Linux服务器安全防护部署-精选文档.docx

1.inux服务器平安防护部署1.inuxoperatingsystemisanoperatingsystemwithopensourcecode,itsexcellentstability,safety,strongloadcapacity,comparedtotheWindowsoperatingsystemhasmoreadvantages.Butdoesnotrepresentasafetyproblemdoesnotexistinthe1.inuxsystem,1.inuxsystemaftertheinstallationiscomplete,mustcarryoutthenecessaryconfiguration,toenhancethesecurityof1.inuxserver,anddecreasethepossibilityofthesystemtobeattacked,increasethestabilityofthesystem.Keywords1.inuxTheserverSafetyThefirewal1Systemoptiniza-tionI用户权限配置D屏蔽、删除被操作系统本身启动的不必要的用户和用户组。1.inUX供应了很多默认的用户和用户组，而用户越多，系统就越简单受到利用和攻击，因此删除不必要的用户和用户组可提高系统的平安性。吩咐：userdel用户名groupde1用户组名2）用户口令应运用字母、数字、特别符号的无规则组合，确定不要单独运用英语单子或词组，必需保证在密码中存在至少一个特别符号和一个数字。强制要求系统中非root用户密码最大运用天数为60天、长度不能小于8位。吩咐：vietclogin.defsPASS_MAX_DAYS60PASSMIN1.ENGTH83)root用户假如遗忘注销就离开服务器会很危急，所以强制要求root用户在确定时间内没有操作则自动注销root用户。吩附：VietcprofileTM0UT=3004)检查系统中是否存在空密码的用户，空密码很简单使服务器用户被盗，建议在检查出空密码用户后，排查是否为正常用户，正常用户强制修改密码，非正常用户I二脆删除。吩咐：gawk-F'：''($2="")(print$1,etcshadow5)检查系统中是否存在除root之外的特权用户，在1.inUX系统中建议只有root一个特权用户，非root的特权用户，依据实际状况，通过降权或删除方式来保证系统的平安性。吩咐：gawk"F''($3="0"&&$1!="root”)print$1'etcpasswd6)检查root用户的环境变量设置中是否存在路径,防止root用户运行非指定的吩咐，导致木马病毒程序攻击。删除在$PATH中设置的'路径。吩咐:echo$PATH2系统服务配置.inux系统服务是指执行指定系统功能的程序，是IJnux系统不行缺少的组成部分。但不是系统服务都须要开启，为削减系统资源占用，增加系统性能，削减系统的平安隐患，开启系统服务应运用最小最新原则，即非必要服务不开启，如必需开启服务则确定运用服务的最新版本。下边简要介绍1.inux系统中可以关闭的系统服务。1) acpid是进阶电源管理接口，可以监听来自核心层的电源相关时间而予以回应，在预定义时间内无操作，可以进入节电休眠状态，支持的通用操作有电源开关、电池监视、笔记本开关、笔记本显示屏亮度、休眠、挂机等等。1.inUX服务器通常都是7*24运行，访问操作随时发生，节电休眠状态会影响整体系统的反映速度和性能，建议关闭。2) anacron与循环型的工作任务cron有关，可在任务过期后还可以唤醒来接着执行，配置文件在etcanacrontab,可以通过atd和CrOnd来代替，可通过关闭此服务来削减对系统资源的占用，建议关闭。3) apmd是基于BoIS的高级电源管理服务，可检测电池电量，当电池电量不足时，可以自动关机以爱护电脑主机。在机房的服务器不存在电量不足的状况，并且其部分功能已被acpi代替，可通过关闭此服务来削减对系统资源的占用，建议关闭。4) arptables_jf为arptables网络的用户限制过滤的守护进程，arptables处理arp协议有关包,这些包在itables中不会处理，一般在服务器外围都会有硬件防火墙，所以此服务的作用不大，可通过关闭此服务来削减对系统资源的占用，建议关闭。5) arpwatch记录日志并构建一个在1.AN接口上看到的以太网地址和IP地址对数据库，协作arptables运用，一般在服务器外用都会有硬件防火墙，所以此服务的作用不大，可通过关闭此服务来削减对系统资源的占用，建议关闭。6)atd单一的安排工作任务，可以通过CrOnd来代替，通过关闭此服务来削减对系统资源的占用，建议关闭。7) avahi-daemonsavahi-dnsconfd是zeroconf协议的实现。它可以在没有DNS服务的局域网里发觉基于zeroconf协议的设备和服务，非局域网内部服务器建议关闭，来削减系统资源占用。8) bluetooth蓝牙是给无线便携设备运用的(非wifi,802.11),服务器上不会运用，建议关闭。9) COnman管理远程桌面连接的程序，为平安性考虑，建议关闭。10) CPUSPeed用来管理CPU的频率功能，在低负载状况F降低CPU频率来节约电量、降低CPU风扇转速，服务器上建议关闭，削减在CPU频率转换时带来的性能损失。H)CUPS系统打印服务，当系统不需为网络供应打印服务时，请关闭系统打印服务。假如必需开启打印服务，请保证CUPS升级到最新版本，并且运行在非root用户和用户组上。12) dhcpd、dhcpd6是DHCP服务器，当系统不需为网络供应DHCP服务时，请关闭此服务。假如必需开启DHCP服务，请保证dhcpd升级到最新版本。13)dnsmasq是个DNS服务工具，它可以应用在内部网和InteEet连接的时候的IP地址NAT转换，也可以用做小型网络的DNS服务，如不须要单独建立DNS服务，建议关闭。14) ebtables以太网桥防火墙，如服务器作为网桥运用，并须要在数据链路层对封包进行过滤，则开启此服务，否则建议关闭。15) edac检测ECC内存错误,开须要检测ECC内存时可以开启此服务，正常运行时建议关闭此服务以提高性能。16) fcoe、fcoe-target让企业用户可以利用它们的以太网将现有服务器与光纤通道SANs连接在一起，而且无需受限于某特定厂商的技术，建议关闭。17) firstboot是在安装之后的第一次启动时仅须要执行一次的特定任务。系统安装完毕后，此服务不会自动关闭，需手动完成。18) ip6tables是IPv6的软件防火墙,在不运用IPv6的网络中无需开启，建议关闭。19) iscsi又称为IP-SAN,是一种基于因特网及SCS1.3协议下的存储技术，假如服务器运用SAN存储区域网络，可开启此服务，否则建议关闭此服务，以节约系统资源。20) isdn是一种互联网的接入方式，除非运用ISDN猫来上网，否则建议关闭。21) isnsd是在TCP/IP网络上自动发觉、管理和配置iSCSI和光纤信道设备(光纤信道协议)，如运用存储区域网络则开启此服务，否则建议关闭。22) Hdpad供应通过英特尔链路层发觉协议代理增加对数据中心的以太网支持，一般服务器可以关闭此服务。23) mailman、sendmai1是系统邮件服务，当系统不作为邮件服务器运用时关闭。24) mcelogd收集、解码硬件检测错误数据，一般服务器不须要此服务供应的工具，建议关闭。25) IndnlonitOr该服务用来监测SoftwareRAID或1.VM的信息，假如须要在服务器上运用SoftwareRAID,可以开启此服务，否则建议关闭此服务，以增加服务器性能。26) Hicmcached高性能的，分布式的内存对象缓存系统，一般可用于加快动态Web应用程序，减轻数据库负载，假如服务器作为数据库服务器运用，建议开启此服务，非数据库服务器建议关闭此服务。27) mip6d在IPv6网络中允许节点在移动中保持联系，在未运用IPv6网络服务器上建议关闭此服务。28) muItipathd多路径设备管理工具,协作iscsi服务运用，在未运用存储区域网络的主机上建议关闭。29) named是DNS(BIND)服务器守护进程，协作DNS服务运用，在未开启DNS服务的主机上建议关闭。30) netconsole将kernel的printk消息通过udp发送到远程主机的SySlOgd上，假如须要远程日志管理功能可开启此服务，建议关闭。31) nfs用于Unix/1.inux/BSD系列操作系统的标准文件共享方式，服务器须要连接到局域网中的其它服务器并进行文件共享可以开启此服务，否则建议关闭此服务。32) nfslock通过TCP/IP网络共享文件的协议，此守护进程供应了NES文件锁定功能，运用nfs服务须要开启此服务，否则建议关闭此服务。33) nscd服务名缓存进程,它为NIS和1.DAP等服务供应更快的验证，一般服务器上建议美闭此服务。34) ntpd是通过互联网自动更新系统时间，简单被攻击者利用，建议关闭此服务，并定期手动校对系统时间。35) OCldjObel是D-BUS的服务，为客户执行特定任务时连接到它，并发出恳求运用系统范围的消息总线，一般服务器上建议关闭此服务以增加性能。36) PCSCd智能卡读卡器支持工具，未运用读卡器设备的服务器上建议关闭此服务。37) POrtreSerVe用于帮助服务占用端口号，用于确保某个端口不被占用，在开发调试期可以开启此服务帮助开发者正确运用端口号，在运行稳定的服务器上建议关闭此服务提高服务器性能。38) POStgreSql是PoStgreSQ1.关系数据库引擎,未运用PostgreSQ1.的服务需建议关闭此服务。39) pppoe-server是ADS1.连接守护进程，未运用ADS1.连接网络的服务器建议关闭此服务。40)SyStemtaP监控和跟踪运行中的1.inUX内核的操作的动态方法，在开发中开发者运用此工具对1.inUX内核进行调试，而不在须要重新编译、安装新内核、重启等过程，在稳定运行的服务器上建议关闭此服务。41)tog-pegasus是WBEMServices管理解决方案，供应企业资源限制，在未开启WBEM的服务器上建议关闭此服务。3防火墙配置1.inux为增加系统平安性供应了防火墙iptables爱护。防火墙存在于计算机和网络之间，用来判定网络中的远程访问是否有权限运用的计算机上的资源，爱护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成一个正确配置的防火墙可以极大地增加系统平安性。现在的网络环境是在服务器群之外都会配置相应的硬件防火墙，甚至Web应用防火墙，数据在经过两层防火墙时已进行了包过滤，保证了到达服务器数据的平安性，做为爱护1.inUX内部的数据的iptabIes防火墙是否有必要开启呢？答案是有必要开启。在服务器外的各种防火墙虽然可以保证内部服务器的平安性，但是在发生突发性事故时，例如防火墙突然断电、防火墙内部系统错误等状况时，服务器相当于袒露在整个网络上，这时1.inux的iptables防火墙就起到了最终层防卫作用，能在最关键的时候爱护整个服务器的平安，削减服务器暴漏的损失。iptables防火墙设置的规则，应当遵守最小化原则，即尽量配置最少的规则，以削减服务器对外的接触。如一般的Web服务器，可以至开启80,22端口的连接，甚至固定访问22端口的ip，以达到最大的平安性。详细的防火墙设置可以依据服务器供应的功能来确定。4系统优化D一般安装1.inUX系统时，交换分区SWaP设置为物理内存的2倍，这实际有很大的奢侈，交换分区SWaP可以依据实际状况来设定大小，甚至可以关闭交换分区Swap。通过吩咐查看交换分区的大小，假如交换分区的实际运用率常常低于30%,可以把交换分区的大小削减,假如交换分区的实际运用率常常是0,完全可以关闭交换分区。吩咐：free-m查看交换分区大小swapoff?Ca关闭交换分区swapon?Ca开启交换分区2）当程序运行的过程中异样终止或崩溃，操作系统会将程序当时的内存状态记录下来，保存在COreDUmP文件中，以便利编程人员调试。COreDUmP文件会占用大量磁盘空间，非特别状况建议关闭COreDUmP功能。吩咐：vietcsecuritylimits.confsoftcore0hardcoreO3）Ping吩咐般都是入侵者入侵的第一步，通过Ping入侵者可以得到服务器的一些基本信息，禁止Ping吩咐让入侵者误认为当前地址没有启用，可以极大的增加整个系统的平安性。吩咐：echo1>/proc/sysnetipv4icmp_echo_ignore_a11禁用pingechoO>/proc/sys/net/ipv4/icmp_echo_ignore_all启用ping4）入侵者制造大量伪造成来自于不同IP的数据恳求，以伪造的源IP数据包，冒充其他系统的身份进行IP欺瞒。运用下边吩咐来防止IP欺瞒。吩咐：Vihost.conforderbind,hostsmultioffnospoofon5)现在网络上拒绝服务攻击工具泛滥，并且拒绝服务攻击针对的协议层其缺陷短时无法变更，拒绝服务攻击也就成为流传广泛、极难防范的一种攻击方式。防止拒绝服务攻击，可以对系统资源做限制，使得系统增加抗DoS实力。如最大进程数和内存运用数量等。吩咐：vietcsecuritylimits.confhardcore0hardrss10000hardnproc20vi/etc/pain,d/loginsessionrequired/lib/security/pam_limits.so6)检测网络接口状况，正常状况下，RX-ERR/TX-ERR、RX-)RPTX-DRP和RX-()VRTX-()VR的值都应当为0,假如这几个选项的值不为0,并且很大，那么网络质量确定有问题，网络传输性能也确定会下降。当网络传输存在问题是，可以检测网卡设备是否存在故障，假如可能，可以升级为千兆网卡或者光纤网络,还可以检查网络部署环境是否合理。吩咐：netstat-i5日志管理在1.inUX操作系统中日志是特别重要的一个组成部分，它记录了系统所发生的每一个事务，系统管理人员可以通过日志查看用户登录登出、服务的启动关闭、系统错误、突发事务等，经过分析得到受到攻击时攻击者留下的痕迹。系统管理人员要应当提高警惕，随时留意各种可疑状况，并且按时和随机地检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要留意是否有不合常理的时间记我。例如：用户在特别规的时间登录；不正常的日志记录，比如日志的残缺不全或者是诸如Wtnip这样的日志文件无故地缺少了中间的记录文件；用户登录系统的IP地址和以往的不样；用户登录失败的日志记录，尤其是那些一再连续尝试进入失败的日志记录；非法运用或不正值运用超级用户权限SU的指令：无故或者非法重新启动各项网络服务的记录。1）查看系统Fl志。吩咐：Cat/var1ogmessages2）查看系统平安日志。吩咐：Catvarlogsecure3）查看运用者登录日志。吩咐：last4）查看最近每个运用者登录系统的时间。吩咐：lastlog5）查看最终一次系统引导日志。吩咐：dmesg6）查看定时任务日志。吩咐：catvarlogcron7）查看邮件系统日志。吩咐：catvarlogmai1log6结论随着计算机技术的E速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到政府、军事、金融、文教等诸多领域,存储、传输和处理的很多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。网络信息平安是一个关系国家平安和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快越来越重要。越来越多的企业、事业单位正在运用1.inUX作为整个服务器的操作系统，1.inux系统的平安性已经成为网络信息平安的保证。合理的优化和配置将大大提高1.inux系统的平安性。