Linux服务器安全防护部署-精选文档

1、Linux 服务器安全防护部署Linux operating system is an operating system with open source code， its excellent stability ， safety ， strong load capacity ， compared to the Windows operating system has more advantages. But does not represent a safety problem does not exist in the Linux system ， Linux system after

2、the installation is complete， must carry out thenecessary configuration ， to enhance the security of Linux server ， and decrease the possibility of the system to be attacked ， increase the stability of the system.Keywords Linux The server Safety The firewall System optimiza-tion1 用户权限配置1）屏蔽、删除被操作系统本

3、身启动的不必要的用户和用户组。 Linux 提供了很多默认的用户和用户组，而用户越多，系统就越容易受到利用和攻击，因此删除不必要的用户和用户组可提高系统的安全性。命令： userdel 用户名 groupdel 用户组名2）用户口令应使用字母、数字、特殊符号的无规则组合，绝对不要单独使用英语单子或词组，必须保证在密码中存在至少一个特殊符号和一个数字。强制要求系统中非root 用户密码最大使用天数为60 天、长度不能小于8 位。命令： vi /etc/login.defsPASS_MAX_DAYS 60PASS_MIN_LENGTH 83) root 用户如果忘记注销就离开服务器会很危险，所以强

4、制要求 root 用户在一定时间内没有操作则自动注销root用户。命令： vi /etc/profileTMOUT=3004)检查系统中是否存在空密码的用户，空密码很容易使服务器用户被盗，建议在检查出空密码用户后，排查是否为正常用户，正常用户强制修改密码，非正常用户直接删除。命令： gawk - F ：' ( $2 = “”) print $1/etc/shadow5)检查系统中是否存在除root 之外的特权用户，在Linux系统中建议只有root 一个特权用户，非 root 的特权用户，根据实际情况，通过降权或删除方式来保证系统的安全性。命令： gawk - F：' ( $3

5、 = “ 0” &&$1 ！ = “ root ”)print $1 /etc/passwd6) 检查 root 用户的环境变量设置中是否存在 . 路径，root 用户运行非指定的命令，导致木马病毒程序攻击。删除在$PAT叶设置的.路径。命令： echo $PATH2 系统服务配置Linux 系统服务是指执行指定系统功能的程序，是Linux 系统不可缺少的组成部分。但不是系统服务都需要开启，为减少系统资源占用，增加系统性能，减少系统的安全隐患，开启系统服务应使用最小最新原则，即非必要服务不开启，如必须开启服务则一定使用服务的最新版本。下边简要介绍Linux 系统中可以关闭的系统

6、服务。1) acpid 是进阶电源管理接口，可以监听来自核心层的电源相关时间而予以回应，在预定义时间内无操作，可以进入节电休眠状态，支持的通用操作有电源开关、电池监视、笔记本开关、笔记本显示屏亮度、休眠、 挂机等等。Linux 服务器通常都是7*24运行， 访问操作随时发生，节电休眠状态会影响整体系统的反映速度和性能，建议关闭。2) anacron 与循环型的工作任务cron 有关，可在任务过期后还可以唤醒来继续执行，配置文件在/etc/anacrontab ， 可以通过 atd 和 crond 来代替， 可通过关闭此服务来减少对系统资源的占用，建议关闭。3) apmd是基于BOIS的高级电源

7、管理服务，可检测电池电量，当电池电量不足时，可以自动关机以保护电脑主机。在机房acpi 代替，可通过关闭此服务来减少对系统资源的占用，建议关闭。4) arptables_jf 为 arptables 网络的用户控制过滤的守护进程， arptables 处理 arp 协议有关包，这些包在iptables 中不会处理，一般在服务器外围都会有硬件防火墙，所以此服务的作用不大，可通过关闭此服务来减少对系统资源的占用，建议关闭。5) arpwatch记录日志并构建一个在 LAN接口上看到的以太网地址和IP 地址对数据库，配合arptables 使用，一般在服务器外围都会有硬件防火墙，所以此服务的作用不大

8、，可通过关闭此服务来减少对系统资源的占用，建议关闭。6) atd 单一的计划工作任务，可以通过crond 来代替， 通过关闭此服务来减少对系统资源的占用，建议关闭。7) avahi-daemon 、 avahi-dnsconfd 是 zeroconf 协议的实现。它可以在没有DNS 服务的局域网里发现基于zeroconf 协议的设备和服务，非局域网内部服务器建议关闭，来减少系统资源占用。8) bluetooth 蓝牙是给无线便携设备使用的(非wifi ，802.11 )，服务器上不会使用，建议关闭。9) conman管理远程桌面连接的程序，为安全性考虑，建议关闭。10) cpuspeed 用来

9、管理CPU 的频率功能，在低负载情况下降低CPU®率来节省电量、降低CPU风扇转速，服务器上建议关 闭，减少在CPU®率转换时带来的性能损失。11) cups 系统打印服务，当系统不需为网络提供打印服务时， 请关闭系统打印服务。如果必须开启打印服务，请保证 cups升级到最新版本，并且运行在非root 用户和用户组上。12) dhcpd、dhcpd6是DHCPI艮务器，当系统不需为网络提 供DHCPI艮务时，请关闭此服务。如果必须开启DHCP1艮务，请保证 dhcpd 升级到最新版本。13) dnsmasq是一个DNS服务工具，它可以应用在内部网和 Internet连接的时

10、候的IP地址NA璐专换，也可以用做小型网络 的DNSS艮务，如不需要单独建立 DNS服务，建议关闭。14) ebtables 以太网桥防火墙，如服务器作为网桥使用，并需要在数据链路层对封包进行过滤，则开启此服务，否则建议关闭。15) edac检测ECCft存错误，开需要检测 ECCft存时可以开启此服务，正常运行时建议关闭此服务以提高性能。16) fcoe 、 fcoe-target 让企业用户可以利用它们的以太网将现有服务器与光纤通道 SAN匪接在一起，而且无需受限于某特定厂商的技术，建议关闭。17) firstboot 是在安装之后的第一次启动时仅需要执行一次的特定任务。系统安装完毕后，此

11、服务不会自动关闭，需手动 完成。18) ip6tables 是 IPv6 的软件防火墙，在不使用IPv6 的网络中无需开启，建议关闭。19) iscsi又称为IP-SAN,是一种基于因特网及 SCSI-3协 议下的存储技术，如果服务器使用SAN存储区域网络，可开启此 服务，否则建议关闭此服务，以节省系统资源。20) isdn 是一种互联网的接入方式，除非使用ISDN 猫来上网，否则建议关闭。21) isnsd 是在 TCP/IP 网络上自动发现、管理和配置iSCSI和光纤信道设备(光纤信道协议)，如使用存储区域网络则开启 此服务，否则建议关闭。22) lldpad 提供通过英特尔链路层发现协议

12、代理增强对数 据中心的以太网支持，普通服务器可以关闭此服务。23) mailman、 sendmail 是系统邮件服务，当系统不作为邮 件服务器使用时关闭。24) mcelogd 收集、解码硬件检测错误数据，普通服务器不 需要此服务提供的工具，建议关闭。25) mdmonitor 该服务用来监测Software RAID 或 LVM 的信息，如果需要在服务器上使用Software RAID ，可以开启此服务，否则建议关闭此服务，以增加服务器性能。26) memcachedlf性能的，分布式的内存对象缓存系统，一 般可用于加快动态 Web应用程序，减轻数据库负载，如果服务器 作为数据库服务器使用

13、，建议开启此服务，非数据库服务器建议关闭此服务。27) mip6d 在 IPv6 网络中允许节点在移动中保持联系，在未使用 IPv6 网络服务器上建议关闭此服务。28) multipathd 多路径设备管理工具，配合iscsi 服务使用，在未使用存储区域网络的主机上建议关闭。29) named是DNS (BIND)服务器守护进程，配合 DNS服务 使用，在未开启DNS®务的主机上建议关闭。30) netconsole 将 kernel 的 printk 消息通过udp 发送到远程主机的syslogd 上， 如果需要远程日志管理功能可开启此服务，建议关闭。31) nfs 用于 Unix

14、/Linux/BSD 系列操作系统的标准文件共享方式， 服务器需要连接到局域网中的其它服务器并进行文件共享可以开启此服务，否则建议关闭此服务。32) nfslock 通过 TCP/IP 网络共享文件的协议，此守护进程提供了 NFS文件锁定功能，使用nfs服务需要开启此服务，否 则建议关闭此服务。33) nscd服务名缓存进程，它为 NIS和LDA商服务提供更快的验证，一般服务器上建议关闭此服务。34) ntpd 是通过互联网自动更新系统时间，容易被攻击者利用，建议关闭此服务，并定期手动校对系统时间。35) oddjobd是D-BUS的服务，为客户执行特定任务时连接到它， 并发出请求使用系统范围

15、的消息总线，一般服务器上建议关闭此服务以增加性能。36) pcscd 智能卡读卡器支持工具，未使用读卡器设备的服务器上建议关闭此服务。37) portreserve 用于帮助服务占用端口号，用于确保某个端口不被占用，在开发调试期可以开启此服务帮助开发者正确使用端口号，在运行稳定的服务器上建议关闭此服务提高服务器性能。38) postgresql 是 PostgreSQL 关系数据库引擎，未使用PostgreSQL 的服务器建议关闭此服务。39) pppoe-server是ADSL1接守护进程，未使用 ADSLS 接网络的服务器建议关闭此服务。40) systemtap 监控和跟踪运行中的Lin

16、ux 内核的操作的动态方法，在开发中开发者使用此工具对Linux 内核进行调试，而不在需要重新编译、安装新内核、重启等过程，在稳定运行的服务器上建议关闭此服务。41) tog-pegasus是WBEM Services管理解决方案，提供企 业资源控制，在未开启 WBEM)服务器上建议关闭此服务。3 防火墙配置Linux 为增加系统安全性提供了防火墙iptables 保护。防火墙存在于计算机和网络之间，用来判定网络中的远程访问是否有权限使用的计算机上的资源，保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4 个部分组成一个正确配置的防火墙可以极大地增加系统安全

17、性。现在的网络环境是在服务器群之外都会配置相应的硬件防火墙，甚至web应用防火墙，数据在经过两层防火墙时已进行了包过滤， 保证了到达服务器数据的安全性，做为保护Linux 内部的数据的iptables 防火墙是否有必要开启呢？答案是有必要开启。在服务器外的各种防火墙虽然可以保证内部服务器的安全性，但是在发生突发性事故时，例如防火墙突然断电、防火墙内部系统错误等情况时，服务器相当于裸露在整个网络上，这时Linux 的 iptables 防火墙就起到了最后一层防御作用，能在最关键的时候保护整个服务器的安全，减少服务器暴漏的损失。iptables 防火墙设置的规则，应当遵守最小化原则，即尽量配置最少

18、的规则，以减少服务器对外的接触。如普通的web服务器，可以至开启80， 22 端口的连接，甚至固定访问22 端口的ip ， 以达到最大的安全性。具体的防火墙设置可以根据服务器提供的功能来决定。4 系统优化1）一般安装Linux 系统时，交换分区swap 设置为物理内存的 2 倍，这实际有很大的浪费，交换分区swap 可以根据实际情况来设定大小，甚至可以关闭交换分区swap。通过命令查看交换分区的大小，如果交换分区的实际使用率经常低于30%，可以把交换分区的大小减少，如果交换分区的实际使用率经常是0，完全可以关闭交换分区。命令： free -m 查看交换分区大小swapoff ?Ca 关闭交换分

19、区swapon ?Ca开启交换分区2)当程序运行的过程中异常终止或崩溃，操作系统会将程序当时的内存状态记录下来，保存在Core Dum位件中，以方便编程人员调试。Core Dump 文件会占用大量磁盘空间，非特殊情况建议关闭Core Dump功能。命令： vi /etc/security/limits.confsoft core 0hard core 03) ping 命令一般都是入侵者入侵的第一步，通过ping 入侵者可以得到服务器的一些基本信息，禁止ping 命令让入侵者误认为当前地址没有启用，可以极大的增加整个系统的安全性。命令： echo 1 >/proc/sys/net/ipv

20、4/icmp_echo_ignore_all 禁用 pingecho 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all启用 ping4) 入侵者制造大量伪造成来自于不同IP 的数据请求，以伪造的源 IP 数据包， 冒充其他系统的身份进行IP 欺骗。 使用下边命令来防止IP 欺骗。命令： vi host.conforder bind ， hostsmulti offnospoof on5）现在网络上拒绝服务攻击工具泛滥，并且拒绝服务攻击针对的协议层其缺陷短时无法改变，拒绝服务攻击也就成为流传广泛、极难防范的一种攻击方式。防止拒绝服务攻击，可以对系统资源

21、做限制，使得系统增强抗DoS能力。如最大进程数和内存使用数量等。命令： vi /etc/security/limits.confhard core 0hard rss 10000hard nproc 20vi /etc/pam.d/loginsession required /lib/security/pam_limits.so6）检测网络接口状况，正常情况下，RX-ERR/TX-ERR、RX-DRP/TX-DR彝口 RX-OVR/TX-OVR勺值者B应该为 0,如果这几个选项的值不为0，并且很大，那么网络质量肯定有问题，网络传输性能也一定会下降。当网络传输存在问题是，可以检测网卡设备是否存在故障，如果可能，可以升级为千兆网卡或者光纤网络，还可以检查网络部署环境是否合理。命令： netstat -i5 日志管理在 Linux 操作系统中日志是非常重要的一个组成部分，它记录了系统所发生的每一个事件，系统管理人员可以通过日志查看用户登录登出、服务的启动关闭、系统错误、突发事件等，经过 分析得到受到攻击时攻击者留下的痕迹。系统管理人员