专栏首页小狼的世界20个Linux服务器安全强化建议(一)

20个Linux服务器安全强化建议(一)

Linux服务器安全对于保护用户数据、知识产权非常重要,同时还能减少你面对黑客的时间。在工作中,通常由系统管理员对Linux的安全负责,在这篇文章中,介绍了20条对Linux系统进行强化的建议。本文所有的建议都基于CentOS、RHEL系统或者Ubuntu/Debian的发行版本。

#1、加密数据通信方式。

所有通过网络传输的数据都是可以被监听的,因此只要有可能就要使用密码、证书等方式加密你的通讯数据。

1、使用 scp、ssh、rsync或者sftp来进行文件传输。也可以使用特殊的sshfs或者fuse工具来挂载远程文件系统或者你的工作目录。

2、GnuPG 提供功能丰富的证书管理功能,允许你签名数据并进行传输。

3、Fugu 是一个图形化的SFTP文件传输工具。SFTP类似于FTP,但是与FTP不同,整个会话是加密的,也就是说不会用明文形式发送密码。另外一个选项是FileZilla,一个跨平台的客户端段,也支持FTP、FTPS 和 SFTP。

4、OpenV** 是一个轻量级、低成本的SSL V**。

5、Lighttpd SSL(Secure Server Layer)Https 的安装和配置。

6、Apache SSL(Secure Server Layer)Https(mod_ssl)的安装和配置。

#1.1、避免使用FTP、Telnet和Rlogin/Rsh服务

在大多数的网络配置下,用户名、密码,FTP / telnet /rsh 命令和传输的文件能够被同网段的任何人使用包嗅探软件监听。这个问题的通常解决方法是使用 OpenSSHSFTP 或者 FTPS

下面的命令可以帮助你删除服务器中没必要的服务。

# yum erase inetd xinetd ypserv tfpt-server telnet-server rsh-server

#2、最小化软件安装原则。

你确实需要服务器上安装的所有服务吗?避免安装不必要的服务就是避免漏斗。使用 RPM 包管理工具,例如 yum 或者 apt-get 、dpkg 来检查系统上安装的软件包,同时删除不必要的包。

1 # yum list installed
2 # yum list packageName
3 # yum remove packageName
4  
5 或者
6  
7 # dpkg --list
8 # dpkg --info packageName
9 # apt-get remove packageName

#3、每个系统或实例上只运行一种服务。

将不同的服务运行在单独的服务器或虚拟化实例中。例如:如果黑客攻破Apache进入到系统中,他就可以访问部署在这台服务器上的Mysql、E-Mail等其他服务,尽量不要这么做。

#4、保持Linux内核和软件的更新。

维护系统的一项重要工作就是及时的安装系统补丁。Linux提供了很多必要的工具和方法来保证系统的更新,所有安全方面的更新都应该尽快执行,与第2条一样,我们可以使用 yum、apt-get等工具来进行安全更新。

1 # yum update
2  
3 或者
4  
5 # apt-get update && apt-get upgrade

你可以在系统中配置更新提示邮件(Red hat、CentOS、Fedora),或者另外一个办法就是通过一个cron定时任务安装所有的安全更新。

#5、使用Linux安全扩展。

Linux提供了多种安全补丁,可以用来保护错误配置或者一些妥协的方案。尽可能使用 SELinux和其他Linux安全扩展来加强网络和程序的限制。例如,SELinux提供了Linux内核的安全策略。

#5.1、SELinux

SELinux提供了一套灵活的访问控制机制(MAC:Mandatory Access Control),标注的MAC下一个应用程序或者进程具有相关权限的用户下运行。使用MAC的内核保护能够使系统免于遭受系统的恶意攻击。更相信的信息可以查看官方的SELinux说明配置文档

参考资料:

1、http://www.cyberciti.biz/tips/linux-security.html

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Ubuntu下安装IE

    做网页开发,IE是不可忽视的用户群体,所以需要在Linux下也有IE才能方便调试,下面是安装步骤:

    大江小浪
  • 浅解用PHP实现MVC

    传统的面相过程式的开发方式在处理中型以上的应用时,就开始显得力不从心。即便我们能够快速的完成需求,但是在需求发生变更后或者进行后期维护的时候,我们会深深地陷入我...

    大江小浪
  • 利用PUT方式上传文件的方法研究

    虽然没有POST方法使用广泛,但是PUT方法却是向服务器上传文件最有效率的方法。POST上传文件时,我们通常需要将所有的信息组合成 multipart 传送过去...

    大江小浪
  • 抛开 Android 不谈,谁是最受欢迎的 Linux 发行版

    小小科
  • 是时候学习Linux了

    Linux是一个开源、免费的操作系统。其稳定性、安全性、处理多并发已经得到业界的认可,目前很多企业级的项目都会部署到Linux/unix系统上。如果你还不太了解...

    MySQL技术
  • 为何免费的linux干不掉windows?

    如何让Linux干掉Windows?我承认,这是有点标题党了。但这个问号,估计很多Linux的粉丝不知道幻想过多少遍;摇旗呐喊,列举Linux众多优点,罗列Wi...

    程序员互动联盟
  • 微软发布新工具,有助于在Windows 10上运行Linux系统

    微软周一发布了一款工具,有助于 Linux 爱好者将 Linux 发行版移植到一个 Windows 10 组件(Linux 子系统 WSL)中,进而在现行版的 ...

    FB客服
  • Python 程序打包工具:py2exe 和 PyInstaller

    通常执行 python 程序要有相应的 Python 环境,但某些特定场景下,我们可能并不愿意这么麻烦的去配置这些环境(比如将写好的脚本发给客户进行操作),如果...

    happyJared
  • 【系统】使用新的开源工具将你自己的Linux带到Windows

    AiTechYun 编辑:nanan ? 如果现成的Linux发行版不会让你满意,那么为什么不自己创建呢? 从Ubuntu(一种Linux操作系统)开始之后,微...

    AiTechYun
  • 撩妹必备,3行代码伪造出一个“好莱坞黑客”屏幕

    我攻进去了! 你可能会几乎在所有的好莱坞电影里面会听说过这句话,此时的荧幕正在显示着一个入侵的画面。那可能是一个黑色的终端伴随着 ASCII 码、图标和连续不断...

    BestSDK

扫码关注云+社区

领取腾讯云代金券