资讯专栏INFORMATION COLUMN

Linux下常用安全策略设置的六个方法

Godtoy / 2979人阅读

摘要:安全第一对于管理界乃至计算机也都是一个首要考虑的问题。如果没有人能通机器并收到响应,那么就可以大大增强服务器的安全性,下可以执行如下设置,禁止请求默认情况下的值为,表示响应操作。接着设置不允许登录的机器,也就是配置文件了。

“安全第一”对于linux管理界乃至计算机也都是一个首要考虑的问题。加密的安全性依赖于密码本身而非算法!而且,此处说到的安全是指数据的完整性,由此,数据的认证安全和完整性高于数据的私密安全,也就是说数据发送者的不确定性以及数据的完整性得不到保证的话,数据的私密性当无从谈起!

禁止系统响应任何从外部/内部来的ping请求攻击者一般首先通过ping命令检测此主机或者IP是否处于活动状态 ,如果能够ping通 某个主机或者IP,那么攻击者就认为此系统处于活动状态,继而进行攻击或破坏。如果没有人能ping通机器并收到响应,那么就可以大大增强服务器的安全性,linux下可以执行如下设置,禁止ping请求:

  [root@localhost ~]#echo “1”> /proc/sys/net/ipv4/icmp_echo_ignore_all默认情况下“icmp_echo_ignore_all”的值为“0”,表示响应ping操作。

  可以加上面的一行命令到/etc/rc.d/rc.local文件中,以使每次系统重启后自动运行。

2.禁止Control-Alt-Delete组合键重启系统

  在linux的默认设置下,同时按下Control-Alt-Delete键,系统将自动重启,这是很不安全的,因此要禁止Control-Alt-Delete组合键重启系统,只需修改/etc/inittab文件:

  代码如下:

  [root@localhost ~]#vi /etc/inittab

  找到此行:ca::ctrlaltdel:/sbin/shutdown -t3 -r now在之前加上“#”

  然后执行:

  代码如下:

  [root@localhost ~]#telinit q

3.限制Shell记录历史命令大小

  默认情况下,bash shell会在文件$HOME/.bash_history中存放多达1000条命令记录(根据系统不同,默认记录条数不同)。系统中每个用户的主目录下都有一个这样的文件。

  这么多的历史命令记录,肯定是不安全的,因此必须限制该文件的大小。

  可以编辑/etc/profile文件,修改其中的选项如下:

  HISTSIZE=30

  表示在文件$HOME/.bash_history中记录最近的30条历史命令。如果将“HISTSIZE”设置为0,则表示不记录历史命令,那么也就不能用键盘的上下键查找历史命令了。

 4.删除系统默认的不必要用户和组

  Linux提供了各种系统账户,在系统安装完毕,如果不需要某些用户或者组,就要立即删除它,因为账户越多,系统就越不安全,越容易受到攻击。

  删除系统不必要的用户用下面命令

  代码如下:

  [root@localhost ~]# userdel username

  删除系统不必要的组用如下命令:

  代码如下:

  [root@localhost ~]# groupdel groupname

  Linux系统中可以删除的默认用户和组有:

  删除的用户,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。

  删除的组,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。

关闭selinux

  SELinux是 Security-Enhanced Linux的简称,是一种内核强制访问控制安全系统,目前SELinux已经集成到Linux 2.6内核的主线和大多数Linux发行版上,由于SELinux与现有Linux应用程序和Linux内核模块兼容性还存在一些问题,因此建议初学者先关闭selinux,等到对linux有了深入的认识后,再对selinux深入研究不迟!

  查看linux系统selinux是否启用,可以使用getenforce命令:

  代码如下:

  [root@localhost ~]# getenforce

  Disabled

  关闭selinux,在redhat系列发行版中,可以直接修改如下文件:

  代码如下:

  [root@localhost ~]#vi /etc/sysconfig/selinux# This file controls the state of SELinux on the system.

  # SELINUX= can take one of these three values:

  # enforcing - SELinux security policy is enforced.

  # permissive - SELinux prints warnings instead of enforcing.

  # disabled - SELinux is fully disabled.

  SELINUX=enforcing

  # SELINUXTYPE= type of policy in use. Possible values are:

  # targeted - Only targeted network daemons are protected.

  # strict - Full SELinux protection.

  SELINUXTYPE=targeted

  将SELINUX=enforcing修改为SELINUX=disabled, 重启系统后将会停止SElinux。

6.设定tcp_wrappers防火墙

  Tcp_Wrappers是一个用来分析TCP/IP封包的软件,类似的IP封包软件还有iptables,linux默认都安装了此软件,作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护,iptables防火墙通过直观地监视系统的运行状况,阻挡网络中的一些恶意攻击,保护整个系统正常运行,免遭攻击和破坏。关于iptables的实现,将在下个章节详细讲述。如果通过了第一层防护,那么下一层防护就是tcp_wrappers了,通过Tcp_Wrappers可以实现对系统中提供的某些服务的开放与关闭、允许和禁止,从而更有效地保证系统安全运行。

  Tcp_Wrappers的使用很简单,仅仅两个配置文件:/etc/hosts.allow和/etc/hosts.deny(1) 查看系统是否安装了Tcp_Wrappers

  [root@localhost ~]#rpm -q tcp_wrappers 或者[root@localhost ~]#rpm -qa | grep tcp

  tcp_wrappers-7.6-37.2

  tcpdump-3.8.2-10.RHEL4

  如果有上面的类似输出,表示系统已经安装了tcp_wrappers模块。如果没有显示,可能是没有安装,可以从linux系统安装盘找到对应RPM包进行安装。

  (2)tcp_wrappers防火墙的局限性

  系统中的某个服务是否可以使用tcp_wrappers防火墙,取决于该服务是否应用了libwrapped库文件,如果应用了就可以使用tcp_wrappers防火墙,系统中默认的一些服务如:sshd、portmap、sendmail、xinetd、vsftpd、tcpd等都可以使用tcp_wrappers防火墙。

  (3) tcp_wrappers设定的规则

  tcp_wrappers防火墙的实现是通过/etc/hosts.allow和/etc/hosts.deny两个文件来完成的,首先看一下设定的格式:

  service:host(s) [:action]

  l service:代表服务名,例如sshd、vsftpd、sendmail等。

  l host(s):主机名或者IP地址,可以有多个,例如192.168.60.0、www.ixdba.netl action:动作, 符合条件后所采取的动作。

  几个关键字:

  l ALL:所有服务或者所有IP。

  l ALL EXCEPT:所有的服务或者所有IP除去指定的。

  例如:ALL:ALL EXCEPT 192.168.60.132

  表示除了192.168.60.132这台机器,任何机器执行所有服务时或被允许或被拒绝。

  了解了设定语法后,下面就可以对服务进行访问限定。

  例如互联网上一台linux服务器,实现的目标是:仅仅允许222.90.66.4、61.185.224.66以及域名softpark.com通过SSH服务远程登录到系统,设置如下:

  首先设定允许登录的计算机,即配置/etc/hosts.allow文件,设置很简单,只要修改/etc/hosts.allow(如果没有此文件,请自行建立)这个文件即可。

  只需将下面规则加入/etc/hosts.allow即可。

  sshd: 222.90.66.4 61.185.224.66 softpark.com接着设置不允许登录的机器,也就是配置/etc/hosts.deny文件了。

  一般情况下,linux会首先判断/etc/hosts.allow这个文件,如果远程登录的计算机满足文件/etc/hosts.allow设定的话,就不会去使用/etc/hosts.deny文件了,相反,如果不满足hosts.allow文件设定的规则的话,就会去使用hosts.deny文件了,如果满足hosts.deny的规则,此主机就被限制为不可访问linux服务器,如果也不满足hosts.deny的设定,此主机默认是可以访问linux服务器的,因此,当设定好/etc/hosts.allow文件访问规则之后,只需设置/etc/hosts.deny为“所有计算机都不能登录状态”即可。

  sshd:ALL

  这样,一个简单的tcp_wrappers防火墙就设置完毕了。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/9924.html

相关文章

  • 在零信任世界中提高AWS安全六个最佳实践

    摘要:在零信任世界中,六种提高安全性的最佳做法在亚马逊网络服务公司,报告称,年第三季度的收入为亿美元,年前三个财政季度的收入为亿美元。在零信任世界中增加对的安全性被盗的特权访问凭据是当今违规的主要原因。在零信任世界中,六种提高AWS安全性的最佳做法在亚马逊网络服务公司(Amazon Web Services,AWS)报告称,2018年第三季度的收入为66亿美元,2018年前三个财政季度的收入为18...

    BenCHou 评论0 收藏0
  • COVID-19 将加速云计算六个原因

    摘要:当经济复苏时,招聘将再次成为关键战场,特别是对年轻求职者来说,不是大量使用云计算的公司将变得不那么有吸引力。 Nutanix副总裁兼销售首席运营官Andrew Brinded表示,云计算为我们所处的时代提供了一种可行的部署模式,其影响必将不断扩大。1991年,著名的科技记者斯图尔特·奥尔索普(Stewart Alsop)做出了一个著名的错误预测。我预测最后一台主机将在1996年3月15日...

    苏丹 评论0 收藏0
  • 提高 Python 运行效率六个窍门

    摘要:使用或机器语言的外部功能包处理时间敏感任务,可以有效提高应用的运行效率。关键在于,优化循环方案是提高应用程序运行速度的上佳选择。此外,关于交叉编译是否为提高运行效率的最佳方法还存在讨论的空间。在使用交叉编译器时,记得确保它支持你所用的版本。 Python 是一门优秀的语言,它能让你在短时间内通过极少量代码就能完成许多操作。不仅如此,它还轻松支持多任务处理,比如多进程。 不喜欢 Pyt...

    huhud 评论0 收藏0
  • 多云管理工具:组织可能需要的6个功能

    摘要:在评估云计算管理平台时,组织的决策者应确保具备有用的关键功能,并确保满足组织的特定要求。有效的多云管理工具应提供编排功能,以实现管理流程的自动化,并促进云计算资源的配置或取消配置。在评估云计算管理平台时,组织的IT决策者应确保具备有用的关键功能,并确保满足组织的特定要求。与以往相比,IT团队正在使用多个云计算平台来满足存储需求。但是,多云环境的管理可能会令人生畏,尤其是当应用程序变得更加复杂...

    Winer 评论0 收藏0
  • 托管还是重建 企业如何用好公有云?

    摘要:许多人认为数字化转型是提高竞争力的关键,也是保持快速变化的商业环境的必要条件,对于许多企业来说,云计算对于其业务的成功至关重要。每个企业的云计算战略都是独一无二的,而遵循相同的原则,企业的云迁移之旅都将获得业务的发展机会。数字化转型继续为企业的业务发展创造机会。由于英国脱欧的不确定性,英国很多企业正在考虑实施数字化转型计划,以确保业务持续增长。许多人认为数字化转型是提高竞争力的关键,也是保持...

    kid143 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<