安全是IT行業(yè)一個(gè)老生常談的話題了，從之前的“棱鏡門”事件中折射出了很多安全問題，處理好信息安全問題已變得刻不容緩。

公司主營業(yè)務(wù)：網(wǎng)站建設(shè)、做網(wǎng)站、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出臺(tái)安免費(fèi)做網(wǎng)站回饋大家。

因此做為運(yùn)維人員，就必須了解一些安全運(yùn)維準(zhǔn)則，同時(shí)，要保護(hù)自己所負(fù)責(zé)的業(yè)務(wù)，首先要站在攻擊者的角度思考問題，修補(bǔ)任何潛在的威脅和漏洞，主要分五部分展開：

一、賬戶和登錄安全

賬戶安全是系統(tǒng)安全的第一道屏障，也是系統(tǒng)安全的核心，保障登錄賬戶的安全，在一定程度上可以提高服務(wù)器的安全級(jí)別，下面重點(diǎn)介紹下Linux系統(tǒng)登錄賬戶的安全設(shè)置方法。

1、刪除特殊的賬戶和賬戶組

Linux提供了各種不同角色的系統(tǒng)賬號(hào)，在系統(tǒng)安裝完成后，默認(rèn)會(huì)安裝很多不必要的用戶和用戶組，如果不需要某些用戶或者組，就要立即刪除它，因?yàn)橘~戶越多，系統(tǒng)就越不安全，很可能被黑客利用，進(jìn)而威脅到服務(wù)器的安全。

Linux系統(tǒng)中可以刪除的默認(rèn)用戶和組大致有如下這些：

可刪除的用戶，如adm，lp，sync，shutdown，halt，news，uucp，operator，games，gopher等。

可刪除的組，如adm，lp，news，uucp，games，dip，pppusers，popusers，slipusers等。

2、關(guān)閉系統(tǒng)不需要的服務(wù)

Linux在安裝完成后，綁定了很多沒用的服務(wù)，這些服務(wù)默認(rèn)都是自動(dòng)啟動(dòng)的。對(duì)于服務(wù)器來說，運(yùn)行的服務(wù)越多，系統(tǒng)就越不安全，越少服務(wù)在運(yùn)行，安全性就越好，因此關(guān)閉一些不需要的服務(wù)，對(duì)系統(tǒng)安全有很大的幫助。

具體哪些服務(wù)可以關(guān)閉，要根據(jù)服務(wù)器的用途而定，一般情況下，只要系統(tǒng)本身用不到的服務(wù)都認(rèn)為是不必要的服務(wù)。

例如：某臺(tái)Linux服務(wù)器用于www應(yīng)用，那么除了httpd服務(wù)和系統(tǒng)運(yùn)行是必須的服務(wù)外，其他服務(wù)都可以關(guān)閉。下面這些服務(wù)一般情況下是不需要的，可以選擇關(guān)閉：

anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv

3、密碼安全策略

在Linux下，遠(yuǎn)程登錄系統(tǒng)有兩種認(rèn)證方式：密碼認(rèn)證和密鑰認(rèn)證。

密碼認(rèn)證方式是傳統(tǒng)的安全策略，對(duì)于密碼的設(shè)置，比較普遍的說法是：至少6個(gè)字符以上，密碼要包含數(shù)字、字母、下劃線、特殊符號(hào)等。設(shè)置一個(gè)相對(duì)復(fù)雜的密碼，對(duì)系統(tǒng)安全能起到一定的防護(hù)作用，但是也面臨一些其他問題，例如密碼暴力破解、密碼泄露、密碼丟失等，同時(shí)過于復(fù)雜的密碼對(duì)運(yùn)維工作也會(huì)造成一定的負(fù)擔(dān)。

密鑰認(rèn)證是一種新型的認(rèn)證方式，公用密鑰存儲(chǔ)在遠(yuǎn)程服務(wù)器上，專用密鑰保存在本地，當(dāng)需要登錄系統(tǒng)時(shí)，通過本地專用密鑰和遠(yuǎn)程服務(wù)器的公用密鑰進(jìn)行配對(duì)認(rèn)證，如果認(rèn)證成功，就成功登錄系統(tǒng)。這種認(rèn)證方式避免了被暴力破解的危險(xiǎn)，同時(shí)只要保存在本地的專用密鑰不被黑客盜用，攻擊者一般無法通過密鑰認(rèn)證的方式進(jìn)入系統(tǒng)。因此，在Linux下推薦用密鑰認(rèn)證方式登錄系統(tǒng)，這樣就可以拋棄密碼認(rèn)證登錄系統(tǒng)的弊端。

Linux服務(wù)器一般通過SecureCRT、putty、Xshell之類的工具進(jìn)行遠(yuǎn)程維護(hù)和管理，密鑰認(rèn)證方式的實(shí)現(xiàn)就是借助于SecureCRT軟件和Linux系統(tǒng)中的SSH服務(wù)實(shí)現(xiàn)的。

4、合理使用su、sudo命令

su命令：是一個(gè)切換用戶的工具，經(jīng)常用于將普通用戶切換到超級(jí)用戶下，當(dāng)然也可以從超級(jí)用戶切換到普通用戶。為了保證服務(wù)器的安全，幾乎所有服務(wù)器都禁止了超級(jí)用戶直接登錄系統(tǒng)，而是通過普通用戶登錄系統(tǒng)，然后再通過su命令切換到超級(jí)用戶下，執(zhí)行一些需要超級(jí)權(quán)限的工作。通過su命令能夠給系統(tǒng)管理帶來一定的方便，但是也存在不安全的因素，

例如：系統(tǒng)有10個(gè)普通用戶，每個(gè)用戶都需要執(zhí)行一些有超級(jí)權(quán)限的操作，就必須把超級(jí)用戶的密碼交給這10個(gè)普通用戶，如果這10個(gè)用戶都有超級(jí)權(quán)限，通過超級(jí)權(quán)限可以做任何事，那么會(huì)在一定程度上對(duì)系統(tǒng)的安全造成了威脅。

因此su命令在很多人都需要參與的系統(tǒng)管理中，并不是最好的選擇，超級(jí)用戶密碼應(yīng)該掌握在少數(shù)人手中，此時(shí)sudo命令就派上用場了。

sudo命令：允許系統(tǒng)管理員分配給普通用戶一些合理的“權(quán)利”，并且不需要普通用戶知道超級(jí)用戶密碼，就能讓他們執(zhí)行一些只有超級(jí)用戶或其他特許用戶才能完成的任務(wù)。

比如：系統(tǒng)服務(wù)重啟、編輯系統(tǒng)配置文件等，通過這種方式不但能減少超級(jí)用戶登錄次數(shù)和管理時(shí)間，也提高了系統(tǒng)安全性。

因此，sudo命令相對(duì)于權(quán)限無限制性的su來說，還是比較安全的，所以sudo也被稱為受限制的su，另外sudo也是需要事先進(jìn)行授權(quán)認(rèn)證的，所以也被稱為授權(quán)認(rèn)證的su。

sudo執(zhí)行命令的流程是：
將當(dāng)前用戶切換到超級(jí)用戶下，或切換到指定的用戶下，然后以超級(jí)用戶或其指定切換到的用戶身份執(zhí)行命令，執(zhí)行完成后，直接退回到當(dāng)前用戶，而這一切的完成要通過sudo的配置文件/etc/sudoers來進(jìn)行授權(quán)。

sudo設(shè)計(jì)的宗旨是：
賦予用戶盡可能少的權(quán)限但仍允許它們完成自己的工作，這種設(shè)計(jì)兼顧了安全性和易用性，因此，強(qiáng)烈推薦通過sudo來管理系統(tǒng)賬號(hào)的安全，只允許普通用戶登錄系統(tǒng)，如果這些用戶需要特殊的權(quán)限，就通過配置/etc/sudoers來完成，這也是多用戶系統(tǒng)下賬號(hào)安全管理的基本方式。

5、刪減系統(tǒng)登錄歡迎信息

系統(tǒng)的一些歡迎信息或版本信息，雖然能給系統(tǒng)管理者帶來一定的方便，但是這些信息有時(shí)候可能被黑客利用，成為攻擊服務(wù)器的幫兇，為了保證系統(tǒng)的安全，可以修改或刪除某些系統(tǒng)文件，需要修改或刪除的文件有4個(gè)，分別是：

/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。

/etc/issue和/etc/issue.net文件都記錄了操作系統(tǒng)的名稱和版本號(hào)，當(dāng)用戶通過本地終端或本地虛擬控制臺(tái)等登錄系統(tǒng)時(shí)，/etc/issue的文件內(nèi)容就會(huì)顯示，當(dāng)用戶通過ssh或telnet等遠(yuǎn)程登錄系統(tǒng)時(shí)，/etc/issue.net文件內(nèi)容就會(huì)在登錄后顯示。在默認(rèn)情況下/etc/issue.net文件的內(nèi)容是不會(huì)在ssh登錄后顯示的，要顯示這個(gè)信息可以修改/etc/ssh/sshd_config文件，在此文件中添加如下內(nèi)容即可：

Banner /etc/issue.net

其實(shí)這些登錄提示很明顯泄漏了系統(tǒng)信息，為了安全起見，建議將此文件中的內(nèi)容刪除或修改。

/etc/redhat-release文件也記錄了操作系統(tǒng)的名稱和版本號(hào)，為了安全起見，可以將此文件中的內(nèi)容刪除。

/etc/motd文件是系統(tǒng)的公告信息。每次用戶登錄后，/etc/motd文件的內(nèi)容就會(huì)顯示在用戶的終端。通過這個(gè)文件系統(tǒng)管理員可以發(fā)布一些軟件或硬件的升級(jí)、系統(tǒng)維護(hù)等通告信息，但是此文件的大作用就、是可以發(fā)布一些警告信息，當(dāng)黑客登錄系統(tǒng)后，會(huì)發(fā)現(xiàn)這些警告信息，進(jìn)而產(chǎn)生一些震懾作用?？催^國外的一個(gè)報(bào)道，黑客入侵了一個(gè)服務(wù)器，而這個(gè)服務(wù)器卻給出了歡迎登錄的信息，因此法院不做任何裁決。

二、遠(yuǎn)程訪問和認(rèn)證安全

1、遠(yuǎn)程登錄取消telnet而采用SSH方式

telnet是一種古老的遠(yuǎn)程登錄認(rèn)證服務(wù)，它在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，因此別有用心的人就會(huì)非常容易截獲這些口令和數(shù)據(jù)。而且，telnet服務(wù)程序的安全驗(yàn)證方式也極其脆弱，攻擊者可以輕松將虛假信息傳送給服務(wù)器?，F(xiàn)在遠(yuǎn)程登錄基本拋棄了telnet這種方式，而取而代之的是通過SSH服務(wù)遠(yuǎn)程登錄服務(wù)器。

2、合理使用Shell歷史命令記錄功能

在Linux下可通過history命令查看用戶所有的歷史操作記錄，同時(shí)shell命令操作記錄默認(rèn)保存在用戶目錄下的.bash_history文件中，通過這個(gè)文件可以查詢shell命令的執(zhí)行歷史，有助于運(yùn)維人員進(jìn)行系統(tǒng)審計(jì)和問題排查，同時(shí)，在服務(wù)器遭受黑客攻擊后，也可以通過這個(gè)命令或文件查詢黑客登錄服務(wù)器所執(zhí)行的歷史命令操作，但是有時(shí)候黑客在入侵服務(wù)器后為了毀滅痕跡，可能會(huì)刪除.bash_history文件，這就需要合理的保護(hù)或備份.bash_history文件。

3、啟用tcp_wrappers防火墻

Tcp_Wrappers是一個(gè)用來分析TCP/IP封包的軟件，類似的IP封包軟件還有iptables。Linux默認(rèn)都安裝了Tcp_Wrappers。作為一個(gè)安全的系統(tǒng)，Linux本身有兩層安全防火墻，通過IP過濾機(jī)制的iptables實(shí)現(xiàn)第一層防護(hù)。iptables防火墻通過直觀地監(jiān)視系統(tǒng)的運(yùn)行狀況，阻擋網(wǎng)絡(luò)中的一些惡意攻擊，保護(hù)整個(gè)系統(tǒng)正常運(yùn)行，免遭攻擊和破壞。如果通過了第一層防護(hù)，那么下一層防護(hù)就是tcp_wrappers了。通過Tcp_Wrappers可以實(shí)現(xiàn)對(duì)系統(tǒng)中提供的某些服務(wù)的開放與關(guān)閉、允許和禁止，從而更有效地保證系統(tǒng)安全運(yùn)行。

三、文件系統(tǒng)安全

1、鎖定系統(tǒng)重要文件

系統(tǒng)運(yùn)維人員有時(shí)候可能會(huì)遇到通過root用戶都不能修改或者刪除某個(gè)文件的情況，產(chǎn)生這種情況的大部分原因可能是這個(gè)文件被鎖定了。在Linux下鎖定文件的命令是chattr，通過這個(gè)命令可以修改ext2、ext3、ext4文件系統(tǒng)下文件屬性，但是這個(gè)命令必須有超級(jí)用戶root來執(zhí)行。和這個(gè)命令對(duì)應(yīng)的命令是lsattr，這個(gè)命令用來查詢文件屬性。

對(duì)重要的文件進(jìn)行加鎖，雖然能夠提高服務(wù)器的安全性，但是也會(huì)帶來一些不便。

例如：在軟件的安裝、升級(jí)時(shí)可能需要去掉有關(guān)目錄和文件的immutable屬性和append-only屬性，同時(shí)，對(duì)日志文件設(shè)置了append-only屬性，可能會(huì)使日志輪換(logrotate)無法進(jìn)行。因此，在使用chattr命令前，需要結(jié)合服務(wù)器的應(yīng)用環(huán)境來權(quán)衡是否需要設(shè)置immutable屬性和append-only屬性。

另外，雖然通過chattr命令修改文件屬性能夠提高文件系統(tǒng)的安全性，但是它并不適合所有的目錄。chattr命令不能保護(hù)/、/dev、/tmp、/var等目錄。

根目錄不能有不可修改屬性，因?yàn)槿绻夸浘哂胁豢尚薷膶傩?，那么系統(tǒng)根本無法工作：

/dev在啟動(dòng)時(shí)，syslog需要?jiǎng)h除并重新建立/dev/log套接字設(shè)備，如果設(shè)置了不可修改屬性，那么可能出問題；

/tmp目錄會(huì)有很多應(yīng)用程序和系統(tǒng)程序需要在這個(gè)目錄下建立臨時(shí)文件，也不能設(shè)置不可修改屬性；

2、文件權(quán)限檢查和修改

不正確的權(quán)限設(shè)置直接威脅著系統(tǒng)的安全，因此運(yùn)維人員應(yīng)該能及時(shí)發(fā)現(xiàn)這些不正確的權(quán)限設(shè)置，并立刻修正，防患于未然。下面列舉幾種查找系統(tǒng)不安全權(quán)限的方法。

（1）查找系統(tǒng)中任何用戶都有寫權(quán)限的文件或目錄

查找文件：find / -type f -perm -2 -o -perm -20 |xargs ls -al
查找目錄：find / -type d -perm -2 -o -perm -20 |xargs ls –ld

（2）查找系統(tǒng)中所有含“s”位的程序

服務(wù)器被黑了，一定要看是不是犯了這5點(diǎn)錯(cuò)誤
文章鏈接：http://www.rwnh.cn/article22/cghcc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、Google、營銷型網(wǎng)站建設(shè)、App開發(fā)、定制網(wǎng)站、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)