Linux操作系統(tǒng)的基本安全措施

　　Linux操作系統(tǒng)跟普通的系統(tǒng)一樣，系統(tǒng)安全是需要維護(hù)的。下面由學(xué)習(xí)啦小編整理了Linux操作系統(tǒng)的基本安全措施，希望對(duì)你有幫助。

　　Linux操作系統(tǒng)的基本安全措施一

　　1. 使用SELinux

　　SELinux是用來(lái)對(duì)Linux的進(jìn)行安全加固的，有了它，用戶和管理員們就可以對(duì)訪問控制進(jìn)行更多控制。SELinux為訪問控制添加了更細(xì)的顆粒度控制。與僅可以指定誰(shuí)可以讀、寫或執(zhí)行一個(gè)文件的權(quán)限不同的是，SELinux可以讓你指定誰(shuí)可以刪除鏈接、只能追加、移動(dòng)一個(gè)文件之類的更多控制。(LCTT譯注：雖然NSA也給SELinux貢獻(xiàn)過很多代碼，但是目前尚無(wú)證據(jù)證明SELinux有潛在后門)

　　2. 訂閱漏洞警報(bào)服務(wù)

　　安全缺陷不一定是在你的操作系統(tǒng)上。事實(shí)上，漏洞多見于安裝的應(yīng)用程序之中。為了避免這個(gè)問題的發(fā)生，你必須保持你的應(yīng)用程序更新到最新版本。此外，訂閱漏洞警報(bào)服務(wù)，如SecurityFocus。

　　3. 禁用不用的服務(wù)和應(yīng)用

　　通常來(lái)講，用戶大多數(shù)時(shí)候都用不到他們系統(tǒng)上的服務(wù)和應(yīng)用的一半。然而，這些服務(wù)和應(yīng)用還是會(huì)運(yùn)行，這會(huì)招來(lái)攻擊者。因而，最好是把這些不用的服務(wù)停掉。(LCTT譯注：或者干脆不安裝那些用不到的服務(wù)，這樣根本就不用關(guān)注它們是否有安全漏洞和該升級(jí)了。)

　　4. 檢查系統(tǒng)日志

　　你的系統(tǒng)日志告訴你在系統(tǒng)上發(fā)生了什么活動(dòng)，包括攻擊者是否成功進(jìn)入或試著訪問系統(tǒng)。時(shí)刻保持警惕，這是你第一條防線，而經(jīng)常性地監(jiān)控系統(tǒng)日志就是為了守好這道防線。

　　5. 考慮使用端口試探

　　設(shè)置端口試探(Port knocking)是建立服務(wù)器安全連接的好方法。一般做法是發(fā)生特定的包給服務(wù)器，以觸發(fā)服務(wù)器的回應(yīng)/連接(打開防火墻)。端口敲門對(duì)于那些有開放端口的系統(tǒng)是一個(gè)很好的防護(hù)措施。

　　6. 使用Iptables

　　Iptables是什么?這是一個(gè)應(yīng)用框架，它允許用戶自己為系統(tǒng)建立一個(gè)強(qiáng)大的防火墻。因此，要提升安全防護(hù)能力，就要學(xué)習(xí)怎樣一個(gè)好的防火墻以及怎樣使用Iptables框架。

　　7. 默認(rèn)拒絕所有

　　防火墻有兩種思路：一個(gè)是允許每一點(diǎn)通信，另一個(gè)是拒絕所有訪問，提示你是否許可。第二種更好一些。你應(yīng)該只允許那些重要的通信進(jìn)入。(LCTT譯注：即默認(rèn)許可策略和默認(rèn)禁止策略，前者你需要指定哪些應(yīng)該禁止，除此之外統(tǒng)統(tǒng)放行;后者你需要指定哪些可以放行，除此之外全部禁止。)

　　8. 使用入侵檢測(cè)系統(tǒng)

　　入侵檢測(cè)系統(tǒng)，或者叫IDS，允許你更好地管理系統(tǒng)上的通信和受到的攻擊。Snort是目前公認(rèn)的Linux上的最好的IDS。

　　9. 使用全盤加密

　　加密的數(shù)據(jù)更難竊取，有時(shí)候根本不可能被竊取，這就是你應(yīng)該對(duì)整個(gè)驅(qū)動(dòng)器加密的原因。采用這種方式后，如果有某個(gè)人進(jìn)入到你的系統(tǒng)，那么他看到這些加密的數(shù)據(jù)后，就有得頭痛了。根據(jù)一些報(bào)告，大多數(shù)數(shù)據(jù)丟失源于機(jī)器被盜。

　　Linux操作系統(tǒng)的基本安全措施二

　　1、BIOS的安全設(shè)置

　　這是最基本的了，也是最簡(jiǎn)單的了。一定要給你的BIOS設(shè)置密碼，以防止通過在BIOS中改變啟動(dòng)順序，而可以從軟盤啟動(dòng)。這樣可以阻止別有用心的試圖用特殊的啟動(dòng)盤啟動(dòng)你的系統(tǒng)，還可以阻止別人進(jìn)入BIOS改動(dòng)其中的設(shè)置，使機(jī)器的硬件設(shè)置不能被別人隨意改動(dòng)。

　　2、LILO的安全設(shè)置

　　LILO是linux LOader的縮寫，它是linux的啟動(dòng)模塊?？梢酝ㄟ^修改“/etc/lilo.conf”文件中的內(nèi)容來(lái)進(jìn)行配置。在/etc/lilo.conf文件中加如下面兩個(gè)參數(shù)：restricted，password.這三個(gè)參數(shù)可以使你的系統(tǒng)在啟動(dòng)lilo時(shí)就要求密碼驗(yàn)證。

　　第一步：編輯lilo.conf文件(vi /etc/lilo.comf)，假如或改變這三個(gè)參數(shù)：

　　boot=/dev/hda map=/boot/map install=/boot/boot.b prompt timeout=00 #把這行該為00，這樣系統(tǒng)啟動(dòng)時(shí)將不在等待，而直接啟動(dòng)linux message=/boot/message linear default=linux restricted #加入這行 password= #加入這行并設(shè)置自己的密碼 image=/boot/vmlinuz-2.4.2-2 label=linux root=/dev/hda6 read-only

　　第二步：因?yàn)?amp;ldquo;/etc/lilo.conf”文件中包含明文密碼，所以要把它設(shè)置為root權(quán)限讀取。

　　# chmod 0600 /etc/lilo.conf

　　第三步：更新系統(tǒng)，以便對(duì)“/etc/lilo.conf”文件做的修改起作用。

　　# /sbin/lilo -v

　　第四步：使用“chattr”命令使“/etc/lilo.conf”文件變?yōu)椴豢筛淖儭?/p>

　　# chattr +i /etc/lilo.conf

　　這樣可以在一定程度上防止對(duì)“/etc/lilo.conf”任何改變(意外或其他原因)

　　3、讓口令更加安全

　　口令可以說是系統(tǒng)的第一道防線，目前網(wǎng)上的大部分對(duì)系統(tǒng)的攻擊都是從截獲口令或者猜測(cè)口令開始的，所以我們應(yīng)該選擇更加安全的口令。

　　首先要杜絕不設(shè)口令的帳號(hào)存在。這可以通過查看/etc/passwd文件發(fā)現(xiàn)。例如，存在的用戶名為test的帳號(hào)，沒有設(shè)置口令，則在/etc/passwd文件中就有如下一行：

　　test：：100：9：：/home/test：/bin/bash

　　其第二項(xiàng)為空，說明test這個(gè)帳號(hào)沒有設(shè)置口令，這是非常危險(xiǎn)的!應(yīng)將該類帳號(hào)刪除或者設(shè)置口令。

　　其次，在舊版本的linux中，在/etc/passwd文件中是包含有加密的密碼的，這就給系統(tǒng)的安全性帶來(lái)了很大的隱患，最簡(jiǎn)單的方法就是可以用暴力破解的方法來(lái)獲得口令?？梢允褂妹?usr/sbin/pwconv或者/usr/sbin/grpconv來(lái)建立/etc/shadow或者/etc/gshadow文件，這樣在/etc/passwd文件中不再包含加密的密碼，而是放在/etc/shadow文件中，該文件只有超級(jí)用戶root可讀!

　　第三點(diǎn)是修改一些系統(tǒng)帳號(hào)的Shell變量，例如uucp，ftp和news等，還有一些僅僅需要FTP功能的帳號(hào)，一定不要給他們?cè)O(shè)置/bin/bash或者/bin/sh等Shell變量。可以在/etc/passwd中將它們的Shell變量置空，例如設(shè)為/bin/false或者/dev/null等，也可以使用usermod -s /dev/nullusername命令來(lái)更改username的Shell為/dev/null.這樣使用這些帳號(hào)將無(wú)法Telnet遠(yuǎn)程登錄到系統(tǒng)中來(lái)!

　　第四點(diǎn)是修改缺省的密碼長(zhǎng)度：在你安裝linux時(shí)默認(rèn)的密碼長(zhǎng)度是5個(gè)字節(jié)。但這并不夠，要把它設(shè)為8.修改最短密碼長(zhǎng)度需要編輯login.defs文件(vi/etc/login.defs)，把下面這行

　　PASS_MIN_LEN 5 改為 PASS_MIN_LEN 8

　　login.defs文件是login程序的配置文件。

　　4、自動(dòng)注銷帳號(hào)的登錄

　　在unix系統(tǒng)中root賬戶是具有最高特權(quán)的。如果系統(tǒng)管理員在離開系統(tǒng)之前忘記注銷root賬戶，那將會(huì)帶來(lái)很大的安全隱患，應(yīng)該讓系統(tǒng)會(huì)自動(dòng)注銷。通過修改賬戶中“TMOUT”參數(shù)，可以實(shí)現(xiàn)此功能。TMOUT按秒計(jì)算。編輯你的profile文件(vi/etc/profile)，在“HISTFILESIZE=”后面加入下面這行：

　　TMOUT=300

　　300，表示300秒，也就是表示5分鐘。這樣，如果系統(tǒng)中登陸的用戶在5分鐘內(nèi)都沒有動(dòng)作，那么系統(tǒng)會(huì)自動(dòng)注銷這個(gè)賬戶。你可以在個(gè)別用戶的“。bashrc”文件中添加該值，以便系統(tǒng)對(duì)該用戶實(shí)行特殊的自動(dòng)注銷時(shí)間。

　　改變這項(xiàng)設(shè)置后，必須先注銷用戶，再用該用戶登陸才能激活這個(gè)功能。

　　5、取消普通用戶的控制臺(tái)訪問權(quán)限

　　你應(yīng)該取消普通用戶的控制臺(tái)訪問權(quán)限，比如shutdown、reboot、halt等命令。

　　# rm -f /etc/security/console.apps/

　　是你要注銷的程序名。

　　6、取消并反安裝所有不用的服務(wù)

　　取消并反安裝所有不用的服務(wù)，這樣你的擔(dān)心就會(huì)少很多。察看“/etc/inetd.conf”文件，通過注釋取消所有你不需要的服務(wù)(在該服務(wù)項(xiàng)目之前加一個(gè)“#”)。然后用“sighup”命令升級(jí)“inetd.conf”文件。

　　補(bǔ)充：Linux操作系統(tǒng)的基礎(chǔ)安全知識(shí)

　　1、基本的系統(tǒng)安全

　　安全的磁盤布局

　　使用掛裝選項(xiàng)提高文件系統(tǒng)的安全性

　　查找并取消文件/目錄的非必要的特殊權(quán)限

　　避免安裝不必要的軟件包

　　配置軟件包更新的Email通知

　　關(guān)閉不必要的服務(wù)

　　關(guān)閉IPv6的內(nèi)核功能