師的水平不等,編寫相關軟體後並未注意自己程式中的漏洞。沒有統一的漏洞檢查,這使得linux的軟體中會出現很多的漏洞,而軟體開發者卻很難察覺自己編寫程式的漏洞,但黑客們會非常注意這些漏洞,並且會利用這些漏洞來達到自己的目的。那麼是不是linux系統就不安全了呢?
其實大可不必擔心,linux系統的安全性還是比視窗系統要安全的。只要做好下述幾點便可安心的使用linux系統。去體驗別樣的操作體會。
一、取消不必要的服務
早期的unix版本中,每乙個不同的網路服務都有乙個服務程式在後台執行,後來的版本用統一的/etc/inetd伺服器程式擔此重任。inetd是internetdaemon的縮寫,它同時監視多個網路埠,一旦接收到外界傳來的連線資訊,就執行相應的tcp或udp網路服務。由於受inetd的統一指揮,因此linux中的大部分tcp或udp服務都是在/etc/檔案中設定。
所以取消不必要服務的第一步就是檢查/etc/檔案,在不要的服務前加上「#」號。
一般來說,除了http、smtp、telnet和ftp之外,其他服務都應該取消,諸如簡單檔案傳輸協議tftp、網路郵件儲存及接收所用的imap/ipop傳輸協議、尋找和搜尋資料用的gopher以及用於時間同步的daytime和time等。
還有一些報告系統狀態的服務,如finger、efinger、systat和netstat等,雖然對系統查錯和尋找使用者非常有用,但也給黑客提供了方便之門。例如,黑客可以利用finger服務查詢使用者的**、使用目錄以及其他重要資訊。因此,很多linux系統將這些服務全部取消或部分取消,以增強系統的安全性。
inetd除了利用/etc/設定系統服務項之外,還利用/etc/services檔案查詢各項服務所使用的埠。因此,使用者必須仔細檢查該檔案中各埠的設定,以免有安全上的漏洞。
在linux中有兩種不同的服務型態:一種是僅在有需要時才執行的服務,如finger服務;在linux中有兩種不同的服務型態:一種是僅在有需要時才執行的服務,這類服務在系統啟動時就開始執行,因此不能靠修改inetd來停止其服務,而只能從修改/etc/rc.
d/rc[n].d/檔案或用run level editor去修改它。提供檔案服務的nfs伺服器和提供nntp新聞服務的news都屬於這類服務,如果沒有必要,最好取消這些服務。
二、限制系統的出入
在進入linux系統之前,所有使用者都需要登入,也就是說,使用者需要輸入使用者賬號和密碼,只有它們通過系統驗證之後,使用者才能進入系統。
與其他unix作業系統一樣,linux一般將密碼加密之後,存放在/etc/passwd檔案中。linux系統上的所有使用者都可以讀到/etc/passwd檔案,雖然檔案中儲存的密碼已經經過加密,但仍然不太安
全。因為一般的使用者可以利用現成的密碼破譯工具,以窮舉法猜測出密碼。比較安全的方法是設定影子檔案/etc/shadow,只允許有特殊許可權的使用者閱讀該檔案。
三、重新編譯程式
在linux系統中,如果要採用影子檔案,必須將所有的公用程式重新編譯,才能支援影子檔案。這種方法比較麻煩,比較簡便的方法是採用插入式驗證模組(pam)。很多linux系統都帶有linux的工具程式pam,它是一種身份驗證機制,可以用來動態地改變身份驗證的方法和要求,而不要求重新編譯其他公用程式。
這是因為pam採用封閉包的方式,將所有與身份驗證有關的邏輯全部隱藏在模組內,因此它是採用影子檔案的最佳幫手。
四、增強安全防護工具
ssh是安全套接層的簡稱,它是可以安全地用來取代rlogin、rsh和rcp等公用程式的一套程式組。ssh採用公開金鑰技術對網路上兩台主機之間的通訊資訊加密,並且用其金鑰充當身份驗證的工具。由於ssh將網路上的資訊加密,因此它可以用來安全地登入到遠端主機上,並且在兩台主機之間安全地傳送資訊。
實際上,ssh不僅可以保障linux主機之間的安全通訊,windows使用者也可以通過ssh安全地連線到linux伺服器上。
五、限制超級使用者的權力
我們在前面提到,root是linux保護的重點,由於它權力無限,因此最好不要輕易將超級使用者授權出去。但是,有些程式的安裝和維護工作必須要求有超級使用者的許可權,在這種情況下,可以利用其他工具讓這類使用者有部分超級使用者的許可權。sudo就是這樣的工具。
sudo程式允許一般使用者經過組態設定後,以使用者自己的密碼再登入一次,取得超級使用者的許可權,但只能執行有限的幾個指令。
六、設定使用者賬號的安全等級
除密碼之外,使用者賬號也有安全等級,這是因為在linux上每個賬號可以被賦予不同的許可權,因此在建立乙個新使用者id時,系統管理員應該根據需要賦予該賬號不同的許可權,並且歸併到不同的使用者組中。
以上給大家講解了保證linux系統安全的六大因素。
無論你是linux的普通桌面使用者還是管理多個伺服器的系統管理員,你都面臨著同樣的問題:日益增加的各種威脅。linux是乙個開放式系統,可以在網路上找到許多現成的程式和工具,這既方便了使用者,也方便了黑客,因為他們也能很容易地找到程式和工具來潛入linux系統,或者盜取linux系統上的重要資訊。
不過,只要我們仔細地設定linux的各種系統功能,並且加上必要的安全措施,就能讓黑客們無機可乘。
一般來說,對linux系統的安全設定包括取消不必要的服務、限制遠端訪問、隱藏重要資料、修補安全漏洞、採用安全工具以及經常性的安全檢查等。本文教你十種提高linux系統安全性的招數。雖然招數不大,但招招奏效,你不妨一試。
1.部署防火牆
這聽起來像一條最「明顯」的建議(就像使用健壯密碼一樣),但令人驚奇地是,很少有人真正去設定防火牆。即使你使用的路由器可能內建了防火牆,但是在linux系統中部署乙個軟體防火牆是一件非常輕鬆的事情,你能夠從中受益匪淺。
圖形防火牆,例如最近比較流行的firestarter,非常適合定義口**和監測活動規則。
2.禁用不必要的網路
般來說,除了http、smtp、telnet和ftp之外,其他服務都應該取消,諸如簡單檔案傳輸協議tftp、網路郵件儲存及接收所用的imap/ipop傳輸協議、尋找和搜尋資料用的gopher以及用於時間同步的daytime和time等。
還有一些報告系統狀態的服務,如finger、efinger、systat和netstat等,雖然對系統查錯和尋找使用者非常有用,但也給黑客提供了方便之門。例如,黑客可以利用finger服務查詢使用者的**、使用目錄以及其他重要資訊。因此,很多linux系統將這些服務全部取消或部分取消,以增強系統的安全性。
3.使用更加安全的傳輸替代方式
ssh是安全套接層的簡稱,它是可以安全地用來取代rlogin、rsh和rcp等公用程式的一套程式組。ssh採用公開金鑰技術對網路上兩台主機之間的通訊資訊加密,並且用其金鑰充當身份驗證的工具。
由於ssh將網路上的資訊加密,因此它可以用來安全地登入到遠端主機上,並且在兩台主機之間安全地傳送資訊。實際上,ssh不僅可以保障linux主機之間的安全通訊,windows使用者也可以通過ssh安全地連線到linux伺服器上。
4.取消非root訪問
開始你可能對此感覺有些不方便,但你應確保正常使用者不能訪問系統工具—即使fsck和ifconfig等幾乎「無害」的功能。達到這一效果的最好方法是使用sudo,sudo程式允許一般使用者經過組態設定後,以使用者自己的密碼再登入一次,取得超級使用者的許可權,但只能執行有限的幾個指令。例如,應用sudo後,可以讓管理磁帶備份的管理人員每天按時登入到系統中,取得超級使用者許可權去執行文件備份工作,但卻沒有特權去作其他只有超級使用者才能作的工作。
sudo不但限制了使用者的許可權,而且還將每次使用sudo所執行的指令記錄下來,
不管該指令的執行是成功還是失敗。
5.經常檢視和拷貝日誌
網路管理人員要經常提高警惕,隨時注意各種可疑狀況,並且按時檢查各種系統日誌檔案,包括一般資訊日誌、網路連線日誌、檔案傳輸日誌以及使用者登入日誌等。在檢查這些日誌時,要注意是否有不合常理的時間記載。黑客往往會對日誌進行修改已掩蓋自己的痕跡,所以你要在乙個非常規的地方儲存乙個日誌的副本。
最好能將日誌單獨房子乙個遠端伺服器上。
6.使用口令老化(passwordaging)
口令老化一種增強的系統口令生命期認證機制,雖然它會一定程式的削弱使用者使用的便利性,但是它能夠確保使用者的口令定期更換,這是一種非常好的安全措施。因此,如果乙個帳戶受到了黑客的攻擊並且沒有被發現,但是在下乙個密碼更改週期,他就不能再訪問該帳號了。
7.對root登入進行嚴格限制
利用「root」身份登入不是乙個好主意。安全的做法是你以普通使用者的身份登入,然後利用su或sudo取得超級使用者的許可權,然後進行相應的工作。
8.物理保護
雖然大多數的攻擊是依靠網路實施的,而黑客取得物理訪問你的計算機的機會也非常渺茫,但這並不意味你無需設防。
給引導程式加上密碼保護,確保在你離開電腦時它總是處於鎖定狀態。並且你應該完全肯定沒有人可以從外部裝置啟動你的伺服器。
9.安裝最新的安全更新
所有流行的linux發行版除了定期發布更新外,只要遇到安全漏洞,研發人員也會很快發布相應得更新和補丁,你要做的就是經常關注有沒有安全更新和補丁包發布,並及時安裝。
10.留意開啟的檔案
很多linux發行版都包含一些非常使用的小工具,lsof就是其中乙個。lsof能列出當前系統開啟的所有檔案。在linux環境下,任何事物都以檔案的形式存在,通過檔案不僅僅可以訪問常規資料,還可以訪問網路連線和硬體。
通過lsof工具能夠檢視哪些程序正在使用哪些埠,它的程序id以及是誰在執行它。如果你從中發現了一些異常,那麼你肯定值得仔細檢查一番。
增加Linux系統安全的措施
1.鎖定系統中多餘的自建帳號 檢查方法 執行命令 cat etc passwd cat etc shadow 檢視賬戶 口令檔案,與系統管理員確認不必要的賬號。對於一些保留的系統偽帳戶如 bin,sys,adm,uucp,lp,nuucp,hpdb,www,daemon等可根據需要鎖定登陸。備份方法...
資訊系統安全風險評估的形式
一 專案相關資訊 專案背景 隨著某公司資訊化建設的迅速發展,特別是面向全國 面向社會公眾服務的業務系統陸續投入使用,對該公司的網路和資訊系統安全防護都提出了新的要求。為滿足上述安全需求,需對該公司的網路和資訊系統的安全進行一次系統全面的評估,以便更加有效保護該公司各專案業務應用的安全。專案目標 第一...
保障礦井通風系統安全可靠的措施
中合煤礦 1 礦井主通風機房內設計配備了2套同等能力的主通風機,其中一套執行,一套備用,並能在10min內開動。礦井主通風機採用雙迴路供電,保證了主通風機的連續運轉。2 為了確保井下風量的穩定性,根據 礦井通風安全裝備標準 配備了足夠數量的通風檢測裝置,以滿足礦井通風日常管理 瓦斯 含二氧化碳 等級...