如何增强Linux和Unix服务器系统安全性

一、系统安全记录文件

操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet，您发现有很多人对您的系统做Telnet/FTP登录尝试，可以运行"#more /var/log/secure grep refused"来检查系统所受到的攻击，以便采取相应的对策，如使用SSH来替换Telnet/rlogin等。

二、启动和登录安全性

1．BIOS安全IXPUB

设置BIOS密码且修改引导次序禁止从软盘启动系统。

2．用户口令

用户口令是Linux安全的一个基本起点，很多人使用的用户口令过于简单，这等于给侵入者敞开了大门，虽然从理论上说，只要有足够的时间和资源可以利用，就没有不能破解的用户口令，但选取得当的口令是难于破解的。较好的用户口令是那些只有他自己容易记得并理解的一串字符，并且绝对不要在任何地方写出来。

3．默认账号

应该禁止所有默认的被操作系统本身启动的并且不必要的账号，当您第一次安装系统时就应该这么做，Linux提供了很多默认账号，而账号越多，系统就越容易受到攻击。

可以用下面的命令删除账号。

# userdel用户名

或者用以下的命令删除组用户账号。

# groupdel username

4．口令文件

chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

# chattr +i /etc/passwd

# chattr +i /etc/shadow

# chattr +i /etc/group

# chattr +i /etc/gshadow

5．禁止Ctrl+Alt+Delete重新启动机器命令

修改/etc/inittab文件，将"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注释掉。然后重新设置/etc/rcd/initd/目录下所有文件的许可权限，运行如下命令：

# chmod -R 700 /etc/rcd/initd/

这样便仅有root可以读、写或执行上述所有脚本文件。

6．限制su命令

如果您不想任何人能够su作为root，可以编辑/etc/pamd/su文件，增加如下两行：

auth sufficient /lib/security/pam_rootokso debug

auth required /lib/security/pam_wheelso group=isd

这时，仅isd组的用户可以su作为root。此后，如果您希望用户admin能够su作为root，可以运行如下命令：

# usermod -G10 admin

7．删减登录信息

默认情况下，登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rcd/rclocal将输出系统信息的如下行注释掉。

# This will overwrite /etc/issue at every boot So， make any changes you

# want to make to /etc/issue here or you will lose them when you reboot

# echo "" > /etc/issue

# echo "$R" >> /etc/issue

# echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue

# cp -f /etc/issue /etc/issuenet

# echo >> /etc/issue

然后，进行如下操作：

# rm -f /etc/issue

# rm -f /etc/issuenet

# touch /etc/issue

# touch /etc/issuenet

三、限制网络访问

1．NFS访问如果您使用NFS网络文件系统服务，应该确保您的/etc/exports具有最严格的访问权限设置，也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。

/dir/to/export host1mydomaincom(ro，root_squash)

/dir/to/export host2mydomaincom(ro，root_squash)

/dir/to/export 是您想输出的目录，hostmydomaincom是登录这个目录的机器名，ro意味着mount成只读系统，root_squash禁止root写入该目录。为了使改动生效，运行如下命令。

# /usr/sbin/exportfs -a　

2．Inetd设置

首先要确认/etc/inetdconf的所有者是root，且文件权限设置为600。设置完成后，可以使用"stat"命令进行检查。

# chmod 600 /etc/inetdconf

然后，编辑/etc/inetdconf禁止以下服务。

ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth

如果您安装了ssh/scp，也可以禁止掉Telnet/FTP。为了使改变生效，运行如下命令：

#killall -HUP inetd

默认情况下，多数Linux系统允许所有的请求，而用TCP_WRAPPERS增强系统安全性是举手之劳，您可以修改/etc/hostsdeny和/etc/hostsallow来增加访问限制。例如，将/etc/hostsdeny设为"ALL: ALL"可以默认拒绝所有访问。然后在/etc/hostsallow文件中添加允许的访问。例如，"sshd: 192168110/2552552550 gateopenarchcom"表示允许IP地址192168110和主机名gateopenarchcom允许通过SSH连接。

配置完成后，可以用tcpdchk检查:

# tcpdchk

tcpchk是TCP_Wrapper配置检查工具，它检查您的tcp wrapper配置并报告所有发现的潜在/存在的问题。

3．登录终端设置

/etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，您可以编辑/etc/securetty且注释掉如下的行。

# tty1

# tty2

# tty3

# tty4

# tty5

# tty6

这时，root仅可在tty1终端登录。

4．避免显示系统和版本信息。

如果您希望远程登录用户看不到系统和版本信息，可以通过一下操作改变/etc/inetdconf文件：

telnet stream tcp nowait root /usr/sbin/tcpd intelnetd -

加-h表示telnet不显示系统信息，而仅仅显示"login:"。

四、防止攻击

1．阻止ping 如果没人能ping通您的系统，安全性自然增加了。为此，可以在/etc/rcd/rclocal文件中增加如下一行：

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2．防止IP欺骗

编辑hostconf文件并增加如下几行来防止IP欺骗攻击。

order bind，hosts

multi off

nospoof on

3．防止DoS攻击

对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如，可以在/etc/security/limitsconf中添加如下几行：

hard core 0

hard rss 5000

hard nproc 20

然后必须编辑/etc/pamd/login文件检查下面一行是否存在。

session required /lib/security/pam_limitsso

上面的命令禁止调试文件，限制进程数为50并且限制内存使用为5MB。

需要安装安全证书。

第一步

先是要安装本公司的根证书，具体步骤如下：

首先要和信息部或者其他人员找到根证书安装文件，双击打开根证书文件，点击安装证书。

第二步

点击安装根证书以后会出现证书安装向导，要点击下一步。

如图：

第三步

请大家选择“将所有的证书放入下列存储区”这一选项，然后点击“浏览”按钮，在里面找到选择“受信任的根证书颁发机构”，然后选中它。

第四步

点击完成就结束根证书的安装。

扩展资料：

分类

按照体系架构来区分，服务器主要分为两类：

非x86服务器

非x86服务器：包括大型机、小型机和UNIX服务器，它们是使用RISC（精简指令集）或EPIC（并行指令代码）

服务器(9张)

处理器，并且主要采用UNIX和其它专用操作系统的服务器，精简指令集处理器主要有IBM公司的POWER和PowerPC处理器，SUN与富士通公司合作研发的SPARC处理器、EPIC处理器主要是Intel研发的安腾处理器等。

这种服务器价格昂贵，体系封闭，但是稳定性好，性能强，主要用在金融、电信等大型企业的核心系统中。

x86服务器

x86服务器：又称CISC（复杂指令集）架构服务器，即通常所讲的PC服务器，它是基于PC机体系结构，使用Intel或其它兼容x86指令集的处理器芯片和Windows操作系统的服务器。

价格便宜、兼容性好、稳定性较差、安全性不算太高，主要用在中小企业和非关键业务中。

按应用层次划分

按应用层次划分通常也称为“按服务器档次划分”或 “按网络规模”分，是服务器最为普遍的一种划分方法，它主要根据服务器在网络中应用的层次（或服务器的档次来）来划分的。

要注意的是这里所指的服务器档次并不是按服务器CPU主频高低来划分，而是依据整个服务器的综合性能，特别是所采用的一些服务器专用技术来衡量的。

按这种划分方法，服务器可分为：入门级服务器、工作组级服务器、部门级服务器、企业级服务器。

1、入门级服务器

这类服务器是最基础的一类服务器，也是最低档的服务器。

随着PC技术的日益提高，许多入门级服务器与PC机的配置差不多，所以也有部分人认为入门级服务器与“PC服务器”等同。这类服务器所包含的服务器特性并不是很多，通常只具备以下几方面特性：

1有一些基本硬件的冗余，如硬盘、电源、风扇等，但不是必须的；

2通常采用SCSI接口硬盘，也有采用SATA串行接口的；

3部分部件支持热插拔，如硬盘和内存等，这些也不是必须的；

4通常只有一个CPU，但不是绝对；

5内存容量最大支持16GB。

这类服务器主要采用Windows或者NetWare网络操作系统，可以充分满足办公室型的中小型网络用户的文件共享、数据处理、Internet接入及简单数据库应用的需求。

这种服务器与一般的PC机很相似，有很多小型公司干脆就用一台高性能的品牌PC机作为服务器，所以这种服务器无论在性能上，还是价格上都与一台高性能PC品牌机相差无几。

入门级服务器所连的终端比较有限（通常为20台左右），况且在稳定性、可扩展性以及容错冗余性能较差，仅适用于没有大型数据库数据交换、日常工作网络流量不大，无需长期不间断开机的小型企业。

不过要说明的一点就是目前有的比较大型的服务器开发、生产厂商在后面我们要讲的企业级服务器中也划分出几个档次，其中最低档的一个企业级服务器档次就是称之为"入门级企业级服务器"。

这里所讲的入门级并不是与我们上面所讲的"入门级"具有相同的含义，不过这种划分的还是比较少。

还有一点就是，这种服务器一般采用Intel的专用服务器CPU芯片，是基于Intel架构（俗称"IA结构"）的，当然这并不是一种硬性的标准规定，而是由于服务器的应用层次需要和价位的限制。

2、工作组服务器

工作组服务器是一个比入门级高一个层次的服务器，但仍属于低档服务器之类。

从这个名字也可以看出，它只能连接一个工作组（50台左右）那么多用户，网络规模较小，服务器的稳定性也不像下面我们要讲的企业级服务器那样高的应用环境，当然在其它性能方面的要求也相应要低一些。工作组服务器具有以下几方面的主要特点：

1通常仅支持单或双CPU结构的应用服务器（但也不是绝对的，特别是SUN的工作组服务器就有能支持多达4个处理器的工作组服务器，当然这类型的服务器价格方面也就有些不同了）。

2可支持大容量的ECC内存和增强服务器管理功能的SM总线。

3功能较全面、可管理性强，且易于维护。

4采用Intel服务器CPU和Windows/NetWare网络操作系统，但也有一部分是采用UNIX系列操作系统的。

5可以满足中小型网络用户的数据处理、文件共享、Internet接入及简单数据库应用的需求。

工作组服务器较入门级服务器来说性能有所提高，功能有所增强，有一定的可扩展性，但容错和冗余性能仍不完善、也不能满足大型数据库系统的应用，但价格也比前者贵许多，一般相当于2~3台高性能的PC品牌机总价。

3、部门级服务器

这类服务器是属于中档服务器之列，一般都是支持双CPU以上的对称处理器结构，具备比较完全的硬件配置，如磁盘阵列、存储托架等。

部门级服务器的最大特点就是，除了具有工作组服务器全部服务器特点外，还集成了大量的监测及管理电路，具有全面的服务器管理能力，可监测如温度、电压、风扇、机箱等状态参数，结合标准服务器管理软件，使管理人员及时了解服务器的工作状况。

同时，大多数部门级服务器具有优良的系统扩展性，能够满足用户在业务量迅速增大时能够及时在线升级系统，充分保护了用户的投资。

它是企业网络中分散的各基层数据采集单位与最高层的数据中心保持顺利连通的必要环节，一般为中型企业的首选，也可用于金融、邮电等行业。

部门级服务器一般采用IBM、SUN和HP各自开发的CPU芯片，这类芯片一般是RISC结构，所采用的操作系统一般是UNIX系列操作系统，LINUX也在部门级服务器中得到了广泛应用。

部门级服务器可连接100个左右的计算机用户、适用于对处理速度和系统可靠性高一些的中小型企业网络，其硬件配置相对较高，其可靠性比工作组级服务器要高一些，当然其价格也较高（通常为5台左右高性能PC机价格总和）。

由于这类服务器需要安装比较多的部件，所以机箱通常较大，采用机柜式的。

4、企业级服务器

企业级服务器是属于高档服务器行列，正因如此，能生产这种服务器的企业也不是很多，但同样因没有行业标准硬件规定企业级服务器需达到什么水平，所以也看到了许多本不具备开发、生产企业级服务器水平的企业声称自己有了企业级服务器。

企业级服务器最起码是采用4个以上CPU的对称处理器结构，有的高达几十个。

另外一般还具有独立的双PCI通道和内存扩展板设计，具有高内存带宽、大容量热插拔硬盘和热插拔电源、超强的数据处理能力和群集性能等。

这种企业级服务器的机箱就更大了，一般为机柜式的，有的还由几个机柜来组成，像大型机一样。企业级服务器产品除了具有部门级服务器全部服务器特性外。

最大的特点就是它还具有高度的容错能力、优良的扩展性能、故障预报警功能、在线诊断和RAM、PCI、CPU等具有热插拔性能。有的企业级服务器还引入了大型计算机的许多优良特性。

这类服务器所采用的芯片也都是几大服务器开发、生产厂商自己开发的独有CPU芯片，所采用的操作系统一般也是UNIX（Solaris）或LINUX。

企业级服务器适合运行在需要处理大量数据、高处理速度和对可靠性要求极高的金融、证券、交通、邮电、通信或大型企业。

企业级服务器用于联网计算机在数百台以上、对处理速度和数据安全要求非常高的大型网络。企业级服务器的硬件配置最高，系统可靠性也最强。

服务器中配置固态硬盘已经是一个普遍的选择，特别是如果只有很小比例的服务器存在性能问题的话尤其如此。固态硬盘可以帮助用户解决服务器性能的瓶颈。

固态硬盘也可以让高速存储更加的接近处理器并将共享存储网络这个潜在的瓶颈剔除掉。目前有三种固态硬盘的形式作为达标：即硬盘驱动型SSD，SSD DIMM和PCIs SSD。

5、典型服务器应用

办公OA服务器

ERP服务器

WEB服务器

数据库服务器

财务服务器

邮件服务器

打印服务器

集群服务器

无盘办公系统

无盘网吧服务器

无盘教学系统

视频监控服务器

流媒体服务器

VOD视频点播服务器

网络下载

SP服务

网络教学服务器

IDC-主机出租

IDC-虚拟空间

IDC-网游

IDC-主机托管

游戏服务器

高性能计算(HPC)

桌面超算

论坛服务器

参考资料：