Linux主机OS安全防范 推荐
2011-03-29 09:00
330 查看
Linux主机OS安全防范
伴随着信息化的普及和网络开放性的提高,黑客攻击和安全威胁屡见不鲜,网络安全问题日益突出。如何有效防止这些潜在威胁和恶意攻击呢?
这里引用工商局一句经典的话:要想打假,先学会造假!言下之意,在防守之前先学会如何攻击。现在网络攻击手法层出不穷,这里简单列举常用几个:
1)扫描攻击 先确定好目标主机,利用X-scan,Portscan之类端口扫描软件确定目标开放哪些端口和潜在威胁
2)安全漏洞攻击 比如OS本身的Bug,或缓冲区溢出等
3)口令入侵 比如暴力破解、Sniffer数据包嗅探、管理员人为疏忽
4)木马程序 也就是利用人的好奇心或欺骗运行木马程序导致任人鱼肉
5)电子邮件攻击 类似上一个
6)Dos攻击 拒绝服务攻击,消耗系统资源,导致目标主机宕机。像TCP SYN Flood攻击、死亡之ping
....
我们知道了黑客的攻击手法,下面就可以针对的进行防御了。
这里我们以linux系统为例来看看常用的一些OS安全措施:
1、对Root用户密码有效保护
Linux系统下,root用户的权利至高无上!若我们丢失ROOT密码后果不堪想象。
因此我们建议root用户设置强密码策略(编辑/etc/pam.d/system-auth文件),并且针对系统引导程序GRUB设置密码保护(防止恶意用户从single用户模式进入强行拆除root密码)
2、删除一些不必要的特殊用户和组
像lp,shutdown,halt,news,uucp,operator,games
3、打开密码shadow文件保护功能
#chattr +i /etc/shadow //用户账户密码信息,在近期无账户变动情况下为该文件添加不可更改属性
4、取消不必要的服务
比如不安全的Telnet 远程连接服务
5、屏蔽系统信息
默认用户连接上Linux主机会显示内核和发行版信息,这样容易给黑客提供方向。建议屏蔽系统信息
#rm -rf /etc/issue*
6、禁用ctrl+alt+del关闭系统
Linux下保留该热键,意思是重启系统(有别于windows系统)。为了避免不必要的业务障碍和损失,建议禁用
vi /etc/inittab文件,将下面这行注释掉
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
7、禁止随意通过su命令将普通用户提升为Root用户
编辑/etc/pam.d/su文件,加入以下内容:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
说明:wheel是系统中隐含的组,只有该组的成员才能用su命令切换root身份。比如:
gpasswd -a li4 wheel //将li4加入wheel组
8、iptables防火墙
lINUX内核自带防火墙,具有包过滤和基于状态检测的功能,后续重点介绍。
9、关注内核最新版本、应用程序强化
uname -a //查看内核版本信息
10、采取SSH安全连接
安全的远程连接
当然网络安全涉及面广,应用灵活,责任重大。在企业当中网络安全防范应该是分布式的、层次式的!包括设备安全、操作系统安全、应用程序安全。而常用的安全产品有:Firewall、IDS、IPS、CA、防病毒网关等。
伴随着信息化的普及和网络开放性的提高,黑客攻击和安全威胁屡见不鲜,网络安全问题日益突出。如何有效防止这些潜在威胁和恶意攻击呢?
这里引用工商局一句经典的话:要想打假,先学会造假!言下之意,在防守之前先学会如何攻击。现在网络攻击手法层出不穷,这里简单列举常用几个:
1)扫描攻击 先确定好目标主机,利用X-scan,Portscan之类端口扫描软件确定目标开放哪些端口和潜在威胁
2)安全漏洞攻击 比如OS本身的Bug,或缓冲区溢出等
3)口令入侵 比如暴力破解、Sniffer数据包嗅探、管理员人为疏忽
4)木马程序 也就是利用人的好奇心或欺骗运行木马程序导致任人鱼肉
5)电子邮件攻击 类似上一个
6)Dos攻击 拒绝服务攻击,消耗系统资源,导致目标主机宕机。像TCP SYN Flood攻击、死亡之ping
....
我们知道了黑客的攻击手法,下面就可以针对的进行防御了。
这里我们以linux系统为例来看看常用的一些OS安全措施:
1、对Root用户密码有效保护
Linux系统下,root用户的权利至高无上!若我们丢失ROOT密码后果不堪想象。
因此我们建议root用户设置强密码策略(编辑/etc/pam.d/system-auth文件),并且针对系统引导程序GRUB设置密码保护(防止恶意用户从single用户模式进入强行拆除root密码)
2、删除一些不必要的特殊用户和组
像lp,shutdown,halt,news,uucp,operator,games
3、打开密码shadow文件保护功能
#chattr +i /etc/shadow //用户账户密码信息,在近期无账户变动情况下为该文件添加不可更改属性
4、取消不必要的服务
比如不安全的Telnet 远程连接服务
5、屏蔽系统信息
默认用户连接上Linux主机会显示内核和发行版信息,这样容易给黑客提供方向。建议屏蔽系统信息
#rm -rf /etc/issue*
6、禁用ctrl+alt+del关闭系统
Linux下保留该热键,意思是重启系统(有别于windows系统)。为了避免不必要的业务障碍和损失,建议禁用
vi /etc/inittab文件,将下面这行注释掉
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
7、禁止随意通过su命令将普通用户提升为Root用户
编辑/etc/pam.d/su文件,加入以下内容:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
说明:wheel是系统中隐含的组,只有该组的成员才能用su命令切换root身份。比如:
gpasswd -a li4 wheel //将li4加入wheel组
8、iptables防火墙
lINUX内核自带防火墙,具有包过滤和基于状态检测的功能,后续重点介绍。
9、关注内核最新版本、应用程序强化
uname -a //查看内核版本信息
10、采取SSH安全连接
安全的远程连接
当然网络安全涉及面广,应用灵活,责任重大。在企业当中网络安全防范应该是分布式的、层次式的!包括设备安全、操作系统安全、应用程序安全。而常用的安全产品有:Firewall、IDS、IPS、CA、防病毒网关等。
相关文章推荐
- Linux 系统扫描技术及安全防范 之 nmap(批量主机服务扫描命令)
- Linux系统安全 从防范漏洞做起
- linux网络系统安全防范措施
- Linux_安全与防范
- 安全的Web主机iptables防火墙脚本 推荐
- Linux系统主机安全加固
- 【信息安全系列】Linux主机安全检查
- Linux Apache+Proftpd构建虚拟主机时要注意的几个安全问题
- 鸟哥的Linux私房菜(服务器)- 主机基本安全之二: Linux线上自动升級
- 工作中的一次linux防范ddos攻击 推荐
- 对linux主机进行安全加固(基线配置不包括安全漏洞修补)
- Linux 系统扫描技术及安全防范 之 traceroute
- 推荐:PHPCMS v9 安全防范教程!
- 闲话Linux系统安全(一)——自主访问控制(DAC) 推荐
- Nagios安装配置和基于NRPE监控远程Linux主机 推荐
- 全面inux主机安全配置详解--系统OS安全(第一部分)
- linux安全防范chkconfig
- Linux主机安全加固
- 力作推荐!!!! 防线:企业Linux安全运维理念和实战(向世界500强企业学习Linux安全管理与运维之道)
- 网络安全与主机基本防护-linux鸟哥的私房菜服务器篇07(阅读笔记)