种类Unix
操作系统
从理论上讲
Unix本身设计并没有什么重大安全缺陷多年来绝大多数在Unix操作系统上发现安全问题主要存在于个别
中所以大部分Unix厂商都声称有能力解决这些问题提供安全Unix操作系统但Linux有些区别
它不属于某家厂商没有厂商宣称对它提供安全保证因此用户只有自己解决安全问题Linux不论在功能上、价格上或性能上都有很多优点然而作为开放式操作系统它不可避免地存在些安全隐患有关如何解决这些隐患为应用提供个安全操作平台本文会告诉你些最基本、最常用同时也是最有效招数 Linux是
个开放式系统可以在网络上找到许多现成和工具这既方便了用户也方便了黑客他们也能很容易地找到和工具来潜入Linux系统或者盗取Linux系统上重要信息不过只要我们仔细地设定Linux各种系统功能并且加上必要安全措施就能让黑客们无机可乘 般来说对Linux系统安全设定包括取消不必要服务、限制远程存取、隐藏重要资料、修补安全漏洞、采用安全工具以及经常性安全检查等本文教你十种提高Linux系统安全性招数虽然招数不大但招招奏效你不妨试 第1招:取消不必要
服务 早期
Unix版本中每个区别网络服务都有个服务在后台运行后来版本用统/etc/inetd服务器担此重任Inetd是Internetdaemon缩写它同时监视多个网络端口旦接收到外界传来连接信息就执行相应TCP或UDP网络服务 由于受inetd
统指挥因此Linux中大部分TCP或UDP服务都是在/etc/inetd.conf文件中设定所以取消不必要服务第步就是检查/etc/inetd.conf文件在不要服务前加上“#”号 般来说除了http、smtp、telnet和ftp的外其他服务都应该取消诸如简单文件传输协议tftp、网络邮件存储及接收所用imap/ipop传输协议、寻找和搜索资料用gopher以及用于时间同步daytime和time等 还有
些报告系统状态服务如finger、efinger、systat和netstat等虽然对系统查错和寻找用户非常有用但也给黑客提供了方便的门例如黑客可以利用finger服务查找用户电话、使用目录以及其他重要信息因此很多Linux系统将这些服务全部取消或部分取消以增强系统安全性 Inetd除了利用/etc/inetd.conf设置系统服务项的外
还利用/etc/services文件查找各项服务所使用端口因此用户必须仔细检查该文件中各端口设定以免有安全上漏洞 在Linux中有两种区别
服务型态:种是仅在有需要时才执行服务如finger服务;另种是直在执行永不停顿服务这类服务在系统启动时就开始执行因此不能靠修改inetd来停止其服务而只能从修改/etc/rc.d/rc[n].d/文件或用Run level editor去修改它
提供文件服务NFS服务器和提供NNTP新闻服务
s都属于这类服务如果没有必要最好取消这些服务 第2招:限制系统
出入 在进入Linux系统的前
所有用户都需要登录也就是说用户需要输入用户账号和密码只有它们通过系统验证的后用户才能进入系统 和其他Unix操作系统
样Linux般将密码加密的后存放在/etc/passwd文件中Linux系统上所有用户都可以读到/etc/passwd文件虽然文件中保存密码已经经过加密但仍然不太安全般用户可以利用现成密码破译工具以穷举法猜测出密码比较安全思路方法是设定影子文件/etc/shadow只允许有特殊权限用户阅读该文件 在Linux系统中
如果要采用影子文件必须将所有公用重新编译才能支持影子文件这种思路方法比较麻烦比较简便思路方法是采用插入式验证模块(PAM)很多Linux系统都带有Linux工具PAM它是种身份验证机制可以用来动态地改变身份验证思路方法和要求而不要求重新编译其他公用这是PAM采用封闭包方式将所有和身份验证有关逻辑全部隐藏在模块内因此它是采用影子档案最佳帮手 此外
PAM还有很多安全功能:它可以将传统DES加密思路方法改写为其他功能更强加密思路方法以确保用户密码不会轻易地遭人破译;它可以设定每个用户使用电脑资源上限;它甚至可以设定用户上机时间和地点 Linux系统管理人员只需花费几小时去安装和设定PAM
就能大大提高Linux系统安全性把很多攻击阻挡在系统的外 第3招:保持最新
系统核心 由于Linux流通渠道很多
而且经常有更新和系统补丁出现因此为了加强系统安全定要经常更新系统内核 Kernel是Linux操作系统
核心它常驻内存用于加载操作系统其他部分并实现操作系统基本功能由于Kernel控制计算机和网络各种功能因此它安全性对整个系统安全至关重要 早期
Kernel版本存在许多众所周知安全漏洞而且也不太稳定只有2.0.x以上版本才比较稳定和安全新版本运行效率也有很大改观在设定Kernel功能时只选择必要功能千万不要所有功能照单全收否则会使Kernel变得很大既占用系统资源也给黑客留下可乘的机 在Internet上常常有最新
安全修补Linux系统管理员应该消息灵通经常光顾安全新闻组查阅新修补 第4招:检查登录密码
设定登录密码是
项非常重要安全措施如果用户密码设定不合适就很容易被破译尤其是拥有超级用户使用权限用户如果没有良好密码将给系统造成很大安全漏洞 在多用户系统中
如果强迫每个用户选择不易猜出密码将大大提高系统安全性但如果passwd无法强迫每个上机用户使用恰当密码要确保密码安全度就只能依靠密码破解了 实际上
密码破解是黑客工具箱中种工具它将常用密码或者是英文字典中所有可能用来作密码字都用加密成密码字然后将其和Linux系统/etc/passwd密码文件或/etc/shadow影子文件相比较如果发现有吻合密码就可以求得明码了 在网络上可以找到很多密码破解
比较有名是crack用户可以自己先执行密码破解找出容易被黑客破解密码先行改正总比被黑客破解要有利 ?招:设定用户账号
安全等级 除密码的外
用户账号也有安全等级这是在Linux上每个账号可以被赋予区别权限因此在建立个新用户ID时系统管理员应该根据需要赋予该账号区别权限并且归并到区别用户组中 在Linux系统上
tcpd中可以设定允许上机和不允许上机人员名单其中允许上机人员名单在/etc/hosts.allow中设置不允许上机人员名单在/etc/hosts.deny中设置设置完成的后需要重新启动inetd才会生效此外Linux将自动把允许进入或不允许进入结果记录到/rar/log/secure文件中系统管理员可以据此查出可疑进入记录 每个账号ID应该有专人负责
在企业中如果负责某个ID职员离职管理员应立即从系统中删除该账号很多入侵事件都是借用了那些很久不用账号 在用户账号的中
黑客最喜欢具有root权限账号这种超级用户有权修改或删除各种系统设置可以在系统中畅行无阻因此在给任何账号赋予root权限的前都必须仔细考虑 Linux系统中
/etc/securetty文件包含了组能够以root账号登录终端机名称例如在RedHatLinux系统中该文件
值仅允许本地虚拟控制台(rtys)以root权限登录而不允许远程用户以root权限登录最好不要修改该文件如果定要从远程登录为root权限最好是先以普通账号登录然后利用su命令升级为超级用户 第6招:消除黑客犯罪
温床 在Unix系统中
有系列r字头公用它们是黑客用以入侵武器非常危险因此绝对不要将root账号开放给这些公用由于这些公用都是用.rhosts文件或者hosts.equiv文件核准进入因此定要确保root账号不包括在这些文件的内 由于r字头指令是黑客们
温床因此很多安全工具都是针对这安全漏洞而设计例如PAM工具就可以用来将r字头公用功力废掉它在/etc/pam.d/rlogin文件中加上登录必须先核准指令使整个系统用户都不能使用自己home目录下.rhosts文件 第7招:增强安全防护工具
SSH是安全套接层
简称它是可以安全地用来取代rlogin、rsh和rcp等公用套组SSH采用公开密钥技术对网络上两台主机的间通信信息加密并且用其密钥充当身份验证工具 由于SSH将网络上
信息加密因此它可以用来安全地登录到远程主机上并且在两台主机的间安全地传送信息实际上SSH不仅可以保障Linux主机的间安全通信Windows用户也可以通过SSH安全地连接到Linux服务器上 第8招:限制超级用户
权力 我们在前面提到
root是Linux保护重点由于它权力无限因此最好不要轻易将超级用户授权出去但是有些安装和维护工作必须要求有超级用户权限在这种情况下可以利用其他工具让这类用户有部分超级用户权限Sudo就是这样工具 Sudo
允许般用户经过组态设定后以用户自己密码再登录次取得超级用户权限但只能执行有限几个指令例如应用sudo后可以让管理磁带备份管理人员每天按时登录到系统中取得超级用户权限去执行文档备份工作但却没有特权去作其他只有超级用户才能作工作 Sudo不但限制了用户
权限而且还将每次使用sudo所执行指令记录下来不管该指令执行是成功还是失败在大型企业中有时候有许多人同时管理Linux系统各个区别部分每个管理人员都有用sudo授权给某些用户超级用户权限能力从sudo日志中可以追踪到谁做耸裁匆约案亩 了系统
哪些部分 ? 值得注意
是sudo并不能限制所有用户行为尤其是当某些简单指令没有设置限定时就有可能被黑客滥用例如般用来显示文件内容/etc/cat指令如果有了超级用户权限黑客就可以用它修改或删除些重要文件 第9招:追踪黑客
踪迹 当你仔细设定了各种和Linux相关
组态并且安装了必要安全防护工具的后Linux操作系统安全性确大为提高但是却并不能保证防止那些艺高人胆大网络黑客入侵 在平时网络管理人员要经常提高警惕随时注意各种可疑状况并且按时检查各种系统日志文件包括般信息日志、网络连接日志、文件传输日志以及用户登录日志等在检查这些日志时要注意是否有不合常理时间记载例如: ·正常用户在半夜 3更登录;
·不正常
日志记录比如日志只记录了半就切断了或者整个日志文件被删除了; ·用户从陌生
网址进入系统; ·因密码
或用户账号被摈弃在外日志记录尤其是那些再连续尝试进入失败但却有定模式试错法; ·非法使用或不正当使用超级用户权限su
指令; ·重新开机或重新启动各项服务
记录 第10招:共同防御
确保安全 从计算机安全
角度看世界上没有绝对密不透风、百分的百安全计算机系统Linux系统也不例外采用以上安全守则虽然可以使Linux系统安全性大大提高使顺手牵羊型黑客和电脑玩家不能轻易闯入但却不定能阻挡那些身怀绝技武林高手因此企业用户还需要借助防火墙等其他安全工具共同防御黑客入侵才能确保系统万无失
最新评论