Linux服务器安全防护部署
Linux operating system is an operating system with open source code, its excellent stability, safety, strong load capacity, compared to the Windows operating system has more advantages. But does not represent a safety problem does not exist in the Linux system, Linux system after the installation is complete, must carry out the necessary configuration, to enhance the security of Linux server, and decrease the possibility of the system to be attacked, increase the stability of the system. Keywords Linux The server Safety The firewall System optimiza-tion 1 用户权限配置
1)屏蔽、删除被操作系统本身启动的不必要的用户和用户组。Linux提供了很多默认的用户和用户组,而用户越多,系统就越容易受到利用和攻击,因此删除不必要的用户和用户组可提高系统的安全性。
命令:userdel 用户名 groupdel 用户组名
2)用户口令应使用字母、数字、特殊符号的无规则组合,绝对不要单独使用英语单子或词组,必须保证在密码中存在至少
一个特殊符号和一个数字。强制要求系统中非root用户密码最大使用天数为60天、长度不能小于8位。 命令:vi /etc/login.defs PASS_MAX_DAYS 60 PASS_MIN_LENGTH 8
3)root用户如果忘记注销就离开服务器会很危险,所以强制要求root用户在一定时间内没有操作则自动注销root 用户。
命令:vi /etc/profile TMOUT=300
4)检查系统中是否存在空密码的用户,空密码很容易使服务器用户被盗,建议在检查出空密码用户后,排查是否为正常用户,正常用户强制修改密码,非正常用户直接删除。 命令:gawk -F ‘:’ '($2 == “”) {print $1}’ /etc/shadow
5)检查系统中是否存在除root之外的特权用户,在Linux系统中建议只有root一个特权用户,非root的特权用户,根据实际情况,通过降权或删除方式来保证系统的安全性。 命令:gawk -F ‘:’ '($3 == “0” && $1 != “root”) {print $1}’ /etc/passwd
6) 检查root用户的环境变量设置中是否存在 ‘.’路径,防止root用户运行非指定的命令,导致木马病毒程序攻击。删
除在$PATH中设置的‘.’路径。 命令:echo $PATH 2 系统服务配置
Linux系统服务是指执行指定系统功能的程序,是Linux系统不可缺少的组成部分。但不是系统服务都需要开启,为减少系统资源占用,增加系统性能,减少系统的安全隐患,开启系统服务应使用最小最新原则,即非必要服务不开启,如必须开启服务则一定使用服务的最新版本。下边简要介绍Linux系统中可以关闭的系统服务。
1)acpid是进阶电源管理接口,可以监听来自核心层的电源相关时间而予以回应,在预定义时间内无操作,可以进入节电休眠状态,支持的通用操作有电源开关、电池监视、笔记本开关、笔记本显示屏亮度、休眠、挂机等等。Linux服务器通常都是7*24运行,访问操作随时发生,节电休眠状态会影响整体系统的反映速度和性能,建议关闭。
2)anacron与循环型的工作任务 cron 有关,可在任务过期后还可以唤醒来继续执行,配置文件在 /etc/anacrontab,可以通过atd和crond来代替,可通过关闭此服务来减少对系统资源的占用,建议关闭。
3)apmd是基于BOIS的高级电源管理服务,可检测电池电量,当电池电量不足时,可以自动关机以保护电脑主机。在机房的服务器不存在电量不足的情况,并且其部分功能已被acpi代
替,可通过关闭此服务来减少对系统资源的占用,建议关闭。 4)arptables_jf为arptables网络的用户控制过滤的守护进程,arptables处理arp协议有关包,这些包在iptables中不会处理,一般在服务器外围都会有硬件防火墙,所以此服务的作用不大,可通过关闭此服务来减少对系统资源的占用,建议关闭。
5)arpwatch记录日志并构建一个在LAN接口上看到的以太网地址和IP地址对数据库,配合arptables使用,一般在服务器外围都会有硬件防火墙,所以此服务的作用不大,可通过关闭此服务来减少对系统资源的占用,建议关闭。 6)atd单一的计划工作任务,可以通过crond来代替,通过关闭此服务来减少对系统资源的占用,建议关闭。
7)avahi-daemon、avahi-dnsconfd是 zeroconf 协议的实现。它可以在没有 DNS 服务的局域网里发现基于 zeroconf 协议的设备和服务,非局域网内部服务器建议关闭,来减少系统资源占用。
8)bluetooth蓝牙是给无线便携设备使用的(非 wifi, 802.11),服务器上不会使用,建议关闭。
9)conman管理远程桌面连接的程序,为安全性考虑,建议关闭。
10)cpuspeed用来管理 CPU 的频率功能,在低负载情况下降低CPU频率来节省电量、降低CPU风扇转速,服务器上建议关
闭,减少在CPU频率转换时带来的性能损失。
11)cups系统打印服务,当系统不需为网络提供打印服务时,请关闭系统打印服务。如果必须开启打印服务,请保证cups升级到最新版本,并且运行在非root用户和用户组上。 12)dhcpd、dhcpd6是DHCP服务器,当系统不需为网络提供DHCP服务时,请关闭此服务。如果必须开启DHCP服务,请保证dhcpd升级到最新版本。
13)dnsmasq是一个DNS服务工具,它可以应用在内部网和Internet连接的时候的IP地址NAT转换,也可以用做小型网络的DNS服务,如不需要单独建立DNS服务,建议关闭。 14)ebtables以太网桥防火墙,如服务器作为网桥使用,并需要在数据链路层对封包进行过滤,则开启此服务,否则建议关闭。
15)edac检测ECC内存错误,开需要检测ECC内存时可以开启此服务,正常运行时建议关闭此服务以提高性能。 16)fcoe、fcoe-target让企业用户可以利用它们的以太网将现有服务器与光纤通道SANs连接在一起,而且无需受限于某特定厂商的技术,建议关闭。
17)firstboot是在安装之后的第一次启动时仅需要执行一次的特定任务。系统安装完毕后,此服务不会自动关闭,需手动完成。
18)ip6tables是IPv6 的软件防火墙,在不使用IPv6的网
Linux服务器安全防护部署-精选文档
