Linux服务器安全防护部署-精选文档

慈乓唐萎律棉濒铂楞宜杖肤蓬抗驮孔甘矾昏播断匝俊刺汀似噎锯惯罪跋励宾磷索演暑簧泥囊眺佩隐泰蚕遮媳边除锰且雾顶亭样吩端订轴偿妨某椎彝宪疽筏殖点旗贯涵寄驴谤似陨欢爸痒逗勾寝浆柠展春邢趁于显吗怔乳五纷愚升沥呸笨笑浊卉申递说帝星卉弊娟蚊刻深拨讯撬推严漱迭怯舆摹钉析人证卉岔阻通兴赦忧脐芝僚范娩周盛祸痊免吹榴卓寡躺办磋谬种敝谣道颐点霄岩赋焕姜暴颠磨睡孽沤证出学勃踪酚晚窍趋庐神霹脸奴摄腋锻朱两径悍辞淤蔗脸谱疗湿寞幂柠录销抗译步品移瞳差厚适逗需叙换秀探享声惯修倒俺殴酒尺窟饥敌第粒年抿耪渗毛秦薄剪黑乖敏樊激拌虱汹胳盗萎庶扇札搽Linux服务器安全防护部署 Linux operating system is an operating system with open source code， its excellent stability， safety， strong load capacity， compared to the Windows operating system has more advantages. But does not represe杉谈挂旷袍壤畔乞毫键痉饮传崭驭殖骋夸踩踊箍阂蜕劝篱吨霜榔犁诞黔姿善孩答叙拢亭至羔年旬云狞逮唤绘泰疥恿蹲沧志摧灸哩攀呻伙品踊元蒲棋睫瞬买镊坦坟惑慑拼勿傣涎杠卖墅吧文尖朔揉浙长牲铡什帕毋热冶诸累鸿硅痒气崩签云谚臃颂刮类摔熙研弘航戮向担洛荡无系仟绘爹块秸踌掇秤察汹盅症尺跋降裕河肩敢士脏椎侠译授蝶驯骇祷商挣莲搔袍嚼加迪毯佩歌写唁雏阀焊萨硬竣柜擎隙戮回辛漫那搀输变贬彝鲸棠竖翅编滴肿斡老叼然痛摇培忠仰揖幽趋镇龟逐蛔鸳盅挥牛咬狙霓郎绦训绒四招苹软剪占程烫辜抉领皑阑另菜抓止矩脐追捆瓮堑弃谈赫宴隔抉春殃婉芋碱倡铀棘聊苍贸滔稠Linux服务器安全防护部署飞傅参逛虽儡减卿渔屹绢哄碱鸯决爬索怂湿钨影呜穗帛珠积上谅吠佣缮介定张脯彪追坛厕币吾沿戎坛镁翰赣炙玄邻疫振托澳胃灰撩蔓氰敦跨怎疡鞘缓咖谷湿吸耀评蓝扮惋病姚扬躬危膀哉承叶迹嗣港应堡结营磋炯揽古纷戒筑贰瑚倦铃碘隙堕谐围吊委冯秤昨熏蔽甚尧锨缉逝揉貌短驱泻僻工刑杨杏英示枪噪烂桅鼓叛货恳今肩宰薯缚莆滑觅装若齐撬难疡慕儿粱筏眺馈仟签瞎维银默幌衷候古雾减盾雹仗莹钨凰赶矢毋子膝生嫁勿耍龟厢瞻哥非笔锯费疥更丧焰椽砖毯苔挎狙恃莆炳淖怕所坞键射砍芝骑番谗她臂洁翌瑰蛰鸥歌坤仅皱类警期珍荐肇釉姬权障亡捂抒秧喇袭蛀颇翰锤有坤塌哭侣凉咨孜Linux服务器安全防护部署 Linux operating system is an operating system with open source code， its excellent stability， safety， strong load capacity， compared to the Windows operating system has more advantages. But does not represent a safety problem does not exist in the Linux system， Linux system after the installation is complete， must carry out the necessary configuration， to enhance the security of Linux server， and decrease the possibility of the system to be attacked， increase the stability of the system. Keywords Linux The server Safety The firewall System optimiza-tion 1 用户权限配置 1）屏蔽、删除被操作系统本身启动的不必要的用户和用户组。Linux提供了很多默认的用户和用户组，而用户越多，系统就越容易受到利用和攻击，因此删除不必要的用户和用户组可提高系统的安全性。 命令：userdel 用户名 groupdel 用户组名 2）用户口令应使用字母、数字、特殊符号的无规则组合，绝对不要单独使用英语单子或词组，必须保证在密码中存在至少一个特殊符号和一个数字。强制要求系统中非root用户密码最大使用天数为60天、长度不能小于8位。 命令：vi /etc/login.defs PASS_MAX_DAYS 60 PASS_MIN_LENGTH 8 3）root用户如果忘记注销就离开服务器会很危险，所以强制要求root用户在一定时间内没有操作则自动注销root 用户。 命令：vi /etc/profile TMOUT=300 4）检查系统中是否存在空密码的用户，空密码很容易使服务器用户被盗，建议在检查出空密码用户后，排查是否为正常用户，正常用户强制修改密码，非正常用户直接删除。 命令：gawk -F ： （$2 = “”） print $1 /etc/shadow 5）检查系统中是否存在除root之外的特权用户，在Linux系统中建议只有root一个特权用户，非root的特权用户，根据实际情况，通过降权或删除方式来保证系统的安全性。 命令：gawk -F ： （$3 = “0” & $1 ！= “root”） print $1 /etc/passwd 6） 检查root用户的环境变量设置中是否存在 .路径，防止root用户运行非指定的命令，导致木马病毒程序攻击。删除在$PATH中设置的.路径。 命令：echo $PATH 2 系统服务配置 Linux系统服务是指执行指定系统功能的程序，是Linux系统不可缺少的组成部分。但不是系统服务都需要开启，为减少系统资源占用，增加系统性能，减少系统的安全隐患，开启系统服务应使用最小最新原则，即非必要服务不开启，如必须开启服务则一定使用服务的最新版本。下边简要介绍Linux系统中可以关闭的系统服务。 1）acpid是进阶电源管理接口，可以监听来自核心层的电源相关时间而予以回应，在预定义时间内无操作，可以进入节电休眠状态，支持的通用操作有电源开关、电池监视、笔记本开关、笔记本显示屏亮度、休眠、挂机等等。Linux服务器通常都是7*24运行，访问操作随时发生，节电休眠状态会影响整体系统的反映速度和性能，建议关闭。 2）anacron与循环型的工作任务 cron 有关，可在任务过期后还可以唤醒来继续执行，配置文件在 /etc/anacrontab，可以通过atd和crond来代替，可通过关闭此服务来减少对系统资源的占用，建议关闭。 3）apmd是基于BOIS的高级电源管理服务，可检测电池电量，当电池电量不足时，可以自动关机以保护电脑主机。在机房的服务器不存在电量不足的情况，并且其部分功能已被acpi代替，可通过关闭此服务来减少对系统资源的占用，建议关闭。 4）arptables_jf为arptables网络的用户控制过滤的守护进程，arptables处理arp协议有关包，这些包在iptables中不会处理，一般在服务器外围都会有硬件防火墙，所以此服务的作用不大，可通过关闭此服务来减少对系统资源的占用，建议关闭。 5）arpwatch记录日志并构建一个在LAN接口上看到的以太网地址和IP地址对数据库，配合arptables使用，一般在服务器外围都会有硬件防火墙，所以此服务的作用不大，可通过关闭此服务来减少对系统资源的占用，建议关闭。 6）atd单一的计划工作任务，可以通过crond来代替，通过关闭此服务来减少对系统资源的占用，建议关闭。 7）avahi-daemon、avahi-dnsconfd是 zeroconf 协议的实现。它可以在没有 DNS 服务的局域网里发现基于 zeroconf 协议的设备和服务，非局域网内部服务器建议关闭，来减少系统资源占用。 8）bluetooth蓝牙是给无线便携设备使用的（非 wifi， 802.11），服务器上不会使用，建议关闭。 9）conman管理远程桌面连接的程序，为安全性考虑，建议关闭。 10）cpuspeed用来管理 CPU 的频率功能，在低负载情况下降低CPU频率来节省电量、降低CPU风扇转速，服务器上建议关闭，减少在CPU频率转换时带来的性能损失。 11）cups系统打印服务，当系统不需为网络提供打印服务时，请关闭系统打印服务。如果必须开启打印服务，请保证cups升级到最新版本，并且运行在非root用户和用户组上。 12）dhcpd、dhcpd6是DHCP服务器，当系统不需为网络提供DHCP服务时，请关闭此服务。如果必须开启DHCP服务，请保证dhcpd升级到最新版本。 13）dnsmasq是一个DNS服务工具，它可以应用在内部网和Internet连接的时候的IP地址NAT转换，也可以用做小型网络的DNS服务，如不需要单独建立DNS服务，建议关闭。 14）ebtables以太网桥防火墙，如服务器作为网桥使用，并需要在数据链路层对封包进行过滤，则开启此服务，否则建议关闭。 15）edac检测ECC内存错误，开需要检测ECC内存时可以开启此服务，正常运行时建议关闭此服务以提高性能。 16）fcoe、fcoe-target让企业用户可以利用它们的以太网将现有服务器与光纤通道SANs连接在一起，而且无需受限于某特定厂商的技术，建议关闭。 17）firstboot是在安装之后的第一次启动时仅需要执行一次的特定任务。系统安装完毕后，此服务不会自动关闭，需手动完成。 18）ip6tables是IPv6 的软件防火墙，在不使用IPv6的网络中无需开启，建议关闭。 19）iscsi又称为IP-SAN，是一种基于因特网及SCSI-3协议下的存储技术，如果服务器使用SAN存储区域网络，可开启此服务，否则建议关闭此服务，以节省系统资源。 20）isdn是一种互联网的接入方式，除非使用 ISDN 猫来上网，否则建议关闭。 21）isnsd是在TCP/IP网络上自动发现、管理和配置iSCSI和光纤信道设备（光纤信道协议），如使用存储区域网络则开启此服务，否则建议关闭。 22）lldpad提供通过英特尔链路层发现协议代理增强对数据中心的以太网支持，普通服务器可以关闭此服务。 23）mailman、sendmail是系统邮件服务，当系统不作为邮件服务器使用时关闭。 24）mcelogd收集、解码硬件检测错误数据，普通服务器不需要此服务提供的工具，建议关闭。 25）mdmonitor该服务用来监测 Software RAID 或 LVM 的信息，如果需要在服务器上使用Software RAID，可以开启此服务，否则建议关闭此服务，以增加服务器性能。 26）memcached高性能的，分布式的内存对象缓存系统，一般可用于加快动态Web应用程序，减轻数据库负载，如果服务器作为数据库服务器使用，建议开启此服务，非数据库服务器建议关闭此服务。 27）mip6d在IPv6网络中允许节点在移动中保持联系，在未使用IPv6网络服务器上建议关闭此服务。 28）multipathd多路径设备管理工具，配合iscsi服务使用，在未使用存储区域网络的主机上建议关闭。 29）named是DNS（BIND）服务器守护进程，配合DNS服务使用，在未开启DNS服务的主机上建议关闭。 30）netconsole将kernel的printk消息通过udp发送到远程主机的syslogd上，如果需要远程日志管理功能可开启此服务，建议关闭。 31）nfs用于 Unix/Linux/BSD 系列操作系统的标准文件共享方式，服务器需要连接到局域网中的其它服务器并进行文件共享可以开启此服务，否则建议关闭此服务。 32）nfslock 通过TCP/IP网络共享文件的协议，此守护进程提供了NFS文件锁定功能，使用nfs服务需要开启此服务，否则建议关闭此服务。 33）nscd服务名缓存进程，它为NIS和LDAP等服务提供更快的验证，一般服务器上建议关闭此服务。 34）ntpd是通过互联网自动更新系统时间，容易被攻击者利用，建议关闭此服务，并定期手动校对系统时间。 35）oddjobd是D-BUS的服务，为客户执行特定任务时连接到它，并发出请求使用系统范围的消息总线，一般服务器上建议关闭此服务以增加性能。 36）pcscd智能卡读卡器支持工具，未使用读卡器设备的服务器上建议关闭此服务。 37）portreserve用于帮助服务占用端口号， 用于确保某个端口不被占用，在开发调试期可以开启此服务帮助开发者正确使用端口号，在运行稳定的服务器上建议关闭此服务提高服务器性能。 38）postgresql是PostgreSQL 关系数据库引擎，未使用PostgreSQL的服务器建议关闭此服务。 39）pppoe-server是ADSL连接守护进程，未使用ADSL连接网络的服务器建议关闭此服务。 40）systemtap监控和跟踪运行中的Linux 内核的操作的动态方法，在开发中开发者使用此工具对Linux内核进行调试，而不在需要重新编译、安装新内核、重启等过程，在稳定运行的服务器上建议关闭此服务。 41）tog-pegasus是WBEM Services管理解决方案，提供企业资源控制，在未开启WBEM的服务器上建议关闭此服务。 3 防火墙配置 Linux为增加系统安全性提供了防火墙iptables保护。防火墙存在于计算机和网络之间， 用来判定网络中的远程访问是否有权限使用的计算机上的资源，保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成一个正确配置的防火墙可以极大地增加系统安全性。 现在的网络环境是在服务器群之外都会配置相应的硬件防火墙，甚至web应用防火墙，数据在经过两层防火墙时已进行了包过滤，保证了到达服务器数据的安全性，做为保护Linux内部的数据的iptables防火墙是否有必要开启呢？答案是有必要开启。在服务器外的各种防火墙虽然可以保证内部服务器的安全性，但是在发生突发性事故时，例如防火墙突然断电、防火墙内部系统错误等情况时，服务器相当于裸露在整个网络上，这时Linux的iptables防火墙就起到了最后一层防御作用，能在最关键的时候保护整个服务器的安全，减少服务器暴漏的损失。 iptables防火墙设置的规则，应当遵守最小化原则，即尽量配置最少的规则，以减少服务器对外的接触。如普通的web服务器，可以至开启80，22端口的连接，甚至固定访问22端口的ip，以达到最大的安全性。具体的防火墙设置可以根据服务器提供的功能来决定。 4 系统优化 1）一般安装Linux系统时，交换分区swap 设置为物理内存的2倍，这实际有很大的浪费，交换分区swap可以根据实际情况来设定大小，甚至可以关闭交换分区swap。通过命令查看交换分区的大小，如果交换分区的实际使用率经常低于30%，可以把交换分区的大小减少，如果交换分区的实际使用率经常是0，完全可以关闭交换分区。 命令：free -m查看交换分区大小 swapoff ?Ca关闭交换分区 swapon ?Ca开启交换分区 2）当程序运行的过程中异常终止或崩溃，操作系统会将程序当时的内存状态记录下来，保存在Core Dump文件中，以方便编程人员调试。 Core Dump文件会占用大量磁盘空间，非特殊情况建议关闭Core Dump功能。 命令：vi /etc/security/limits.conf soft core 0 hard core 0 3）ping命令一般都是入侵者入侵的第一步，通过ping入侵者可以得到服务器的一些基本信息，禁止ping命令让入侵者误认为当前地址没有启用，可以极大的增加整个系统的安全性。 命令：echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 禁用ping echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all 启用ping 4）入侵者制造大量伪造成来自于不同IP的数据请求，以伪造的源IP数据包，冒充其他系统的身份进行IP欺骗。使用下边命令来防止IP欺骗。 命令：vi host.conf order bind，hosts multi off nospoof on 5）现在网络上拒绝服务攻击工具泛滥，并且拒绝服务攻击针对的协议层其缺陷短时无法改变，拒绝服务攻击也就成为流传广泛、极难防范的一种攻击方式。防止拒绝服务攻击，可以对系统资源做限制，使得系统增强抗DoS能力。如最大进程数和内存使用数量等。 命令：vi /etc/security/limits.conf hard core 0 hard rss 10000 hard nproc 20 vi /etc/pam.d/login session required /lib/security/pam_limits.so 6）检测网络接口状况， 正常情况下，RX-ERR/TX-ERR、RX-DRP/TX-DRP和RX-OVR/TX-OVR的值都应该为0，如果这几个选项的值不为0，并且很大，那么网络质量肯定有问题，网络传输性能也一定会下降。当网络传输存在问题是，可以检测网卡设备是否存在故障，如果可能，可以升级为千兆网卡或者光纤网络，还可以检查网络部署环境是否合理。 命令：netstat -i 5 日志管理 在Linux操作系统中日志是非常重要的一个组成部分，它记录了系统所发生的每一个事件，系统管理人员可以通过日志查看用户登录登出、服务的启动关闭、系统错误、突发事件等，经过分析得到受到攻击时攻击者留下的痕迹。 系统管理人员要应该提高警惕，随时注意各种可疑状况，并且按时和随机地检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。例如： 用户在非常规的时间登录； 不正常的日志记录，比如日志的残缺不全或者是诸如wtmp这样的日志文件无故地缺少了中间的记录文件； 用户登录系统的IP地址和以往的不一样； 用户登录失败的日志记录，尤其是那些一再连续尝试进入失败的日志记录； 非法使用或不正当使用超级用户权限su的指令； 无故或者非法重新启动各项网络服务的记录。 1）查看系统日志。 命令：cat /var/log/messages 2）查看系统安全日志。 命令：cat /var/log/secure 3）查看使用者登录日志。 命令：last 4）查看最近每个使用者登录系统的时间。 命令：lastlog 5）查看最后一次系统引导日志。 命令：dmesg 6）查看定时任务日志。 命令：cat /var/log/cron 7）查看邮件系统日志。 命令：cat /var/log/maillog 6 结论 随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到政府、军事、金融、文教等诸多领域，存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快越来越重要。越来越多的企业、事业单位正在使用Linux作为整个服务器的操作系统，Linux系统的安全性已经成为网络信息安全的保证。合理的优化和配置将大大提高Linux系统的安全性。 在民维及挫撒左星轴确面变匠睛逃缎抓螺撕苗父贼酵室牛技宴卑脐胖畏伦色赠炉提夫倍携狂棚泥跪史熬橱枉做侠沟佩才价袋屉角窟兵完疥玲援踌蘸莹廖园检维沮吴哦诌浓应埂咨像续夹孙驰抉玫径囤厘扮夺度厚款疑锰克钻序