保证Linux系统安全从防范漏洞做起-交流共享-唐山网站建设

保证Linux系统安全从防范漏洞做起

核心提示：Linux作为开放式的操纵系统遭到很多程序员的爱好，很多高级程序员都喜欢编写Linux操纵系统的相干软件。这使得Linux操纵系统有着丰富的软件支持，还有无数的技术职员作为技术后盾和技术支持，这使得Linux越来越遭到程序员的欢迎。

Linux作为开放式的操纵系统遭到很多程序员的爱好，很多高级程序员都喜欢编写Linux操纵系统的相干软件。这使得Linux操纵系统有着丰富的软件支持，还有无数的技术职员作为技术后盾和技术支持，这使得Linux越来越遭到程序员的欢迎。

但这类开放式的操纵系统有1个最大的弊端就是每个程序员的水平不等，编写相干软件后并未留意自己程序中的漏洞。没有同1的漏洞检查，这使得Linux的软件中会出现很多的漏洞，而软件开发者却很难发觉自己编写程序的漏洞，但黑客们会非常留意这些漏洞，并且会利用这些漏洞来到达自己的目的。那末是否是Linux系统就不安全了呢?实在大可没必要担心，只要做好下述几点即可安心的使用Linux系统。

1、取消没必要要的服务

早期的Unix版本中，每1个不同的网络服务都有1个服务程序在后台运行，后来的版本用同1的/etc/inetd服务器程序担此重任。Inetd是Internetdaemon的缩写，它同时监视多个网络端口，1旦接收到外界传来的连接信息，就履行相应的TCP或UDP网络服务。

由于受inetd的同1指挥，因此Linux中的大部份TCP或UDP服务都是在/etc/inetd.conf文件中设定。所以取消没必要要服务的第1步就是检查/etc/inetd.conf文件，在不要的服务前加上“#”号。

1般来讲，除http、smtp、telnet和ftp之外，其他服务都应当取消，诸如简单文件传输协议tftp、网络邮件存储及接收所用的imap/ipop传输协议、寻觅和搜索资料用的gopher和用于时间同步的daytime和time等。

还有1些报告系统状态的服务，如finger、efinger、systat和netstat等，固然对系统查错和寻觅用户非常有用，但也给黑客提供了方便之门。例如，黑客可以利用finger服务查找用户的电话、使用目录和其他重要信息。因此，很多Linux系统将这些服务全部取消或部份取消，以增强系统的安全性。

Inetd除利用/etc/inetd.conf设置系统服务项之外，还利用/etc/services文件查找各项服务所使用的端口。因此，用户必须仔细检查该文件中各端口的设定，以免有安全上的漏洞。

在Linux中有两种不同的服务型态：1种是仅在有需要时才履行的服务，如finger服务;另1种是1直在履行的永不停顿的服务。这类服务在系统启动时就开始履行，因此不能靠修改inetd来停止其服务，而只能从修改/etc/rc.d/rc[n].d/文件或用Run?level?editor往修改它。提供文件服务的NFS服务器和提供NNTP新闻服务的news都属于这类服务，假设没有必要，最好取消这些服务。

2、限制系统的出进

在进进Linux系统之前，所有用户都需要登录，也就是说，用户需要输进用户账号和密码，只有它们通过系统验证以后，用户才能进进系统。

与其他Unix操纵系同1样，Linux1般将密码加密以后，寄存在/etc/passwd文件中。Linux系统上的所有用户都可以读到/etc/passwd文件，固然文件中保存的密码已经过加密，但依然不太安全。由于1般的用户可以利用现成的密码破译工具，以穷举法猜想出密码。比较安全的方法是设定影子文件/etc/shadow，只答应有特殊权限的用户浏览该文件。

在Linux系统中，假设要采取影子文件，必须将所有的公用程序重新编译，才能支持影子文件。这类方法比较麻烦，比较简便的方法是采取插进式验证模块(PAM)。很多Linux系统都带有Linux的工具程序PAM，它是1种身份验证机制，可以用来动态地改变身份验证的方法和要求，而不要求重新编译其他公用程序。这是由于PAM采取封闭包的方式，将所有与身份验证有关的逻辑全部隐躲在模块内，因此它是采取影子档案的最好帮手。

另外，PAM还有很多安全功能：它可以将传统的DES加密方法改写为其他功能更强的加密方法，以确保用户密码不会轻易地遭人破译;它可以设定每个用户使用电脑资源的上限;它乃至可以设定用户的上机时间和地点。

Linux系统治理职员只需花费几小时往安装和设定PAM，便可以大大进步Linux系统的安全性，把很多攻击阻挡在系统之外。

1 2 下1页

3、保持最新的系统核心

由于Linux流通渠道很多，而且常常有更新的程序和系统补钉出现，因此，为了加强系统安全，1定要常常更新系统内核。

Kernel是Linux操纵系统的核心，它常驻内存，用于加载操纵系统的其他部份，并实现操纵系统的基本功能。由于Kernel控制计算机和网络的各种功能，因此，它的安全性对全部系统安全相当重要。

早期的Kernel版本存在很多尽人皆知的安全漏洞，而且也不太稳定，只有2.0.x以上的版本才比较稳定和安全，新版本的运行效率也有很大改观。在设定Kernel的功能时，只选择必要的功能，千万不要所有功能照单全收，否则会使Kernel变得很大，既占用系统资源，也给黑客留下可乘之机。

在Internet上常常有最新的安全修补程序，Linux系统治理员应当消息通达，常常光顾安全新闻组，查阅新的修补程序。

4、增强安全防护工具

SSH是安全套接层的简称，它是可以安全地用来取代rlogin、rsh和rcp等公用程序的1套程序组。SSH采取公然密钥技术对网络上两台主机之间的通讯信息加密，并且用其密钥充当身份验证的工具。

由于SSH将网络上的信息加密，因此它可以用来安全地登录到远程主机上，并且在两台主机之间安全地传送信息。实际上，SSH不但可以保障Linux主机之间的安全通讯，Windows用户也能够通过SSH安全地连接到Linux服务器上。

5、限制超级用户的权利

我们在前面提到，root是Linux保护的重点，由于它权利无穷，因此最好不要轻易将超级用户授权出往。但是，有些程序的安装和保护工作必须要求有超级用户的权限，在这类情况下，可以利用其他工具让这类用户有部份超级用户的权限。Sudo就是这样的工具。

Sudo程序答应1般用户经过组态设定后，以用户自己的密码再登录1次，取得超级用户的权限，但只能履行有限的几个指令。

6、设定用户账号的安全等级

除密码之外，用户账号也有安全等级，这是由于在Linux上每个账号可以被赋予不同的权限，因此在建立1个新用户ID时，系统治理员应当根据需要赋予该账号不同的权限，并且回并到不同的用户组中。

在Linux系统上的tcpd中，可以设定答应上机和不答应上机职员的名单。其中，答应上机职员名单在/etc/hosts.allow中设置，不答应上机职员名单在/etc/hosts.deny中设置。设置完成以后，需要重新启动inetd程序才会生效。另外，Linux将自动把答应进进或不答应进进的结果记录到/rar/log/secure文件中，系统治理员可以据此查出可疑的进进记录。

每个账号ID应当有专人负责。在企业中，假设负责某个ID的职员离职，治理员应立即从系统中删除该账号。很多进侵事件都是借用了那些很久不用的账号。

在用户账号当中，黑客最喜欢具有root权限的账号，这类超级用户有权修改或删除各种系统设置，可以在系统中畅行无阻。因此，在给任何账号赋予root权限之前，都必须仔细考虑。

Linux系统中的/etc/securetty文件包括了1组能够以root账号登录的终端机名称。例如，在RedHatLinux系统中，该文件的初始值仅答应本地虚拟控制台(rtys)以root权限登录，而不答应远程用户以root权限登录。最好不要修改该文件，假设1定要从远程登录为root权限，最好是先以普通账号登录，然后利用su命令升级为超级用户。

上1页 1 2 http://www.fw8.net/

TAG:用户,账号,程序,系统,文件

评论加载中...