《Linux服务器安全防护部署-精选文档.docx》由会员分享,可在线阅读,更多相关《Linux服务器安全防护部署-精选文档.docx(13页珍藏版)》请在优知文库上搜索。
1、1.inux服务器平安防护部署1.inuxoperatingsystemisanoperatingsystemwithopensourcecode,itsexcellentstability,safety,strongloadcapacity,comparedtotheWindowsoperatingsystemhasmoreadvantages.Butdoesnotrepresentasafetyproblemdoesnotexistinthe1.inuxsystem,1.inuxsystemaftertheinstallationiscomplete,mustcarryoutthenece
2、ssaryconfiguration,toenhancethesecurityof1.inuxserver,anddecreasethepossibilityofthesystemtobeattacked,increasethestabilityofthesystem.Keywords1.inuxTheserverSafetyThefirewal1Systemoptiniza-tionI用户权限配置D屏蔽、删除被操作系统本身启动的不必要的用户和用户组。1.inUX供应了很多默认的用户和用户组,而用户越多,系统就越简单受到利用和攻击,因此删除不必要的用户和用户组可提高系统的平安性。吩咐:user
3、del用户名groupde1用户组名2)用户口令应运用字母、数字、特别符号的无规则组合,确定不要单独运用英语单子或词组,必需保证在密码中存在至少一个特别符号和一个数字。强制要求系统中非root用户密码最大运用天数为60天、长度不能小于8位。吩咐:vietclogin.defsPASS_MAX_DAYS60PASSMIN1.ENGTH83)root用户假如遗忘注销就离开服务器会很危急,所以强制要求root用户在确定时间内没有操作则自动注销root用户。吩附:VietcprofileTM0UT=3004)检查系统中是否存在空密码的用户,空密码很简单使服务器用户被盗,建议在检查出空密码用户后,排查是
4、否为正常用户,正常用户强制修改密码,非正常用户I二脆删除。吩咐:gawk-F:($2=)(print$1,etcshadow5)检查系统中是否存在除root之外的特权用户,在1.inUX系统中建议只有root一个特权用户,非root的特权用户,依据实际状况,通过降权或删除方式来保证系统的平安性。吩咐:gawkF($3=0&$1!=root”)print$1etcpasswd6)检查root用户的环境变量设置中是否存在路径,防止root用户运行非指定的吩咐,导致木马病毒程序攻击。删除在$PATH中设置的路径。吩咐:echo$PATH2系统服务配置.inux系统服务是指执行指定系统功能的程序,是I
5、Jnux系统不行缺少的组成部分。但不是系统服务都须要开启,为削减系统资源占用,增加系统性能,削减系统的平安隐患,开启系统服务应运用最小最新原则,即非必要服务不开启,如必需开启服务则确定运用服务的最新版本。下边简要介绍1.inux系统中可以关闭的系统服务。1) acpid是进阶电源管理接口,可以监听来自核心层的电源相关时间而予以回应,在预定义时间内无操作,可以进入节电休眠状态,支持的通用操作有电源开关、电池监视、笔记本开关、笔记本显示屏亮度、休眠、挂机等等。1.inUX服务器通常都是7*24运行,访问操作随时发生,节电休眠状态会影响整体系统的反映速度和性能,建议关闭。2) anacron与循环型
6、的工作任务cron有关,可在任务过期后还可以唤醒来接着执行,配置文件在etcanacrontab,可以通过atd和CrOnd来代替,可通过关闭此服务来削减对系统资源的占用,建议关闭。3) apmd是基于BoIS的高级电源管理服务,可检测电池电量,当电池电量不足时,可以自动关机以爱护电脑主机。在机房的服务器不存在电量不足的状况,并且其部分功能已被acpi代替,可通过关闭此服务来削减对系统资源的占用,建议关闭。4) arptables_jf为arptables网络的用户限制过滤的守护进程,arptables处理arp协议有关包,这些包在itables中不会处理,一般在服务器外围都会有硬件防火墙,所
7、以此服务的作用不大,可通过关闭此服务来削减对系统资源的占用,建议关闭。5) arpwatch记录日志并构建一个在1.AN接口上看到的以太网地址和IP地址对数据库,协作arptables运用,一般在服务器外用都会有硬件防火墙,所以此服务的作用不大,可通过关闭此服务来削减对系统资源的占用,建议关闭。6)atd单一的安排工作任务,可以通过CrOnd来代替,通过关闭此服务来削减对系统资源的占用,建议关闭。7) avahi-daemonsavahi-dnsconfd是zeroconf协议的实现。它可以在没有DNS服务的局域网里发觉基于zeroconf协议的设备和服务,非局域网内部服务器建议关闭,来削减系
8、统资源占用。8) bluetooth蓝牙是给无线便携设备运用的(非wifi,802.11),服务器上不会运用,建议关闭。9) COnman管理远程桌面连接的程序,为平安性考虑,建议关闭。10) CPUSPeed用来管理CPU的频率功能,在低负载状况F降低CPU频率来节约电量、降低CPU风扇转速,服务器上建议关闭,削减在CPU频率转换时带来的性能损失。H)CUPS系统打印服务,当系统不需为网络供应打印服务时,请关闭系统打印服务。假如必需开启打印服务,请保证CUPS升级到最新版本,并且运行在非root用户和用户组上。12) dhcpd、dhcpd6是DHCP服务器,当系统不需为网络供应DHCP服务
9、时,请关闭此服务。假如必需开启DHCP服务,请保证dhcpd升级到最新版本。13)dnsmasq是个DNS服务工具,它可以应用在内部网和InteEet连接的时候的IP地址NAT转换,也可以用做小型网络的DNS服务,如不须要单独建立DNS服务,建议关闭。14) ebtables以太网桥防火墙,如服务器作为网桥运用,并须要在数据链路层对封包进行过滤,则开启此服务,否则建议关闭。15) edac检测ECC内存错误,开须要检测ECC内存时可以开启此服务,正常运行时建议关闭此服务以提高性能。16) fcoe、fcoe-target让企业用户可以利用它们的以太网将现有服务器与光纤通道SANs连接在一起,而
10、且无需受限于某特定厂商的技术,建议关闭。17) firstboot是在安装之后的第一次启动时仅须要执行一次的特定任务。系统安装完毕后,此服务不会自动关闭,需手动完成。18) ip6tables是IPv6的软件防火墙,在不运用IPv6的网络中无需开启,建议关闭。19) iscsi又称为IP-SAN,是一种基于因特网及SCS1.3协议下的存储技术,假如服务器运用SAN存储区域网络,可开启此服务,否则建议关闭此服务,以节约系统资源。20) isdn是一种互联网的接入方式,除非运用ISDN猫来上网,否则建议关闭。21) isnsd是在TCP/IP网络上自动发觉、管理和配置iSCSI和光纤信道设备(光纤
11、信道协议),如运用存储区域网络则开启此服务,否则建议关闭。22) Hdpad供应通过英特尔链路层发觉协议代理增加对数据中心的以太网支持,一般服务器可以关闭此服务。23) mailman、sendmai1是系统邮件服务,当系统不作为邮件服务器运用时关闭。24) mcelogd收集、解码硬件检测错误数据,一般服务器不须要此服务供应的工具,建议关闭。25) IndnlonitOr该服务用来监测SoftwareRAID或1.VM的信息,假如须要在服务器上运用SoftwareRAID,可以开启此服务,否则建议关闭此服务,以增加服务器性能。26) Hicmcached高性能的,分布式的内存对象缓存系统,一
12、般可用于加快动态Web应用程序,减轻数据库负载,假如服务器作为数据库服务器运用,建议开启此服务,非数据库服务器建议关闭此服务。27) mip6d在IPv6网络中允许节点在移动中保持联系,在未运用IPv6网络服务器上建议关闭此服务。28) muItipathd多路径设备管理工具,协作iscsi服务运用,在未运用存储区域网络的主机上建议关闭。29) named是DNS(BIND)服务器守护进程,协作DNS服务运用,在未开启DNS服务的主机上建议关闭。30) netconsole将kernel的printk消息通过udp发送到远程主机的SySlOgd上,假如须要远程日志管理功能可开启此服务,建议关闭
13、。31) nfs用于Unix/1.inux/BSD系列操作系统的标准文件共享方式,服务器须要连接到局域网中的其它服务器并进行文件共享可以开启此服务,否则建议关闭此服务。32) nfslock通过TCP/IP网络共享文件的协议,此守护进程供应了NES文件锁定功能,运用nfs服务须要开启此服务,否则建议关闭此服务。33) nscd服务名缓存进程,它为NIS和1.DAP等服务供应更快的验证,一般服务器上建议美闭此服务。34) ntpd是通过互联网自动更新系统时间,简单被攻击者利用,建议关闭此服务,并定期手动校对系统时间。35) OCldjObel是D-BUS的服务,为客户执行特定任务时连接到它,并发
14、出恳求运用系统范围的消息总线,一般服务器上建议关闭此服务以增加性能。36) PCSCd智能卡读卡器支持工具,未运用读卡器设备的服务器上建议关闭此服务。37) POrtreSerVe用于帮助服务占用端口号,用于确保某个端口不被占用,在开发调试期可以开启此服务帮助开发者正确运用端口号,在运行稳定的服务器上建议关闭此服务提高服务器性能。38) POStgreSql是PoStgreSQ1.关系数据库引擎,未运用PostgreSQ1.的服务需建议关闭此服务。39) pppoe-server是ADS1.连接守护进程,未运用ADS1.连接网络的服务器建议关闭此服务。40)SyStemtaP监控和跟踪运行中的
15、1.inUX内核的操作的动态方法,在开发中开发者运用此工具对1.inUX内核进行调试,而不在须要重新编译、安装新内核、重启等过程,在稳定运行的服务器上建议关闭此服务。41)tog-pegasus是WBEMServices管理解决方案,供应企业资源限制,在未开启WBEM的服务器上建议关闭此服务。3防火墙配置1.inux为增加系统平安性供应了防火墙iptables爱护。防火墙存在于计算机和网络之间,用来判定网络中的远程访问是否有权限运用的计算机上的资源,爱护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成一个正确配置的防火墙可以极大地增加系统平安性。现在的
16、网络环境是在服务器群之外都会配置相应的硬件防火墙,甚至Web应用防火墙,数据在经过两层防火墙时已进行了包过滤,保证了到达服务器数据的平安性,做为爱护1.inUX内部的数据的iptabIes防火墙是否有必要开启呢?答案是有必要开启。在服务器外的各种防火墙虽然可以保证内部服务器的平安性,但是在发生突发性事故时,例如防火墙突然断电、防火墙内部系统错误等状况时,服务器相当于袒露在整个网络上,这时1.inux的iptables防火墙就起到了最终层防卫作用,能在最关键的时候爱护整个服务器的平安,削减服务器暴漏的损失。iptables防火墙设置的规则,应当遵守最小化原则,即尽量配置最少的规则,以削减服务器对外的接触。如一般的Web服务器,可以至开启80,22