如何做好Linux服务器安全维护

如何做好Linux服务器安全维护,第1张

一、强化密码强度

凡是涉及到登录,就需要用到密码,如果密码设定不恰当,很容易被黑客破解,如果是超级管理员用户,如果没有设立良好的密码机制,可能给系统造成无法挽回的成果。

很多用户喜欢用自己的生日、姓名、英文名等信息来设定,这些方式可以通过字典或社会工程的手段去破解,因此建议用户在设定密码时,尽量使用非字典中出现的组合字符,且采用数字与字符、大小写相结合的密码,增加密码被破译的难度。

二、登录用户管理

进入Linux系统前,都是需要登录的,只有通过系统验证后,才能进入Linux操作系统,而Linux一般将密码加密后,存放在/etc/passwd文件中,那么所有用户都可以读取此文件,虽然其中保存的密码已加密,但安全系数仍不高,因此可以设定影子文件/etc/shadow,只允许有特殊权限的用户操作。

三、账户安全等级管理

在Linux操作系统上,每个账户可以被赋予不同的权限,因此在建立一个新用户ID时,系统管理员应根据需要赋予该账号不同的权限,且归并到不同的用户组中。每个账号ID应有专人负责,在企业中,如果负责某个ID的员工离职,该立即从系统中删除该账号。

四、谨慎使用r系列远程程序管理

在Linux系统中,有一系列r开头的公用程序,如rlogin、rcp等,非常容易被不法分子用来攻击我们的系统,因此千万不要将root账号开放给这些公用程序,现如今很多安全工具都是针对此漏洞而设计的,比如PAM工具,就可以将其有效地禁止掉。

五、root用户权限管理

root可谓是Linux重点保护对象,因为其权利是最高的,因此千万不要将它授权出去,但有些程序的安装、维护必须要求是超级用户权限,在此情况下,可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。

六、综合防御管理

防火墙、IDS等防护技术已成功应用到网络安全的各个领域,且都有非常成熟的产品,需要注意的是:在大多数情况下,需要综合使用这两项技术,因为防火墙相当于安全防护的第一层,它仅仅通过简单地比较IP地址/端口来过滤网络流量,而IDS更加具体,它需要通过具体的数据包来过滤网络流量,是安全防护的第二层。综合使用它们,能够做到互补,并且发挥各自的优势,最终实现综合防御。

七、保持更新,补丁管理

Linux作为一种优秀的开源软件,其稳定性、安全性和可用性有极为可靠的保证,世界上的Linux高手共同维护着个优秀的产品,因而起流通渠道很多,而且经常有更新的程序和系统补丁出现,因此,为了加强系统安全,一定要经常更新系统内核。

SELinux 全称【安全增强型 Linux(Security-Enhanced Linux)】,它是一个 Linux 内核模块,也是 Linux 的一个安全子系统。SELinux 主要作用就是最大限度地减小系统中服务进程可访问的资源(最小权限原则)。

以 MongoDB 引发的 SELinux 异常为例:

当使用 systemctl 启动应用程序时,如果提示类似下图错误,则可能是由 SELinux 引起的安全策略问题。

解决方案一(最安全,首选方案):

在运行程序(无论成功或者失败)后,SELinux 会生成 audit 日志,可以从日志中导出所有不符合策略,生成策略源文件和对应的编译文件,直接安装。操作如下:

使用文本编辑器在创建 "my-mongod.te" 策略源文件,例如:

编写以下内容并保存:

编译并安装策略文件:

解决方案二(最有效,兜底方案):

第一步,临时关闭 SELinux。

第二步,修改 SELinux 配置文件,永久关闭 SELinux。

使用文本编辑器打开"/etc/selinux/config"文件:

将 "SELINUX" 参数设置为:"permissive" 或者 "disabled",并保存:

重启服务器:

方法一:

首先需要限制登录的ip(或者如果需要自己本地登录,查看最后登录ip即可)

Vim /etc/hosts.allow

输入

sshd:114.80.100.159:allow

vim /etc/hosts.deny

输入(表示除了上面允许的,其他的ip 都拒绝登陆ssh)

sshd:ALL

最后sshd重启

service sshd restart

方法二:

比如说你只允许114.80.100.159这个IP进入,其它都禁止:

vim /etc/ssh/sshd_config

添加一行:

allowusers xxx@114.80.100.159

注:xxx为你用来登入服务器的用户名

最后sshd重启

service sshd restart


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/113989.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-03-12
下一篇2023-03-12

发表评论

登录后才能评论

评论列表(0条)

    保存