提升Linux服器的安全性能
所周知,就安全性而言,Linux相於Windows具有更多的。但是,不管哪一Linux行版本,在安完成以後都行一些必要的配置,增它的安全性。下面就通步加固的Linux服器。目前,多中小用因展,不更新或升而造成自身用境差大,整系平台差不,在服器端大多使用Linux和Unix的,PC端使用Windows 和Mac。所以在企用中往往是Linux、Unix和Windows操作系共存形成。
1.安和配置一防火
一配置的防火不是系有效外部攻的第一道防,也是最重要的一道防。在新系第一次接上Internet之前,防火就被安且配置好。防火配置成拒接收所有包,然後再打允接收的包,有利於系的安全。Linux我提供了一非常秀的防火工具,它就是 netfilter/iptables(http://www.netfilter.org/)。它完全是免的,且可以在一台低配置的老器上很好地行。防火的具置方法iptables使用方法。
?
2.用的服和端口
任何接都是通放的用端口的。如果我可能少地放端口,就使攻成源之水,而大大少了攻者成功的。把 Linux作用服器是明智的措。例如,希望Linux成的Web服器,可以取消系所有非必要的服,只必要服。做可以量少後,降低患,而且可以合理分配系源,提高整性能。以下是不常用的服:
1. fingerd(finger服器)告指定用的人信息,包括用名、真姓名、shell、目和方式,它使系暴露在不受迎的情收集活下,避免此服。
2. R服(rshd、rlogin、rwhod、rexec)提供各的命令,它可以在程主上行或程主交互,在封的境中登而不再要求入用名和口令,相方便。然而在公共服器上就暴露,致安全威。
3.除不用的件包
在行系,的原是不需要的服一律去掉。默的Linux就是一大的系,行了很多的服。但有多服是不需要的,很容易引起安全。文件就是/etc/xinetd.conf,它制定了/usr/sbin/xinetd要的服,你可能只需要其中的一:ftp,其它的如telnet、shell、login、exec、talk、ntalk、imap、finger、auth等,除非你真的想用它,否。
4.不置缺省路由
在主中,格禁止置缺省路由,即default route。建每一子或段置一路由,否其它器就可能通一定方式主。
5.口令管理
口令的度一般不要少於8字符,口令的成以的大小字母、字和符相合,格避免用英或等置口令,而且各用的口令成定期更的。另外,口令的保涉及到/etc/passwd和/etc/shadow文件的保,必做到只有系管理才能2 文件。安一口令工具加npasswd,能你查你的口令是否耐得住攻。如果你以前有安此的工具,建你在上安。如果你是系管理,你的系中又有安口令工具,你上查所有用的口令是否能被搜索到,即你的/ect/passwd文件施搜索攻。用作密是根本架不住暴力攻的。黑客常用一些常用字破解密。曾有一位美黑客表示,只要用「password」字,就可以打全美多的算。其它常用的有:account、ald、alpha、beta、computer、dead、demo、dollar、games、bod、 hello、help、intro、kill、love、no、ok、okay、please、sex、secret、superuser、 system、test、work、yes等。密置和原:
1)足,指只要多一下密加一位,就可以攻者的辛苦增加十倍;
2)不要用完整的,可能包括字、符和特殊字符等;
3)混用大小字符;
4)常修改。
6.分管理
一在的攻,它首先就溢出。在去的年中,以溢出型的安全漏洞是最常的一形式了。更重的是,溢出漏洞了程攻的大多,攻可以易使得一匿名的Internet用有得一台主的部分或全部的控制!
了防止此攻,我安系就注意。如果用root分,如log文件,就可能因拒服生大量日或垃圾件,而致系崩。所以建/var的分,用存放日和件,以避免root分被溢出。最好特殊的用程序一分,特是可以生大量日的程序,建/home分一,他就不能填/分了,而就避免了部分Linux分溢出的意攻。
很多Linux桌面用往往是使用Windows、Linux系。最好使用硬。方法如下:首先主硬的拆下,找一10GB左右的硬在算上,小硬置,按照平常的操作安Linux服器版本,除了的引程序放在MBR外,其它有。 安完成,出桌面後,算。小硬的拆下,上原硬,定主(是了原硬和小硬同接在一上),然後安 Windows件。硬都在上,是IDE 0接口,原硬定主,小硬定。如果要原硬,就在CMOS的序定「C、D、CDROM」,或者是 「IDE0(HDD-0)」。算的候,入Windows界面。如果要小硬,就序改「D、C、CDROM」,或者是 「IDE1(HDD-1)」,之後,入Linux界面。平操作系是互相不能的。
7.防嗅探
嗅探器技被泛用於和管理方面,它工作的候就像一部被,默默的接收看自的各信息,通些的分析,管理可以深入解前的行,以便找出中的漏洞。在安全日益被注意的今天.我不但要正使用嗅探器.要合理防嗅探器的危害.嗅探器能造成很大的安全危害,主要是因它不容易被。於一安全性能要求很格的企,同使用安全的拓、加密、使用的ARP地址是有必要的。
8.完整的日管理
日文件刻你著你的系的行情。黑客光,也不能逃日的法眼。所以黑客往往在攻修改日文件,藏。因此我要限制/var/log文件的,禁止一般限的用去查看日文件。
另外要使用日服器。客的日信息保存副本是好主意,建一台服器存放日文件,可以通查日。修改/etc/sysconfig/syslog文件加入接受程日。
?
/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-m r 0"
定日程保存。修改/etc/syslog.conf文件加入日服器的置,syslog保存副本在日服器上。
/etc/syslog.conf
*.* @log_server_IP
可以使用彩色日器。彩色日loco器,目前版本是0.32。使用loco /var/log/messages more可以示出彩色的日,明出root的位置和日中常的命令。可以少分析日人漏。要行日的定期查。Red Hat Linux中提供了logwatch工具,定期自查日送件到管理信箱。需要修改/etc/log.d/conf/ logwatch.conf文件,在MailTo = root後增加管理的件地址。Logwatch定期查日,有使用root、sudo、telnet、ftp登等信息,助管理分析日常安全。完整的日管理要包括的正性、有效性、合法性。日文件的分析可以防入侵。例如、某一用小的20次的失,很可能是入侵者正在用的口令。
9.止正行的攻
假如你在查日文件,了一用你未知的主登,而且你定此用在台主上有,此你可能正被攻。首先你要上住此(在口令文件或shadow文件中,此用的口令前加一Ib或其他的字符)。若攻者已接到系,你上主的物理接。如有可能,你要一步查看此用的史,查看其他用是否也被假冒,攻音是否有根限。掉此用的所有程把此主的ip地址掩加到文件 hosts.deny中。
10.使用安全工具件
Linux已有一些工具可以保障服器的安全。如bastille linux和Selinux。
bastille linux於不熟悉 linux 安全定的使用者,是一套相方便的件,bastille linux 目的是希望在已存在的 linux 系上,建出一安全性的境。
增安全性的Linux(SELinux)是美安全部的一研目,它的目的在於增代的Linux核,以提供更的保措施,防止一些於安全方面的用程序走路,意件的。普通的Linux系的安全性是依核的,依是通setuid/setgid生的。在的安全制下,暴露了一些用授、配置或程行造成整系的安全。些在在的操作系中都存在,是由於他的性和其它程序的互用性造成的。SELinux只依於系的核和安全配置政策。一旦你正配置了系,不正常的用程序配置或只返回用的程序和它的系後台程序。其它用程序的安全性和他的後台程序仍然可以正常行,保持著它的安全系。用一的就是:有任何的程序配置可以造成整系的崩。安SELinux SELinux的核、工具、程序/工具包,有文都可以到增安全性的Linux站上上下你必有一已存在的Linux系你的新核,才能有更改的系丁包。
11.使用保留IP地址
---- 安全性最的方法是保中的主不同外界接。最基本的方法是公共隔。然而,通隔到的安全性策略在多情下是不能接受的。,使用保留IP地址是一可行的方法,它可以用Internet同保一定的安全性。- RFC 1918定了能用於本地 TCP/IP使用的IP地址,些IP地址不在Internet上路由,因此不必些地址。通在分配IP地址,可以有效地流量限制在本地。是一拒外部算而允部算互的快速有效的方法。 保留IP地址:
---- 10.0.0 .0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
--- 192.168.0.0 - 192.168.255.255
自保留IP地址的交通不Internet路由器,因此被予保留IP地址的任何算不能外部。但是,方法同也不允用外部。IP可以解一。
12.合理Linux行版本
於服器使用的Linux版本,既不使用最新的行版本,也不太老的版本。使用比成熟版本:前一品的最後行版本如RHEL 3.0等。竟於服器安全定是第一的。
13.部署Linux防病毒件
Linux操作系一直被是Windows系的,因它不安全、定、成本低,而且很少有病毒播。但是,著越越多的服器、工作站和人使用Linux件,病毒造者也始攻一系。於Linux系是服器,是工作站的安全性和限控制都是比大的,主要得力於其秀的技,不使它的作系以宕,而且也使其以被用。Unix20多年的展和完善,已得非常固,而 Linux基本上承了它的。在Linux,如果不是超用,那意感染系文件的程序很得逞。速客一(Slammer)、波 (Blast)、霸王(Sobig)、 米(Mimail)、拉(Win32.Xorala)病毒等性程序然不Linux服器,但是播它的Windows系平台的算。
Linux平台下的病毒分:
1.可行文件型病毒:可行文件型病毒是指能寄生在文件中的,以文件主要感染象的病毒。病毒造者使用什武器,或者C,要感染ELF文件都是而易的事情。方面的病毒有Lindose。
2.蠕(worm)病毒:1988年Morris蠕爆後,Eugene H. Spafford 了分蠕和病毒,出了蠕的技角度的定,「算蠕可以立行,能把自身的一包含所有功能的版本播到另外的算上。」在Linux 平台下,蠕病毒猖獗,像利用系漏洞行播的ramen,lion,Slapper等,些病毒都感染了大量的Linux系,造成了巨大的失。
3.本病毒:目前出比多的是使用shell本言的病毒。此病毒,但是破力同人。我知道,Linux系中有多的以.sh尾的本文件,而一短短十行的shell本就可以在短遍整硬中的所有本文件,行感染。
4.後程序:在的病毒定概念中,後也已入了病毒的。活在Windows系中的後一入侵者的利器在Linux平台下同活。增加系超用的後,到利用系服加,共享文件注射,rootkit工具包,甚至可核模(LKM),Linux 平台下的後技展非常成熟,蔽性,以清除。是Linux系管理疼的。
算病毒Linux系存在小的危。但是由於各原因在企用中往往是Linux和Windows操作系共存形成。所以Linux的防病毒策略分成部分:
1.Linux本身(服器和使用其作桌面的算)防策略。
可行文件型病毒、蠕(worm)病毒、本病毒的防通安GPL查病毒件基本可以防。服器端可以使用AntiVir(http://www.hbedv.com/)它是工作在命令行下的,行可以少用系源。
於後程序防可以用LIDS(http://www.lids.org/)和Chkrootkit(http://www.chkrootkit.org/),LIDS 是Linux核丁和系管理工具(lidsadm),它加了Linus核。可以保dev/目下的重要文件。而Chkrootkit可以系的日和文件,查看是否有意程序侵入系,且找到不同意程序的信。最新版本的Chkrootkit0.45可以出 sniffers、Trojans、worms、rootkit等59。
2.使用Linux服器後端的Windows系的病毒防策略。
多企使用代理服器接入互,多用Windows系行都是在行HTTP和文件下感染病毒,所以可以在代理服器上加一病毒器,用的HTTP行病毒,有用感染病毒的即由代理服器行阻,有病毒的求,不安全的程阻止在代理服器,禁止有病毒的向客端算播。squid是一款非常秀的代理服器件,但是有的病毒功能。可以考使用德放源好者的一款基於Linux的病毒代理服器--HAVP(?http://www.server-side.de/)。HAVP病毒代理服器件既可以立使用,也可以Squid串使用,增Squid代理服器的病毒功能。
提供件服是Linux服器中重要用。可以使用ClamAV(http://www.clamwin.com/),ClamAV 全名是 Clam AntiVirus,它跟Liunx一公程序代、免授等念,ClamAV 目前可以超40,000 病毒、蠕、木程序,且更新,有一分在世界各地的病毒家,24小更新及病毒,任何人可疑病毒也可以跟她取得 ,立刻更新病毒,在短的,上用ClamAV的件服器就完成最新的防作。
14、加登安全
通修改/etc/login.defs文件可以增加登延、日、登密度限制、期限制等置。
/etc/login.defs #登密有效期90天
PASS_MAX_DAYS 90 #登密最短修改,防止非法用短期更改多次
PASS_MIN_DAYS 0 #登密最小度8位
PASS_MIN_LEN 8 #登密期提前7天提示修改
PASS_WARN_AGE 7 #登等待10秒
FAIL_DELAY 10 #登到日
FAILLOG_ENAB yes #限定超用管理日使用
SYSLOG_SU_ENAB yes #限定超用管理日使用
SYSLOG_SG_ENAB yes #使用md5密的加密方法使用
15. 使用OPENSSH代替FTP和Telnet
我通常使用的程序FTP和Telnet等在本上都是不安全的,因它在上用明文送口令和,黑客利用嗅探器非常容易截些口令和。SSH的英文全是Secure SHell。通使用SSH,用可以把所有的行加密,即使中的黑客能劫持用所的,如果不能解密的,也不能成真正的威。另外,的是的,所以可以加快的速度。SSH有很多功能,它既可以代替Telnet,又可以FTP提供一安全的「通道」。在不安全的路通信境中,它提供了很的(authentication)制非常安全的通信境。SSH(Secure Shell)最初由芬的一家公司,但由於受版和加密算法的限制,很多人而使用免的替代件OpenSSH。 命令行使用OPENSSH比麻。介gFTP和OPENSSH整合在一,提供一形化加密方案。gFTP和Windows下的 CuteFtp一使用非常,而且乎所有的Linux行版本都有gFTP,不需要安就可以使用。Windows下支持SSH的客端件不少,推使用Putty和Filezilla。
16.份重要的文件
很多木、蠕和後都用替重要文件的法藏自己,最重要和常用的命令份是好。一套只介,光或者,甚至放到上下都可以。之是在必要使用原始的命令而不是系中可能被感染的命令。需要注意份的如下:
/bin/su
/bin/ps
/bin/rpm
/usr/bin/top
/sbin/ifconfig
/bin/mount
17.丁
你常到你所安的系行商的主上去找最新的丁。操作系是算系魂,著系的底,存、程等子系行管理和度。如果操作系本身出了漏洞,其影是致命的。操作系的核,於安全是至重要的。目前,核的主要分模式:於私有操作系,如Windows/Solaris等,由於人用不能直接接其源代,其代由公司部人,其安全性由同的保,核的修正其他用程序一,以patch/SP包的方式。於Linux的放式系,是一放的。,放的模式是刃。制上,全世界的人都能得源代,而找出其中的漏,似乎安全性更好;但是同,如果管理人不能及更新核,也留下安全患。而且,影操作系安全的因素有很多。成水平到用的使用水平等等,都影到系的安全。通放或者封源代,都不能根本上解安全。如果你是一 Linux管,你常需要上相的站看,是否有丁,是否有了bug fix,是否需要升。千不要心理,否一Shell本就可能拿下你的站。套用一句名言:你的服器永可能在第二天被黑客接管。
Linux服器行的件主要包括:Samba,Ftp,Telnet,Ssh,Mysql,Php,Apache,Mozilla等,些件,大都是源件,而且都在不停升,定版和版交替出。在www.samba.org和?www.apache.org上,最新的ChangeLog中都著:bug fix, security bug fix的字。所以Linux管要常的注相站的bug fix和升,及升或添加丁。
?
?