Linux服务器的安全防护都有哪些措施？

　　随着开源系统Linux的盛行，其在大中型企业的应用也在逐渐普及，很多企业的应用服务都是构筑在其之上，例如Web服务、数据库服务、集群服务等等。因此，Linux的安全性就成为了企业构筑安全应用的一个基础，是重中之重，如何对其进行安全防护是企业需要解决的一个基础性问题，基于此，本文将给出十大企业级Linux服务器安全防护的要点。1、强化：密码管理设定登录密码是一项非常重要的安全措施，如果用户的密码设定不合适，就很容易被破译，尤其是拥有超级用户使用权限的用户，如果没有良好的密码，将给系统造成很大的安全漏洞。目前密码破解程序大多采用字典攻击以及暴力攻击手段，而其中用户密码设定不当，则极易受到字典攻击的威胁。很多用户喜欢用自己的英文名、生日或者账户等信息来设定密码，这样，黑客可能通过字典攻击或者是社会工程的手段来破解密码。所以建议用户在设定密码的过程中，应尽量使用非字典中出现的组合字符，并且采用数字与字符相结合、大小写相结合的密码设置方式，增加密码被黑客破解的难度。而且，也可以使用定期修改密码、使密码定期作废的方式，来保护自己的登录密码。在多用户系统中，如果强迫每个用户选择不易猜出的密码，将大大提高系统的安全性。但如果passwd程序无法强迫每个上机用户使用恰当的密码，要确保密码的安全度，就只能依靠密码破解程序了。实际上，密码破解程序是黑客工具箱中的一种工具，它将常用的密码或者是英文字典中所有可能用来作密码的字都用程序加密成密码字，然后将其与Linux系统的/etc/passwd密码文件或/etc/shadow影子文件相比较，如果发现有吻合的密码，就可以求得明码了。在网络上可以找到很多密码破解程序，比较有名的程序是crack和john the ripper用户可以自己先执行密码破解程序，找出容易被黑客破解的密码，先行改正总比被黑客破解要有利。2、限定：网络服务管理早期的Linux版本中，每一个不同的网络服务都有一个服务程序(守护进程，Daemon)在后台运行，后来的版本用统一的/etc/inetd服务器程序担此重任。Inetd是Internetdaemon的缩写，它同时监视多个网络端口，一旦接收到外界传来的连接信息，就执行相应的TCP或UDP网络服务。由于受inetd的统一指挥，因此Linux中的大部分TCP或UDP服务都是在/etc/inetdconf文件中设定。所以取消不必要服务的第一步就是检查/etc/inetdconf文件，在不要的服务前加上“#”号。一般来说，除了http、smtp、telnet和ftp之外，其他服务都应该取消，诸如简单文件传输协议tftp、网络邮件存储及接收所用的imap/ipop传输协议、寻找和搜索资料用的gopher以及用于时间同步的daytime和time等。还有一些报告系统状态的服务，如finger、efinger、systat和netstat等，虽然对系统查错和寻找用户非常有用，但也给黑客提供了方便之门。例如，黑客可以利用finger服务查找用户的电话、使用目录以及其他重要信息。因此，很多Linux系统将这些服务全部取消或部分取消，以增强系统的安全性。Inetd除了利用/etc/inetdconf设置系统服务项之外，还利用/etc/services文件查找各项服务所使用的端口。因此，用户必须仔细检查该文件中各端口的设定，以免有安全上的漏洞。在后继的Linux版本中(比如Red Hat Linux72之后)，取而代之的是采用xinetd进行网络服务的管理。当然，具体取消哪些服务不能一概而论，需要根据实际的应用情况来定，但是系统管理员需要做到心中有数，因为一旦系统出现安全问题，才能做到有步骤、有条不紊地进行查漏和补救工作，这点比较重要。3、严格审计：系统登录用户管理在进入Linux系统之前，所有用户都需要登录，也就是说，用户需要输入用户账号和密码，只有它们通过系统验证之后，用户才能进入系统。与其他Unix操作系统一样，Linux一般将密码加密之后，存放在/etc/passwd文件中。Linux系统上的所有用户都可以读到/etc/passwd文件，虽然文件中保存的密码已经经过加密，但仍然不太安全。因为一般的用户可以利用现成的密码破译工具，以穷举法猜测出密码。比较安全的方法是设定影子文件/etc/shadow，只允许有特殊权限的用户阅读该文件。在Linux系统中，如果要采用影子文件，必须将所有的公用程序重新编译，才能支持影子文件。这种方法比较麻烦，比较简便的方法是采用插入式验证模块(PAM)。很多Linux系统都带有Linux的工具程序PAM，它是一种身份验证机制，可以用来动态地改变身份验证的方法和要求，而不要求重新编译其他公用程序。这是因为PAM采用封闭包的方式，将所有与身份验证有关的逻辑全部隐藏在模块内，因此它是采用影子档案的最佳帮手。此外，PAM还有很多安全功能：它可以将传统的DES加密方法改写为其他功能更强的加密方法，以确保用户密码不会轻易地遭人破译;它可以设定每个用户使用电脑资源的上限;它甚至可以设定用户的上机时间和地点。Linux系统管理人员只需花费几小时去安装和设定PAM，就能大大提高Linux系统的安全性，把很多攻击阻挡在系统之外。4、设定：用户账号安全等级管理除密码之外，用户账号也有安全等级，这是因为在Linux上每个账号可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应该根据需要赋予该账号不同的权限，并且归并到不同的用户组中。在Linux系统中的部分文件中，可以设定允许上机和不允许上机人员的名单。其中，允许上机人员名单在/etc/hostsallow中设置，不允许上机人员名单在/etc/hostsdeny中设置。此外，Linux将自动把允许进入或不允许进入的结果记录到/var/log/secure文件中，系统管理员可以据此查出可疑的进入记录。每个账号ID应该有专人负责。在企业中，如果负责某个ID的职员离职，管理员应立即从系统中删除该账号。很多入侵事件都是借用了那些很久不用的账号。在用户账号之中，黑客最喜欢具有root权限的账号，这种超级用户有权修改或删除各种系统设置，可以在系统中畅行无阻。因此，在给任何账号赋予root权限之前，都必须仔细考虑。Linux系统中的/etc/securetty文件包含了一组能够以root账号登录的终端机名称。例如，在RedHatLinux系统中，该文件的初始值仅允许本地虚拟控制台(rtys)以root权限登录，而不允许远程用户以root权限登录。最好不要修改该文件，如果一定要从远程登录为root权限，最好是先以普通账号登录，然后利用su命令升级为超级用户。5、谨慎使用：“r系列”远程程序管理在Linux系统中有一系列r字头的公用程序，比如rlogin，rcp等等。它们非常容易被黑客用来入侵我们的系统，因而非常危险，因此绝对不要将root账号开放给这些公用程序。由于这些公用程序都是用。rhosts文件或者hostsequiv文件核准进入的，因此一定要确保root账号不包括在这些文件之内。由于r等远程指令是黑客们用来攻击系统的较好途径，因此很多安全工具都是针对这一安全漏洞而设计的。例如，PAM工具就可以用来将r字头公用程序有效地禁止掉，它在/etc/pamd/rlogin文件中加上登录必须先核准的指令，使整个系统的用户都不能使用自己home目录下的。rhosts文件。6、限制：root用户权限管理Root一直是Linux保护的重点，由于它权力无限，因此最好不要轻易将超级用户授权出去。但是，有些程序的安装和维护工作必须要求有超级用户的权限，在这种情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。sudo程序允许一般用户经过组态设定后，以用户自己的密码再登录一次，取得超级用户的权限，但只能执行有限的几个指令。例如，应用sudo后，可以让管理磁带备份的管理人员每天按时登录到系统中，取得超级用户权限去执行文档备份工作，但却没有特权去作其他只有超级用户才能作的工作。sudo不但限制了用户的权限，而且还将每次使用sudo所执行的指令记录下来，不管该指令的执行是成功还是失败。在大型企业中，有时候有许多人同时管理Linux系统的各个不同部分，每个管理人员都有用sudo授权给某些用户超级用户权限的能力，从sudo的日志中，可以追踪到谁做了什么以及改动了系统的哪些部分。值得注意的是，sudo并不能限制所有的用户行为，尤其是当某些简单的指令没有设置限定时，就有可能被黑客滥用。例如，一般用来显示文件内容的/etc/cat指令，如果有了超级用户的权限，黑客就可以用它修改或删除一些重要的文件。7、追踪黑客踪迹：日志管理当用户仔细设定了各种与Linux相关的配置(最常用日志管理选项)，并且安装了必要的安全防护工具之后，Linux操作系统的安全性的确大为提高，但是却并不能保证防止那些比较熟练的网络黑客的入侵。在平时，网络管理人员要经常提高警惕，随时注意各种可疑状况，并且按时检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。例如：正常用户在半夜三更登录;不正常的日志记录，比如日志只记录了一半就切断了，或者整个日志文件被删除了;用户从陌生的网址进入系统;因密码错误或用户账号错误被摈弃在外的日志记录，尤其是那些一再连续尝试进入失败，但却有一定模式的试错法;非法使用或不正当使用超级用户权限su的指令;重新开机或重新启动各项服务的记录。上述这些问题都需要系统管理员随时留意系统登录的用户状况以及查看相应日志文件，许多背离正常行为的蛛丝马迹都应当引起高度注意。8、横向扩展：综合防御管理防火墙、IDS等防护技术已经成功地应用到网络安全的各个领域，而且都有非常成熟的产品。在Linux系统来说，有一个自带的Netfilter/Iptables防火墙框架，通过合理地配置其也能起到主机防火墙的功效。在Linux系统中也有相应的轻量级的网络入侵检测系统Snort以及主机入侵检测系统LIDS(Linux Intrusion Detection System)，使用它们可以快速、高效地进行防护。需要提醒注意的是：在大多数的应用情境下，我们需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口对来过滤网络流量，而IDS更加具体，它需要通过具体的数据包(部分或者全部)来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势，最终实现综合防御。9、评测：漏洞追踪及管理Linux作为一种优秀的开源软件，其自身的发展也日新月异，同时，其存在的问题也会在日后的应用中慢慢暴露出来。黑客对新技术的关注从一定程度上来说要高于我们防护人员，所以要想在网络攻防的战争中处于有利地位，保护Linux系统的安全，就要求我们要保持高度的警惕性和对新技术的高度关注。用户特别是使用Linux作为关键业务系统的系统管理员们，需要通过Linux的一些权威网站和论坛上尽快地获取有关该系统的一些新技术以及一些新的系统漏洞的信息，进行漏洞扫描、渗透测试等系统化的相关配套工作，做到防范于未然，提早行动，在漏洞出现后甚至是出现前的最短时间内封堵系统的漏洞，并且在实践中不断地提高安全防护的技能，这样才是一个比较的解决办法和出路。10、保持更新：补丁管理Linux作为一种优秀的开源软件，其稳定性、安全性和可用性有极为可靠的保证，世界上的Linux高手共同维护着个优秀的产品，因而起流通渠道很多，而且经常有更新的程序和系统补丁出现，因此，为了加强系统安全，一定要经常更新系统内核。Kernel是Linux操作系统的核心，它常驻内存，用于加载操作系统的其他部分，并实现操作系统的基本功能。由于Kernel控制计算机和网络的各种功能，因此，它的安全性对整个系统安全至关重要。早期的Kernel版本存在许多众所周知的安全漏洞，而且也不太稳定，只有20x以上的版本才比较稳定和安全(一般说来，内核版本号为偶数的相对稳定，而为奇数的则一般为测试版本，用户们使用时要多留意)，新版本的运行效率也有很大改观。在设定Kernel的功能时，只选择必要的功能，千万不要所有功能照单全收，否则会使Kernel变得很大，既占用系统资源，也给黑客留下可乘之机。在Internet上常常有最新的安全修补程序，Linux系统管理员应该消息灵通，经常光顾安全新闻组，查阅新的修补程序。

1、明确加固目标

明确加固和优化后的系统所要达到的安全级别。

2、明确系统运行状况

系统运行的用途，系统正常运行所需要的服务，从网络扫描和人工评估中收集系统运行状况。

3、明确加固风险

风险包括停机、应用不能正常使用、系统被破坏无法使用。

4、系统备份

备份包括文件系统、关键数据、配置信息、口令、用户权限等内容。

1、服务器所处运行环境不佳

对于计算机网络服务器来说，运行的环境是非常重要的。其中所指的环境主要包括运行温度和空气湿度两个方面。网络服务器与电力的关系是非常紧密的，电力是保证其正常运行的能源支撑基础，电力设备对于运行环境的温度和湿度要求通常来说是比较严格的，在温度较高的情况下，网络服务器与其电源的整体温度也会不断升高，如果超出温度耐受临界值，设备会受到不同程度的损坏，严重者甚至会引发火灾。如果环境中的湿度过高，网络服务器中会集结大量水汽，很容易引发漏电事故，严重威胁使用人员的人身安全。

2、缺乏正确的网络服务器安全维护意识

系统在运行期间，部分计算机用户由于缺乏基本的网络服务器安全维护意识，对于网络服务器的安全维护不能给予充分重视。计算机在长期使用的过程中，缺少有效的安全维护措施，最终导致网络服务器出现一系列运行故障。与此同时，某些用户由于没有选择正确的防火墙软件，系统不断出现各种漏洞，用户个人信息极易遭到泄露。 

3、服务器系统漏洞过多

计算机网络本身具有开放自由的特性，这种属性既存在技术性优势，在某种程度上也会对计算机系统的安全造成威胁。一旦系统中出现很难修复的程序漏洞，某些不法人员很可能借助漏洞对缓冲区进行信息查找，然后攻击计算机系统，这样一来，不但用户信息面临泄露的风险，计算机运行系统也会遭到损坏。

如需了解更多，请访问蛙云官网wayuncn

专业领域十余载，倾情奉献

一次沟通，终生陪伴

一经常检查网站数据

一般被挂马的网站大部分是长期无人管理维护的网站，尤其是一些企业网站，包括前文提到的我的2个被挂马的网站就是由于一些原因长期没有管理维护的原因，后来是域名要到期了续费之后顺便检查下了网站就发现被挂黑链了。目前黑链市场依然还很火爆，所以尽量定期抽出时间检查下你不常更新的网站。

二dedecms系统漏洞

由于dedecms的流行，用dedecms仿站成了被黑客攻击的目标之一，从dedecms51到现在的57，依然有部分漏洞，用dedecms做的网站要注意以下几点，

1修改默认后台（dede）路径

2删除install安装目录

3如果不需要使用会员可以直接删除member目录

大部分黑客入侵dedecms网站就是利用会员投稿功能，上传木马文件。

三禁止重要文件和目录被执行、写入

dedecms系统网站可以做如下设置

1以下目录：data、templets、uploads、a设置可读写不可执行权限。

2以下目录：include、member、plus、dede设置为可读可执行不可写入权限。

目前很多使用discuz和phpwind制作的网站也被入侵就是由于重要目录和文件权限没有设置好。

四网站被入侵以后如何处理

1用备份文件覆盖

2没有备份的话，找出最近被修改的文件，查看这些文件是否包含恶意代码。

3找出网站程序多出的文件，重点注意网站根目录是否有未知文件。

五ftp和服务器安全设置

建议使用linux服务器，ftp和服务器用户名和密码要设置复杂点，尽量用字母+数字+特殊符号，使用独立服务器或者vps的要详细了解服务器安全配置方面的教程，确保服务器安全。

一、数据对象级别的安全机制：

这个级别的安全性通过设置数据对象的访问权限进行控制。如果是使用图形界面管理工具，可以在表上点右键，选择属性|权限，然后在相应的权限项目上打勾就可以了。

二、服务器级别的安全机制：

这个级别的安全性主要通过登录帐户进行控制，要想访问一个数据库服务器，必须拥有一个登录帐户。登录帐户可以是Windows账户或组，也可以是SQL Server的登录账户。登录账户可以属于相应的服务器角色。至于角色，可以理解为权限的组合。

三、数据库级别的安全机制：

这个级别的安全性主要通过用户帐户进行控制，要想访问一个数据库，必须拥有该数据库的一个用户账户身份。用户账户是通过登录账户进行映射的，可以属于固定的数据库角色或自定义数据库角色。

扩展资料

安全性措施

1、外键管理

SQL Server 2008为加密和密钥管理提供了一个全面的解决方案。为了满足不断发展的对数据中心的信息的更强安全性的需求，公司投资给供应商来管理公司内的安全密钥。

2、数据加密

进行加密使公司可以满足遵守规范和及其关注数据隐私的要求。简单的数据加密的好处包括使用任何范围或模糊查询搜索加密的数据、加强数据安全性以防止未授权的用户访问。这些可以在不改变已有的应用程序的情况下进行。

3、增强审查

SQL Server 2008具有像服务器中加强的审查的配置和管理这样的功能，这使得公司可以满足各种规范需求。SQL Server 2008还可以定义每一个数据库的审查规范，所以审查配置可以为每一个数据库作单独的制定。为指定对象作审查配置使审查的执行性能更好，配置的灵活性也更高。

-SqlServer

增强网络整体安全

　　很多网管往往在维护网络安全方面存在这样的误区，认为只要将服务器单机打好补丁，安装好防护墙

、操作系统定期升级就可以安枕无忧了。可实际上，很多黑客和病毒并非直接攻击服务器，而是通过入侵

其他计算机作为跳板来攻击整个网络的。目前很多网络都是通过域的方式来管理，一旦黑客或病毒成功入

侵与服务器有信任关系的一台计算机，那么从这台计算机攻击服务器将会变得非常简单。所以要办证整个

网络的安全要从根本来考虑。

　　首先是安全管理，要从管理角度出发，利用规章制度等文字性的材料规范，约束各种针对计算机网络

的行为，例如禁止员工随便下载非法程序，禁止网络管理员以外的人员进入中心机房，完善网络管理员的

值班制度等等。

　　其次是安全技术，要从技术角度出发，利用各种软件和硬件，各种技巧和方法来管理整个计算机网络，

杀毒软件与防火墙双管齐下力保网络的安全。

　　这两方面缺一不可，试想如果只有安全技术的支持而在规章制度上没有进行任何约束，即使刚开始安

全做的很到位，但员工随意下载非法软件，随便关闭杀毒软件的保护的话，整个网络安全形同虚设。而只

有严格的规章没有技术作为支持的话病毒和黑客也会通过网络漏洞轻松入侵。因此安全管理与安全技术两

方面相辅相成，网络管理员对于这两方面都要抓，力度都要硬。

　　加强服务器本地文件格式安全级别

　　目前服务器都采用的是windows 2000以上版本，所以在加强安全级别上需要利用windows 2000 server

提供的用户权限功能，根据每个用户的特点单独地为其制定访问服务器的特殊使用权限，从而避免因使用

统一的访问服务器权限而带来的安全隐患。

　　为了确保服务器的安全首先要在本地文件格式上做文章，即将FAT格式转换为安全系数更高的NTFS文

件格式。毕竟对于黑客来说存储在FAT格式的磁盘分区里的数据要比存储在NTFS格式的磁盘分区的数据更容

易访问，也更容易破坏，另外目前所有安全软件及加密软件也都是针对NTFS格式来说的，对FAT格式的保护

非常薄弱。

　　另外最好使用专门的网络检测软件对整个网络的运行情况进行724小时的不间断监视，尤其要关注“

非法入侵”和“对服务器的操作”两方面的报告，笔者做在的公司就使用IISLOCK来监视网页服务器的正常

运行和MRTG来检测整个网络的流量。

　　定期备份数据

　　数据的保护是一个非常重要的问题，也许服务器的系统没有崩溃但里面存储的数据发生了丢失，这种

情况所造成的损失会更大，特别对于数据库服务器来说也许存储的是几年的珍贵数据。怎么才能有效的保

护数据备份是唯一的选择。以往对于数据的备份都是采取在服务器上另外一个区建立备份文件夹甚至是建

立一个备份区。不过这样备份方法有一个非常大的弊端，那就是一旦服务器的硬盘出现问题所有分区的数

据都将丢失，从而备份没有了保证。按照“不要把所有鸡蛋放到同一个篮子”的理论我们应该使用单独的

专门设备保存这些珍贵数据。

　　使用B服务器保存A服务器的数据，同时用A服务器保存B服务器的文件，这种交叉备份的方法在一段时

间非常流行。另外还有一个有效的方法就是使用磁带来保存珍贵数据，不过这样的投资会比较大。

　　就拿采用的备份方式来说，采用的备份方式是通过网络存储设备NAS来保存的，将单独的NAS设备连接

到网络中，定期通过工具将珍贵数据写入到NAS的硬盘中，由于NAS设备自身使用了RAID方式进行数据的冗

余，所以数据得到了最好的保证。

　　但是数据备份也存在巨大的安全漏洞，因为备份好的数据也有可能被盗窃，所以在备份时应该对备份

介质进行有效的密码保护，必要时还需要使用加密软件对这些数据进行加密，这样即使数据被盗也不会出现

数据泄露的问题。易信科技，望采纳。