Linux下的Web服务器。如何提高安全,防止为了保证安全性,受到攻击?
但由于该操作系统是一个多用户操作系统,黑客们为了在攻击中隐藏自己,往往会选择 Linux作为首先攻击的对象。那么,作为一名Linux用户,我们该如何通过合理的方法来防范Linux的安全呢?下面笔者搜集和整理了一些防范 Linux安全的几则措施,现在把它们贡献出来,恳请各位网友能不断补充和完善。 1、禁止使用Ping命令Ping命令是计算机之间进行相互检测线路完好的一个应用程序,计算机间交流数据的传输没有 经过任何的加密处理,因此我们在用ping命令来检测某一个服务器时,可能在因特网上存在某个非法分子,通过专门的黑客程序把在网络线路上传输的信息中途 窃取,并利用偷盗过来的信息对指定的服务器或者系统进行攻击,为此我们有必要在Linux系统中禁止使用Linux命令。在Linux里,如果要想使 ping没反应也就是用来忽略icmp包,因此我们可以在Linux的命令行中输入如下命令: echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all 如果想恢复使用ping命令,就可以输入 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all2、注意对系统及时备份为了防止系统在使用的过程中发生以外情况而难以正常运行,我们应该对Linux完好的系统进 行备份,最好是在一完成Linux系统的安装任务后就对整个系统进行备份,以后可以根据这个备份来验证系统的完整性,这样就可以发现系统文件是否被非法修 改过。如果发生系统文件已经被破坏的情况,也可以使用系统备份来恢复到正常的状态。备份信息时,我们可以把完好的系统信息备份在CD-ROM光盘上,以后 可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高,那么可以将光盘设置为可启动的并且将验证工作作为系统启 动过程的一部分。这样只要可以通过光盘启动,就说明系统尚未被破坏过。 3、改进登录服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别,使用一个更安全的登录服务器 来取代Linux自身的登录工具也可以进一步提高安全。在大的Linux网络中,最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满 足所有系统登录需求并且拥有足够的磁盘空间的服务器系统,在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志 文件的能力。 4、取消Root命令历史记录在Linux下,系统会自动记录用户输入过的命令,而root用户发出的命令往往具有敏感的 信息,为了保证安全性,一般应该不记录或者少记录root的命令历史记录。为了设置系统不记录每个人执行过的命令,我们可以在Linux的命令行下,首先 用cd命令进入到/etc命令,然后用编辑命令来打开该目录下面的profile文件,并在其中输入如下内容: HISTFILESIZE=0
服务器的数据安全很重要,一般公司的重要数据都存放在服务器上。但是即使装了杀毒软件,部署了防火墙,并定时打补丁,服务器仍然会有各种风险,各种中毒,各种被入侵,核心数据还是会攻击。推荐使用MCK云私钥,平台安全:杜绝公有云平台方运维人员查阅用户数据;运维安全:运维人员准入和审计,无法把运营数据拷贝带走;应用安全:应用级模块保护敏感涉密数据不被扩散; 系统安全:黑客入侵后无法获取被保护的数据。
控制台是部署linux服务器的主要窗口之一。但是linux服务器部署完成之后,这个控制台反而有可能成为危害其安全的罪魁祸首之一。为此linux服务器投入生产使用之后,就需要对其访问进行限制。否则的话有可能会对linux服务器带来安全隐患。 一、限制控制台访问
在linux操作系统中所有的命令在系统中都是以文件的形式体现出来的。或者说,文件就是linux操作系统中的核心。如果需要限制或者禁用控制台下的访问,只需要把某些文件的连接注视掉即可。如系统管理员如果要禁止所有的控制台访问(包括程序与应用文件),则可以把目录/etc/pamd下面的所有文件中包含pam_consoleso的行注释掉。如下图,kde是这个目录下的一个文件。在这个文件中有pam_consoleso这行内容。系统管理员需要把这个目录下所有文件中含有这一行的内容注释掉,如此的话就可以禁止所有的控制台访问的。当然如果系统管理员对于这些文件所代表的含义比较了解的话,那么也可以根据自己的需要部分的禁止或者限制控制台访问。
二、禁止使用控制台程序
为了提高linux服务器系统的安全性,一个最简单也是被很多系统管理员所采用的方法就是禁止使用相关的控制台程序。在必要的情况下,如不知道哪些控制台程序会影响到linux操作系统的安全,则可以禁止使用所有的控制台程序。如众所周知,linux操作系统是一个多用户的操作系统。当其他用户正连在操作系统上的时候,如果某个用户强制执行shutdown命令的话,那么无疑会让其他用户正在修改的文件发生数据丢失。为此当linux服务器部署完毕之后,需要通过某些方式禁止用户使用控制台程序。
要实现这个目的也比较简单,如主要通过如下命令:
rm –f /etc/security/consoleapps/servicename即可。其中Servicename是系统管理员需要禁止的控制台程序名。通常情况下,如果系统管理员对于这些程序比较了解,有这个经验可以判断出其是否会对服务器产生不利影响,那么就可以有选择的删除这些程序。但是如果不能够确定的话,那么把这些相关的服务或者程序全部删除即可。因为此时删除只会影响控制台下面的操作。如果以后需要用到这些命令的话,系统管理员可以通过其他方式来运行这些命令。
三、禁止使用控制台程序应用之禁用Xwindow服务
X Window是linux操作系统提供的类似Windows操作系统的一个图形化管理工具。X Window本身只提供创建借口的准则,例如打开新窗口、响应通过标准输入设备输入的数据,但是并不包含操作窗口的用户接口。这些功能则是由窗口管理程序来完成的。X Window与窗口管理程序两者一起架构起图形用户接口,并且能够按照用户的使用习惯来进行相关的配置,让系统管理员能够在便利的操作环境下部署linux操作系统。
X Window基本上可以划分为两个部分,X Server 和X Client,两者相互之间密切整合显示在用户面前。X Server会驱动显卡以负责屏幕上的各种图形显示,并负责驱动一些输入设备,让用户能够通过这些标准输入接口,达到和操作系统上应用程序之间的互动。而X Clinet则结合应用程序向X Server提出要求服务,运行后以窗口的形式显示在屏幕上。X Window的这种设计方法让linux操作系统的功能变得非常的强大。如通过相关的配置,系统管理员可以让X Server与X Client运行在不同的计算机上。如某些服务器,平时只需要通过网络对他们进行连接,那么可以在某台主机上运行他们的X Window应用程序,然后把结果返回到本机的画面上。而不需要开启X Window服务,从而让服务器上的CPU与内存资源得到充分的应用。
但是我发现现在很多系统管理员不习惯在纯命令行窗口部署相关的应用服务。如部署数据库系统或者文件服务器的时候,希望启动图形化管理窗口来进行配置。为此他们在安装linux操作系统的时候,会习惯性的安装X Window。虽然说X Window提供了类似微软操作系统的图形化界面。如KDE(X Window中的一种)有属于自己的窗口管理程序、文件管理员、网络工具程序、多媒体应用程序等等。其无论从外观上还是从功能上都可以同Windows操作系统相媲美。但是运行这个X Window图形化界面的话,会耗用系统不少的资源,会影响服务器的运行效率。同时也会对其安全留下隐患。对此笔者有两个建议。
0条评论