亚洲综合社区欧美综合色-欧美逼逼一区二区三区-国产老熟女高潮精品网站-国产日韩最新视频在线看

始創(chuàng)于2000年 股票代碼:831685
咨詢熱線:0371-60135900 注冊有禮 登錄
  • 掛牌上市企業(yè)
  • 60秒人工響應(yīng)
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補償
全部產(chǎn)品
您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

Linux服務(wù)器平臺的安全保護 (1)

發(fā)布時間:  2012/8/15 18:13:39

互聯(lián)網(wǎng)上有許多企業(yè)公司和組織采用Linux作為服務(wù)器平臺。當(dāng)這些服務(wù)器與互聯(lián)網(wǎng)連接以提供應(yīng)用服務(wù)時,不可避免地會成為攻擊目標(biāo)。本文討論Linux系統(tǒng)安全配置的一些基本知識,以幫助你保護Linux系統(tǒng)。

雖然在這里以Red Hat 6.0為例子,但也應(yīng)該適用于其它Linux發(fā)行版本。

1、安裝

配置系統(tǒng)安全的頭一步最好是在系統(tǒng)的開始--操作系統(tǒng)的安全。因為配置的是防火墻,所以你絕對不能信任任何以前的系統(tǒng)安裝和配置,而應(yīng)該從全新安裝開始,才能真正保證系統(tǒng)安全的完整性。

使你的系統(tǒng)處于單獨(或隔離)的網(wǎng)絡(luò)中。決不要讓未受保護的系統(tǒng)連接到其它網(wǎng)絡(luò)或互聯(lián)網(wǎng)中受到可能的攻擊。按我個人的經(jīng)驗,一個連接到互聯(lián)網(wǎng)的新安裝系統(tǒng)可以在15分鐘內(nèi)被掃描和入侵取得完全控制權(quán)。你可能需要另一臺機器從互聯(lián)網(wǎng)獲取重要工具和安全補丁等等,然后再從這些機器將其傳送到單獨的"配置網(wǎng)絡(luò)"中。

當(dāng)把將要作為未來防火墻的機器放置于隔離的網(wǎng)絡(luò)中時,就可以開始下一步了。

第一步是選擇操作系統(tǒng)將要安裝的軟件包。對于Red Hat 6.0,提供了三種安裝選擇:Workstation(工作站)、Server(服務(wù)器)、Custom(定制,缺省選項)。我個人強烈推薦"定制",因為這允許你選擇添加哪些服務(wù)和硬盤如何分區(qū)。安裝策略是在維持最大化效率時進行"最小化"安裝。系統(tǒng)中的軟件越少,潛在的安全漏洞就會越少。例如,如果你不需要News或Real Audio Server,就不要安裝它。Linux系統(tǒng)有一個好處就是如果你后來改變了想法,也是很容易添加所需軟件包的。不管選擇了哪種安裝方式,手冊頁和HOWTO文檔都應(yīng)該是必不可缺的。雖然可能會使系統(tǒng)增加一點點風(fēng)險,但它們有時確實特別有用。

如果選擇了"定制"安裝,會被提示進行硬盤分區(qū)。我個人通常喜歡使根分區(qū)盡可能地大,并且把所有東西都放在那里。然后,我們確實需要創(chuàng)建幾個分區(qū)以保護根分區(qū)。因為如果根分區(qū)被例如系統(tǒng)日志或電子郵件等數(shù)據(jù)塞滿的話,就會出現(xiàn)拒絕服務(wù),甚至有可能使系統(tǒng)崩潰。

因此,我總是推薦為/var設(shè)置一個單獨的分區(qū)。/var是用于存放系統(tǒng)所有日志和電子郵件的地方,將/var分區(qū)獨立出來,就能夠有效地保護根分區(qū)被這些數(shù)據(jù)塞滿。對于許多網(wǎng)絡(luò)環(huán)境,為/var分區(qū)設(shè)置不少于400MB基本上就足夠了。另外可以考慮為某些特定的服務(wù)或應(yīng)用創(chuàng)建或保留單獨的分區(qū),特別是敏感的日志記錄。如果系統(tǒng)中存在不可完全信任的用戶,也許應(yīng)該為/home創(chuàng)建單獨的分區(qū),這樣可以避免惡意用戶輕易攻擊/根分區(qū)。對于一臺獨立服務(wù)器以下是一個分區(qū)實例:

/ - everything else

/var - 400 MB

swap - (I normally go with 256 MB)

當(dāng)系統(tǒng)安裝完成并重啟后,務(wù)必要安裝必需的安全補丁。對于Red Hat,可以到http://www.redhat.com/apps/support/updates.html找到它的所有安全補丁程序。安全補丁對于維持一個安全的防火墻是至關(guān)重要的,應(yīng)該經(jīng)常保持更新。

bugtraq@securityfocus.comredhat-watch-list-request@redhat.com是獲取最新安全漏洞信息的最佳資源。如果不安裝這些補丁,你的系統(tǒng)可能會輕易入侵。記住,從上面提及的另一臺機器獲取這些補丁,防火墻機器應(yīng)該仍處于隔離網(wǎng)絡(luò)中。對于Red Hat系統(tǒng),下載RPM包會使系統(tǒng)更新變得更簡單。例如是對wu-ftpd進行安全升級的實例:

rpm -Uvh wu-ftpd-2.6.0-14.6x.i386.rpm

如果系統(tǒng)早已處于互聯(lián)網(wǎng)上,可以直接從互聯(lián)網(wǎng)上安裝:

rpm -Uvh ftp://updates.redhat.com/6.1/i386/wu-ftpd-2.6.0-14.6x.i386.rpm

推薦使用autorpm工具保持對RPM軟件包的補丁更新。這個命令行工具分析確定哪些.rpm包需要升級,并會自動(如果你愿意的話)從Red Hat的網(wǎng)站上下載并安裝升級文件。這個工具的使用非常靈活簡單,可以讓其在cron中運行,這樣你的系統(tǒng)就會定期自動檢查升級更新,并可以向管理員發(fā)送提醒系統(tǒng)需要升級的電子郵件。

2、關(guān)閉服務(wù)

一旦安裝完系統(tǒng)的安裝包、補丁,重啟后,我們現(xiàn)在就可以開始對操作系統(tǒng)進行安全增強配置了。安全增強配置主要包括關(guān)閉服務(wù)、增加日志、調(diào)整幾個文件和配置TCP Wrappers。首先從關(guān)閉服務(wù)開始。

缺省情況下,Solaris是一個提供許多有用服務(wù)的高性能操作系統(tǒng)。然而,對于防火墻來說,其中的大多數(shù)服務(wù)是不需要,且可能是安全風(fēng)險。首先需要修改/etc/inetd.conf文件。這個文件定義了由/usr/sbin/inetd超級守護進程需要監(jiān)聽的服務(wù)。缺省情況下,/etc/inetd.conf會啟動35個服務(wù),然而最多僅需要兩項:ftp和telnet。其余服務(wù)都不是必需的,可以將它們注釋(關(guān)閉)。這是很重要的,因為inetd監(jiān)聽的許多服務(wù)存在嚴(yán)重的安全威脅,例如popd、imapd和rsh。以下命令列出inetd守護進程會監(jiān)聽的服務(wù),請確認(rèn)將其中不必要的服務(wù)的所在行注釋(行首加"#"號):

grep -v "^#" /etc/inetd.conf

下一步要修改的是/etc/rc2.d和/etc/rc3.d目錄下的文件。在這里你能夠找到被init進程執(zhí)行的啟動腳本。其中也有許多是不需要的。要取消在啟動過程中執(zhí)行一個腳本,只需將對應(yīng)文件名的起始大寫S改為小寫s即可。此外,Red Hat系統(tǒng)中帶有一個好工具用以關(guān)閉服務(wù)。只要在命令行輸入"/usr/sbin/setup",然后選擇"System Services",接著再選擇在系統(tǒng)啟動時需要執(zhí)行的腳本。另外還有一種方法就是在大多數(shù)發(fā)行版本中都帶有的chkconfig工具。以下啟動腳本是系統(tǒng)缺省安裝,但通常卻不是必需的。如果確定不需要它們,應(yīng)該將禁止其啟動。

注意其中的數(shù)字用于決定執(zhí)行的順序,在不同的發(fā)行版本中可能會有所變化。以大寫K開始的腳本用于kill已經(jīng)在運行中的服務(wù)。

S05apmd (僅有筆記本電腦才需要)

S10xntpd (網(wǎng)絡(luò)時間協(xié)議)

S11portmap (如果運行RPC服務(wù)則必需打開)


億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
   聯(lián)系:億恩小凡
   QQ:89317007
   電話:0371-63322206


本文出自:億恩科技【1tcdy.com】

服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營性ICP/ISP證:京B2-20150015
  • 億恩鄭州公司:
  • 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
  • 億恩南昌公司:
  • 經(jīng)營性ICP/ISP證:贛B2-20080012
  • 服務(wù)器/云主機 24小時售后服務(wù)電話:0371-60135900
  • 虛擬主機/智能建站 24小時售后服務(wù)電話:0371-60135900
  • 專注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號
      1
     
     
     
     

    0371-60135900
    7*24小時客服服務(wù)熱線