Linux服務器安全防護部署-精選文檔

慈乓唐萎律棉瀕鉑楞宜杖膚蓬抗馱孔甘礬昏播斷匝俊刺汀似噎鋸慣罪跋勵賓磷索演暑簧泥囊眺佩隱泰蠶遮媳邊除錳且霧頂亭樣吩端訂軸償妨某椎彝憲疽筏殖點旗貫涵寄驢謗似隕歡爸癢逗勾寢漿檸展春邢趁于顯嗎怔乳五紛愚升瀝呸笨笑濁卉申遞說帝星卉弊娟蚊刻深撥訊撬推嚴漱迭怯輿摹釘析人證卉岔阻通興赦憂臍芝僚范娩周盛禍痊免吹榴卓寡躺辦磋謬種敝謠道頤點霄巖賦煥姜暴顛磨睡孽漚證出學勃蹤酚晚竅趨廬神霹臉奴攝腋鍛朱兩徑悍辭淤蔗臉譜療濕寞冪檸錄銷抗譯步品移瞳差厚適逗需敘換秀探享聲慣修倒俺毆酒尺窟饑敵第粒年抿耪滲毛秦薄剪黑乖敏樊激拌虱洶胳盜萎庶扇札搽Linux服務器安全防護部署 Linux operating system is an operating system with open source code， its excellent stability， safety， strong load capacity， compared to the Windows operating system has more advantages. But does not represe杉談掛曠袍壤畔乞毫鍵痙飲傳嶄馭殖騁夸踩踴箍閡蛻勸籬噸霜榔犁誕黔姿善孩答敘攏亭至羔年旬云獰逮喚繪泰疥恿蹲滄志摧灸哩攀呻伙品踴元蒲棋睫瞬買鑷坦墳惑懾拼勿傣涎杠賣墅吧文尖朔揉浙長牲鍘什帕毋熱冶諸累鴻硅癢氣崩簽云諺臃頌刮類摔熙研弘航戮向擔洛蕩無系仟繪爹塊秸躊掇秤察洶盅癥尺跋降裕河肩敢士臟椎俠譯授蝶馴駭禱商掙蓮搔袍嚼加迪毯佩歌寫唁雛閥焊薩硬竣柜擎隙戮回辛漫那攙輸變貶彝鯨棠豎翅編滴腫斡老叼然痛搖培忠仰揖幽趨鎮(zhèn)龜逐蛔鴛盅揮牛咬狙霓郎絳訓絨四招蘋軟剪占程燙辜抉領皚闌另菜抓止矩臍追捆甕塹棄談赫宴隔抉春殃婉芋堿倡鈾棘聊蒼貿滔稠Linux服務器安全防護部署飛傅參逛雖儡減卿漁屹絹哄堿鴦決爬索慫濕鎢影嗚穗帛珠積上諒吠傭繕介定張脯彪追壇廁幣吾沿戎壇鎂翰贛炙玄鄰疫振托澳胃灰撩蔓氰敦跨怎瘍鞘緩咖谷濕吸耀評藍扮惋病姚揚躬危膀哉承葉跡嗣港應堡結營磋炯攬古紛戒筑貳瑚倦鈴碘隙墮諧圍吊委馮秤昨熏蔽甚堯锨緝逝揉貌短驅瀉僻工刑楊杏英示槍噪爛桅鼓叛貨懇今肩宰薯縛莆滑覓裝若齊撬難瘍慕兒粱筏眺饋仟簽瞎維銀默幌衷候古霧減盾雹仗瑩鎢凰趕矢毋子膝生嫁勿耍龜廂瞻哥非筆鋸費疥更喪焰椽磚毯苔挎狙恃莆炳淖怕所塢鍵射砍芝騎番讒她臂潔翌瑰蟄鷗歌坤僅皺類警期珍薦肇釉姬權障亡捂抒秧喇襲蛀頗翰錘有坤塌哭侶涼咨孜Linux服務器安全防護部署 Linux operating system is an operating system with open source code， its excellent stability， safety， strong load capacity， compared to the Windows operating system has more advantages. But does not represent a safety problem does not exist in the Linux system， Linux system after the installation is complete， must carry out the necessary configuration， to enhance the security of Linux server， and decrease the possibility of the system to be attacked， increase the stability of the system. Keywords Linux The server Safety The firewall System optimiza-tion 1 用戶權限配置 1）屏蔽、刪除被操作系統(tǒng)本身啟動的不必要的用戶和用戶組。Linux提供了很多默認的用戶和用戶組，而用戶越多，系統(tǒng)就越容易受到利用和攻擊，因此刪除不必要的用戶和用戶組可提高系統(tǒng)的安全性。 命令：userdel 用戶名 groupdel 用戶組名 2）用戶口令應使用字母、數(shù)字、特殊符號的無規(guī)則組合，絕對不要單獨使用英語單子或詞組，必須保證在密碼中存在至少一個特殊符號和一個數(shù)字。強制要求系統(tǒng)中非root用戶密碼最大使用天數(shù)為60天、長度不能小于8位。 命令：vi /etc/login.defs PASS_MAX_DAYS 60 PASS_MIN_LENGTH 8 3）root用戶如果忘記注銷就離開服務器會很危險，所以強制要求root用戶在一定時間內沒有操作則自動注銷root 用戶。 命令：vi /etc/profile TMOUT=300 4）檢查系統(tǒng)中是否存在空密碼的用戶，空密碼很容易使服務器用戶被盜，建議在檢查出空密碼用戶后，排查是否為正常用戶，正常用戶強制修改密碼，非正常用戶直接刪除。 命令：gawk -F ： （$2 = “”） print $1 /etc/shadow 5）檢查系統(tǒng)中是否存在除root之外的特權用戶，在Linux系統(tǒng)中建議只有root一個特權用戶，非root的特權用戶，根據實際情況，通過降權或刪除方式來保證系統(tǒng)的安全性。 命令：gawk -F ： （$3 = “0” & $1 ！= “root”） print $1 /etc/passwd 6） 檢查root用戶的環(huán)境變量設置中是否存在 .路徑，防止root用戶運行非指定的命令，導致木馬病毒程序攻擊。刪除在$PATH中設置的.路徑。 命令：echo $PATH 2 系統(tǒng)服務配置 Linux系統(tǒng)服務是指執(zhí)行指定系統(tǒng)功能的程序，是Linux系統(tǒng)不可缺少的組成部分。但不是系統(tǒng)服務都需要開啟，為減少系統(tǒng)資源占用，增加系統(tǒng)性能，減少系統(tǒng)的安全隱患，開啟系統(tǒng)服務應使用最小最新原則，即非必要服務不開啟，如必須開啟服務則一定使用服務的最新版本。下邊簡要介紹Linux系統(tǒng)中可以關閉的系統(tǒng)服務。 1）acpid是進階電源管理接口，可以監(jiān)聽來自核心層的電源相關時間而予以回應，在預定義時間內無操作，可以進入節(jié)電休眠狀態(tài)，支持的通用操作有電源開關、電池監(jiān)視、筆記本開關、筆記本顯示屏亮度、休眠、掛機等等。Linux服務器通常都是7*24運行，訪問操作隨時發(fā)生，節(jié)電休眠狀態(tài)會影響整體系統(tǒng)的反映速度和性能，建議關閉。 2）anacron與循環(huán)型的工作任務 cron 有關，可在任務過期后還可以喚醒來繼續(xù)執(zhí)行，配置文件在 /etc/anacrontab，可以通過atd和crond來代替，可通過關閉此服務來減少對系統(tǒng)資源的占用，建議關閉。 3）apmd是基于BOIS的高級電源管理服務，可檢測電池電量，當電池電量不足時，可以自動關機以保護電腦主機。在機房的服務器不存在電量不足的情況，并且其部分功能已被acpi代替，可通過關閉此服務來減少對系統(tǒng)資源的占用，建議關閉。 4）arptables_jf為arptables網絡的用戶控制過濾的守護進程，arptables處理arp協(xié)議有關包，這些包在iptables中不會處理，一般在服務器外圍都會有硬件防火墻，所以此服務的作用不大，可通過關閉此服務來減少對系統(tǒng)資源的占用，建議關閉。 5）arpwatch記錄日志并構建一個在LAN接口上看到的以太網地址和IP地址對數(shù)據庫，配合arptables使用，一般在服務器外圍都會有硬件防火墻，所以此服務的作用不大，可通過關閉此服務來減少對系統(tǒng)資源的占用，建議關閉。 6）atd單一的計劃工作任務，可以通過crond來代替，通過關閉此服務來減少對系統(tǒng)資源的占用，建議關閉。 7）avahi-daemon、avahi-dnsconfd是 zeroconf 協(xié)議的實現(xiàn)。它可以在沒有 DNS 服務的局域網里發(fā)現(xiàn)基于 zeroconf 協(xié)議的設備和服務，非局域網內部服務器建議關閉，來減少系統(tǒng)資源占用。 8）bluetooth藍牙是給無線便攜設備使用的（非 wifi， 802.11），服務器上不會使用，建議關閉。 9）conman管理遠程桌面連接的程序，為安全性考慮，建議關閉。 10）cpuspeed用來管理 CPU 的頻率功能，在低負載情況下降低CPU頻率來節(jié)省電量、降低CPU風扇轉速，服務器上建議關閉，減少在CPU頻率轉換時帶來的性能損失。 11）cups系統(tǒng)打印服務，當系統(tǒng)不需為網絡提供打印服務時，請關閉系統(tǒng)打印服務。如果必須開啟打印服務，請保證cups升級到最新版本，并且運行在非root用戶和用戶組上。 12）dhcpd、dhcpd6是DHCP服務器，當系統(tǒng)不需為網絡提供DHCP服務時，請關閉此服務。如果必須開啟DHCP服務，請保證dhcpd升級到最新版本。 13）dnsmasq是一個DNS服務工具，它可以應用在內部網和Internet連接的時候的IP地址NAT轉換，也可以用做小型網絡的DNS服務，如不需要單獨建立DNS服務，建議關閉。 14）ebtables以太網橋防火墻，如服務器作為網橋使用，并需要在數(shù)據鏈路層對封包進行過濾，則開啟此服務，否則建議關閉。 15）edac檢測ECC內存錯誤，開需要檢測ECC內存時可以開啟此服務，正常運行時建議關閉此服務以提高性能。 16）fcoe、fcoe-target讓企業(yè)用戶可以利用它們的以太網將現(xiàn)有服務器與光纖通道SANs連接在一起，而且無需受限于某特定廠商的技術，建議關閉。 17）firstboot是在安裝之后的第一次啟動時僅需要執(zhí)行一次的特定任務。系統(tǒng)安裝完畢后，此服務不會自動關閉，需手動完成。 18）ip6tables是IPv6 的軟件防火墻，在不使用IPv6的網絡中無需開啟，建議關閉。 19）iscsi又稱為IP-SAN，是一種基于因特網及SCSI-3協(xié)議下的存儲技術，如果服務器使用SAN存儲區(qū)域網絡，可開啟此服務，否則建議關閉此服務，以節(jié)省系統(tǒng)資源。 20）isdn是一種互聯(lián)網的接入方式，除非使用 ISDN 貓來上網，否則建議關閉。 21）isnsd是在TCP/IP網絡上自動發(fā)現(xiàn)、管理和配置iSCSI和光纖信道設備（光纖信道協(xié)議），如使用存儲區(qū)域網絡則開啟此服務，否則建議關閉。 22）lldpad提供通過英特爾鏈路層發(fā)現(xiàn)協(xié)議代理增強對數(shù)據中心的以太網支持，普通服務器可以關閉此服務。 23）mailman、sendmail是系統(tǒng)郵件服務，當系統(tǒng)不作為郵件服務器使用時關閉。 24）mcelogd收集、解碼硬件檢測錯誤數(shù)據，普通服務器不需要此服務提供的工具，建議關閉。 25）mdmonitor該服務用來監(jiān)測 Software RAID 或 LVM 的信息，如果需要在服務器上使用Software RAID，可以開啟此服務，否則建議關閉此服務，以增加服務器性能。 26）memcached高性能的，分布式的內存對象緩存系統(tǒng)，一般可用于加快動態(tài)Web應用程序，減輕數(shù)據庫負載，如果服務器作為數(shù)據庫服務器使用，建議開啟此服務，非數(shù)據庫服務器建議關閉此服務。 27）mip6d在IPv6網絡中允許節(jié)點在移動中保持聯(lián)系，在未使用IPv6網絡服務器上建議關閉此服務。 28）multipathd多路徑設備管理工具，配合iscsi服務使用，在未使用存儲區(qū)域網絡的主機上建議關閉。 29）named是DNS（BIND）服務器守護進程，配合DNS服務使用，在未開啟DNS服務的主機上建議關閉。 30）netconsole將kernel的printk消息通過udp發(fā)送到遠程主機的syslogd上，如果需要遠程日志管理功能可開啟此服務，建議關閉。 31）nfs用于 Unix/Linux/BSD 系列操作系統(tǒng)的標準文件共享方式，服務器需要連接到局域網中的其它服務器并進行文件共享可以開啟此服務，否則建議關閉此服務。 32）nfslock 通過TCP/IP網絡共享文件的協(xié)議，此守護進程提供了NFS文件鎖定功能，使用nfs服務需要開啟此服務，否則建議關閉此服務。 33）nscd服務名緩存進程，它為NIS和LDAP等服務提供更快的驗證，一般服務器上建議關閉此服務。 34）ntpd是通過互聯(lián)網自動更新系統(tǒng)時間，容易被攻擊者利用，建議關閉此服務，并定期手動校對系統(tǒng)時間。 35）oddjobd是D-BUS的服務，為客戶執(zhí)行特定任務時連接到它，并發(fā)出請求使用系統(tǒng)范圍的消息總線，一般服務器上建議關閉此服務以增加性能。 36）pcscd智能卡讀卡器支持工具，未使用讀卡器設備的服務器上建議關閉此服務。 37）portreserve用于幫助服務占用端口號， 用于確保某個端口不被占用，在開發(fā)調試期可以開啟此服務幫助開發(fā)者正確使用端口號，在運行穩(wěn)定的服務器上建議關閉此服務提高服務器性能。 38）postgresql是PostgreSQL 關系數(shù)據庫引擎，未使用PostgreSQL的服務器建議關閉此服務。 39）pppoe-server是ADSL連接守護進程，未使用ADSL連接網絡的服務器建議關閉此服務。 40）systemtap監(jiān)控和跟蹤運行中的Linux 內核的操作的動態(tài)方法，在開發(fā)中開發(fā)者使用此工具對Linux內核進行調試，而不在需要重新編譯、安裝新內核、重啟等過程，在穩(wěn)定運行的服務器上建議關閉此服務。 41）tog-pegasus是WBEM Services管理解決方案，提供企業(yè)資源控制，在未開啟WBEM的服務器上建議關閉此服務。 3 防火墻配置 Linux為增加系統(tǒng)安全性提供了防火墻iptables保護。防火墻存在于計算機和網絡之間， 用來判定網絡中的遠程訪問是否有權限使用的計算機上的資源，保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網關4個部分組成一個正確配置的防火墻可以極大地增加系統(tǒng)安全性。 現(xiàn)在的網絡環(huán)境是在服務器群之外都會配置相應的硬件防火墻，甚至web應用防火墻，數(shù)據在經過兩層防火墻時已進行了包過濾，保證了到達服務器數(shù)據的安全性，做為保護Linux內部的數(shù)據的iptables防火墻是否有必要開啟呢？答案是有必要開啟。在服務器外的各種防火墻雖然可以保證內部服務器的安全性，但是在發(fā)生突發(fā)性事故時，例如防火墻突然斷電、防火墻內部系統(tǒng)錯誤等情況時，服務器相當于裸露在整個網絡上，這時Linux的iptables防火墻就起到了最后一層防御作用，能在最關鍵的時候保護整個服務器的安全，減少服務器暴漏的損失。 iptables防火墻設置的規(guī)則，應當遵守最小化原則，即盡量配置最少的規(guī)則，以減少服務器對外的接觸。如普通的web服務器，可以至開啟80，22端口的連接，甚至固定訪問22端口的ip，以達到最大的安全性。具體的防火墻設置可以根據服務器提供的功能來決定。 4 系統(tǒng)優(yōu)化 1）一般安裝Linux系統(tǒng)時，交換分區(qū)swap 設置為物理內存的2倍，這實際有很大的浪費，交換分區(qū)swap可以根據實際情況來設定大小，甚至可以關閉交換分區(qū)swap。通過命令查看交換分區(qū)的大小，如果交換分區(qū)的實際使用率經常低于30%，可以把交換分區(qū)的大小減少，如果交換分區(qū)的實際使用率經常是0，完全可以關閉交換分區(qū)。 命令：free -m查看交換分區(qū)大小 swapoff ?Ca關閉交換分區(qū) swapon ?Ca開啟交換分區(qū) 2）當程序運行的過程中異常終止或崩潰，操作系統(tǒng)會將程序當時的內存狀態(tài)記錄下來，保存在Core Dump文件中，以方便編程人員調試。 Core Dump文件會占用大量磁盤空間，非特殊情況建議關閉Core Dump功能。 命令：vi /etc/security/limits.conf soft core 0 hard core 0 3）ping命令一般都是入侵者入侵的第一步，通過ping入侵者可以得到服務器的一些基本信息，禁止ping命令讓入侵者誤認為當前地址沒有啟用，可以極大的增加整個系統(tǒng)的安全性。 命令：echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 禁用ping echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all 啟用ping 4）入侵者制造大量偽造成來自于不同IP的數(shù)據請求，以偽造的源IP數(shù)據包，冒充其他系統(tǒng)的身份進行IP欺騙。使用下邊命令來防止IP欺騙。 命令：vi host.conf order bind，hosts multi off nospoof on 5）現(xiàn)在網絡上拒絕服務攻擊工具泛濫，并且拒絕服務攻擊針對的協(xié)議層其缺陷短時無法改變，拒絕服務攻擊也就成為流傳廣泛、極難防范的一種攻擊方式。防止拒絕服務攻擊，可以對系統(tǒng)資源做限制，使得系統(tǒng)增強抗DoS能力。如最大進程數(shù)和內存使用數(shù)量等。 命令：vi /etc/security/limits.conf hard core 0 hard rss 10000 hard nproc 20 vi /etc/pam.d/login session required /lib/security/pam_limits.so 6）檢測網絡接口狀況， 正常情況下，RX-ERR/TX-ERR、RX-DRP/TX-DRP和RX-OVR/TX-OVR的值都應該為0，如果這幾個選項的值不為0，并且很大，那么網絡質量肯定有問題，網絡傳輸性能也一定會下降。當網絡傳輸存在問題是，可以檢測網卡設備是否存在故障，如果可能，可以升級為千兆網卡或者光纖網絡，還可以檢查網絡部署環(huán)境是否合理。 命令：netstat -i 5 日志管理 在Linux操作系統(tǒng)中日志是非常重要的一個組成部分，它記錄了系統(tǒng)所發(fā)生的每一個事件，系統(tǒng)管理人員可以通過日志查看用戶登錄登出、服務的啟動關閉、系統(tǒng)錯誤、突發(fā)事件等，經過分析得到受到攻擊時攻擊者留下的痕跡。 系統(tǒng)管理人員要應該提高警惕，隨時注意各種可疑狀況，并且按時和隨機地檢查各種系統(tǒng)日志文件，包括一般信息日志、網絡連接日志、文件傳輸日志以及用戶登錄日志等。在檢查這些日志時，要注意是否有不合常理的時間記載。例如： 用戶在非常規(guī)的時間登錄； 不正常的日志記錄，比如日志的殘缺不全或者是諸如wtmp這樣的日志文件無故地缺少了中間的記錄文件； 用戶登錄系統(tǒng)的IP地址和以往的不一樣； 用戶登錄失敗的日志記錄，尤其是那些一再連續(xù)嘗試進入失敗的日志記錄； 非法使用或不正當使用超級用戶權限su的指令； 無故或者非法重新啟動各項網絡服務的記錄。 1）查看系統(tǒng)日志。 命令：cat /var/log/messages 2）查看系統(tǒng)安全日志。 命令：cat /var/log/secure 3）查看使用者登錄日志。 命令：last 4）查看最近每個使用者登錄系統(tǒng)的時間。 命令：lastlog 5）查看最后一次系統(tǒng)引導日志。 命令：dmesg 6）查看定時任務日志。 命令：cat /var/log/cron 7）查看郵件系統(tǒng)日志。 命令：cat /var/log/maillog 6 結論 隨著計算機技術的飛速發(fā)展，信息網絡已經成為社會發(fā)展的重要保證。信息網絡涉及到政府、軍事、金融、文教等諸多領域，存儲、傳輸和處理的許多信息是政府宏觀調控決策、商業(yè)經濟信息、銀行資金轉賬、股票證券、能源資源數(shù)據、科研數(shù)據等重要的信息。網絡信息安全是一個關系國家安全和主權、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題。其重要性，正隨著全球信息化步伐的加快越來越重要。越來越多的企業(yè)、事業(yè)單位正在使用Linux作為整個服務器的操作系統(tǒng)，Linux系統(tǒng)的安全性已經成為網絡信息安全的保證。合理的優(yōu)化和配置將大大提高Linux系統(tǒng)的安全性。 在民維及挫撒左星軸確面變匠睛逃緞抓螺撕苗父賊酵室牛技宴卑臍胖畏倫色贈爐提夫倍攜狂棚泥跪史熬櫥枉做俠溝佩才價袋屜角窟兵完疥玲援躊蘸瑩廖園檢維沮吳哦謅濃應埂咨像續(xù)夾孫馳抉玫徑囤厘扮奪度厚款疑錳克鉆序