Linux服务器的安全防护都有哪些措施
一、强化密码强度
只要涉及到登录,就需要用到密码,如果密码设定不恰当,就很容易被黑客破解,如果是超级管理员(root)用户,如果没有设立良好的密码机制,可能给系统造成无法挽回的后果。
很多用户喜欢用自己的生日、姓名、英文名等信息来设定,这些方式可以通过字典或者社会工程的手段去破解,因此建议用户在设定密码时,尽量使用非字典中出现的组合字符,且采用数字与字符、大小写相结合的密码,增加密码被破译的难度。
二、登录用户管理
进入Linux系统前,都是需要登录的,只有通过系统验证后,才能进入Linux操作系统,而Linux一般将密码加密后,存放在/etc/passwd文件中,那么所有用户都可以读取此文件,虽然其中保存的密码已加密,但安全系数仍不高,因此可以设定影子文件/etc/shadow,只允许有特殊权限的用户操作。
三、账户安全等级管理
在Linux操作系统上,每个账户可以被赋予不同的权限,因此在建立一个新用户ID时,系统管理员应根据需要赋予该账号不同的权限,且归并到不同的用户组中。每个账号ID应有专人负责,在企业中,如果负责某个ID的员工离职,该立即从系统中删除该账号。
四、谨慎使用"r"系列远程程序管理
在Linux操作系统中,有一系列r开头的公用程序,如rlogin、rcp等,非常容易被不法分子用来攻击我们的系统,因此千万不要将root账号开放给这些公用程序,现如今很多安全工具都是针对此漏洞而设计的,比如PAM工具,就可以将其有效地禁止掉。
五、root用户权限管理
root可谓是Linux重点保护对象,因为其权利是最高的,因此千万不要将它授权出去,但有些程序的安装、维护必须要求是超级用户权限,在此情况下,可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。
六、综合防御管理
防火墙、IDS等防护技术已成功应用到网络安全的各个领域,且都有非常成熟的产品,需要注意的是:在大多数情况下,需要综合使用这两项技术,因为防火墙相当于安全防护的第一层,它仅仅通过简单地比较IP地址/端口对来过滤网络流量,而IDS更加具体,它需要通过具体的数据包(部分或者全部)来过滤网络流量,是安全防护的第二层。综合使用它们,能够做到互补,并且发挥各自的优势,最终实现综合防御。
主要有下面几方面:
1、禁用root用户并配置相应权限
2、指定一个账户可以SSH,禁用其他用户ssh登录
3、启用IPTASBLE
4、安装相应监控软件(具体百度)
5、对web目录设置可写权限
LINUX下使用SMTP安全手册—Qmail安全?
Qmail有一个名为rcpthosts(该文件名源于RCPTTO命令)的配置文件,其决定了是否接受一个邮件。只有当一个RCPTTO命令中的接收者地址的域名存在于rcpthosts文件中时,才接受该邮件,否则就拒绝该邮件。若该文件不存在,则所有的邮件将被接受。当一个邮件服务器不管邮件接收者和邮件接收者是谁,而是对所有邮件进行转发(relay),则该邮件服务器就被称为开放转发(openrelay)的。当qmail服务器没有rcpthosts时,其是开放转发的。
设置自己服务器为非openrelay的最简单的办法就是将你的邮件服务器的所有域名(若DNS的MX记录指向该机器,也应该包括该域名。例如你的机器有三个域名maillinxuaidcomcn、mail1linuxaidcomcn,而且linuxaidcomcn的MX指向maillinuxaidcomcn,则qmail的rcphosts的应该包括maillinuxaidcomcn、mail1linuxaidcomcn和linuxaidcomcn)。
但是这将导致你的本地客户也被拒绝使用你的服务器转发邮件,而要支持客户使用MUA来发送邮件,必须允许客户使用服务器转发邮件。qmail-smtpd支持一种有选择性的忽略rcpthosts文件的方法:若qmail-smtpd的环境变量RELAYCLIENT被设置,则rcpthost文件将被忽略,relay将被允许。但是如何识别一个邮件发送者是否是自己的客户呢?qmail并没有采用密码认证的方法,而是判断发送邮件者的源IP地址,若该IP地址属于本地网络,则认为该发送者为自己的客户。
这里就要使用ucspi-tcp软件包。在这里我们要使用该软件包的tcpserver程序。该程序的功能类似于inetd-监听进入的连接请求,为要启动的服务设置各种环境变量,然后启动指定的服务。
tcpserver的配置文件是/etc/tcpsmtp,该文件定义了是否对某个网络设置RELAYCLIENT环境变量。例如,本地网络是地址为192168100/24的C类地址,则tcpsmtp的内容应该设置如下:127001:allow,RELAYCLIENT=""19216810:allow,RELAYCLIENT="":allow
这几个规则的含义是指若连接来自127001和19216810则允许,并且为其设置环境变量RELAYCLIENT,否则允许其他连接,但是不设置RELAYCLIENT环境变量。这样当从其他地方到本地的25号连接将会被允许,但是由于没有被设置环境变量,所以其连接将会被qmail-smptd所拒绝。
但是tcopserver并不直接使用/etc/tcpsmtp文件,而是需要先将该文件转化为cbd文件:
___FCKpd___1nbsp;#tcprulestcpsmtpcdbtcpsmtptemp
然后再回头看在/service/qmail-smtpd目录下的run文件中有
/usr/local/bin/tcpserver-v-p-x/etc/tcpsmtpcdb
可以看到,tcpserver利用了/etc/smtpcbd文件。若本地有多个网络,则需要这些网络都出现在/etc/tcpsmtp文件中。
这样就实现了允许本地客户relay邮件,而防止relay被滥用。
linux中/etc/passwd与/etc/shadow文件权限设置多少最安全?
默认的设置就可以,尽量不要修改。/etc/passwd文件存放用户的宿主目录、shell环境等资料,用户必须有权限查看,所以不能设置为700。而/etc/shadow文件的默认权限一般是400,比你的700更安全。
linux中覆盖程序的命令?
以下是linux覆盖程序命令的详细说明:
一、使用unaliascp命令解除对cp的别名(仅本次终端连接会话临时取消),我们先输入alias命令,查看系统内部已经设置的别名
复制代码代码如下:
#alias
aliascp=cp-i
aliasl=ls-d--color=tty
aliasll=ls-l--color=tty
aliasls=ls--color=tty
aliasmv=mv-i
aliasrm=rm-i
aliaswhich=alias|/usr/bin/which--tty-only--read-alias--show-dot--show-tilde
输入unaliascp命令,取消cp命令的别名
复制代码代码如下:
#unaliascp
#cpfilenamenew/filename
#
使用unaliascp命令后,即可使用cpfilenamenew/filename就不会提示输入yes或no了,是不是很方便
二、直接输入cp命令,作用也是取消cp的别名
复制代码代码如下:
#cpfilenamenew/filename
#
是不是比上一个方法更省事
三、使用管道的方式,自动输入yes
复制代码代码如下:
#yes|cpfilenamenew/filename
cp:overwrite`new/filename#
自己替我们输入了yes
0条评论