Linux操作系統(tǒng)的基本安全措施

　　Linux操作系統(tǒng)跟普通的系統(tǒng)一樣，系統(tǒng)安全是需要維護的。下面由學習啦小編整理了Linux操作系統(tǒng)的基本安全措施，希望對你有幫助。

　　Linux操作系統(tǒng)的基本安全措施一

　　1. 使用SELinux

　　SELinux是用來對Linux的進行安全加固的，有了它，用戶和管理員們就可以對訪問控制進行更多控制。SELinux為訪問控制添加了更細的顆粒度控制。與僅可以指定誰可以讀、寫或執(zhí)行一個文件的權(quán)限不同的是，SELinux可以讓你指定誰可以刪除鏈接、只能追加、移動一個文件之類的更多控制。(LCTT譯注：雖然NSA也給SELinux貢獻過很多代碼，但是目前尚無證據(jù)證明SELinux有潛在后門)

　　2. 訂閱漏洞警報服務

　　安全缺陷不一定是在你的操作系統(tǒng)上。事實上，漏洞多見于安裝的應用程序之中。為了避免這個問題的發(fā)生，你必須保持你的應用程序更新到最新版本。此外，訂閱漏洞警報服務，如SecurityFocus。

　　3. 禁用不用的服務和應用

　　通常來講，用戶大多數(shù)時候都用不到他們系統(tǒng)上的服務和應用的一半。然而，這些服務和應用還是會運行，這會招來攻擊者。因而，最好是把這些不用的服務停掉。(LCTT譯注：或者干脆不安裝那些用不到的服務，這樣根本就不用關注它們是否有安全漏洞和該升級了。)

　　4. 檢查系統(tǒng)日志

　　你的系統(tǒng)日志告訴你在系統(tǒng)上發(fā)生了什么活動，包括攻擊者是否成功進入或試著訪問系統(tǒng)。時刻保持警惕，這是你第一條防線，而經(jīng)常性地監(jiān)控系統(tǒng)日志就是為了守好這道防線。

　　5. 考慮使用端口試探

　　設置端口試探(Port knocking)是建立服務器安全連接的好方法。一般做法是發(fā)生特定的包給服務器，以觸發(fā)服務器的回應/連接(打開防火墻)。端口敲門對于那些有開放端口的系統(tǒng)是一個很好的防護措施。

　　6. 使用Iptables

　　Iptables是什么?這是一個應用框架，它允許用戶自己為系統(tǒng)建立一個強大的防火墻。因此，要提升安全防護能力，就要學習怎樣一個好的防火墻以及怎樣使用Iptables框架。

　　7. 默認拒絕所有

　　防火墻有兩種思路：一個是允許每一點通信，另一個是拒絕所有訪問，提示你是否許可。第二種更好一些。你應該只允許那些重要的通信進入。(LCTT譯注：即默認許可策略和默認禁止策略，前者你需要指定哪些應該禁止，除此之外統(tǒng)統(tǒng)放行;后者你需要指定哪些可以放行，除此之外全部禁止。)

　　8. 使用入侵檢測系統(tǒng)

　　入侵檢測系統(tǒng)，或者叫IDS，允許你更好地管理系統(tǒng)上的通信和受到的攻擊。Snort是目前公認的Linux上的最好的IDS。

　　9. 使用全盤加密

　　加密的數(shù)據(jù)更難竊取，有時候根本不可能被竊取，這就是你應該對整個驅(qū)動器加密的原因。采用這種方式后，如果有某個人進入到你的系統(tǒng)，那么他看到這些加密的數(shù)據(jù)后，就有得頭痛了。根據(jù)一些報告，大多數(shù)數(shù)據(jù)丟失源于機器被盜。

　　Linux操作系統(tǒng)的基本安全措施二

　　1、BIOS的安全設置

　　這是最基本的了，也是最簡單的了。一定要給你的BIOS設置密碼，以防止通過在BIOS中改變啟動順序，而可以從軟盤啟動。這樣可以阻止別有用心的試圖用特殊的啟動盤啟動你的系統(tǒng)，還可以阻止別人進入BIOS改動其中的設置，使機器的硬件設置不能被別人隨意改動。

　　2、LILO的安全設置

　　LILO是linux LOader的縮寫，它是linux的啟動模塊?？梢酝ㄟ^修改“/etc/lilo.conf”文件中的內(nèi)容來進行配置。在/etc/lilo.conf文件中加如下面兩個參數(shù)：restricted，password.這三個參數(shù)可以使你的系統(tǒng)在啟動lilo時就要求密碼驗證。

　　第一步：編輯lilo.conf文件(vi /etc/lilo.comf)，假如或改變這三個參數(shù)：

　　boot=/dev/hda map=/boot/map install=/boot/boot.b prompt timeout=00 #把這行該為00，這樣系統(tǒng)啟動時將不在等待，而直接啟動linux message=/boot/message linear default=linux restricted #加入這行 password= #加入這行并設置自己的密碼 image=/boot/vmlinuz-2.4.2-2 label=linux root=/dev/hda6 read-only

　　第二步：因為“/etc/lilo.conf”文件中包含明文密碼，所以要把它設置為root權(quán)限讀取。

　　# chmod 0600 /etc/lilo.conf

　　第三步：更新系統(tǒng)，以便對“/etc/lilo.conf”文件做的修改起作用。

　　# /sbin/lilo -v

　　第四步：使用“chattr”命令使“/etc/lilo.conf”文件變?yōu)椴豢筛淖儭?/p>

　　# chattr +i /etc/lilo.conf

　　這樣可以在一定程度上防止對“/etc/lilo.conf”任何改變(意外或其他原因)

　　3、讓口令更加安全

　　口令可以說是系統(tǒng)的第一道防線，目前網(wǎng)上的大部分對系統(tǒng)的攻擊都是從截獲口令或者猜測口令開始的，所以我們應該選擇更加安全的口令。

　　首先要杜絕不設口令的帳號存在。這可以通過查看/etc/passwd文件發(fā)現(xiàn)。例如，存在的用戶名為test的帳號，沒有設置口令，則在/etc/passwd文件中就有如下一行：

　　test：：100：9：：/home/test：/bin/bash

　　其第二項為空，說明test這個帳號沒有設置口令，這是非常危險的!應將該類帳號刪除或者設置口令。

　　其次，在舊版本的linux中，在/etc/passwd文件中是包含有加密的密碼的，這就給系統(tǒng)的安全性帶來了很大的隱患，最簡單的方法就是可以用暴力破解的方法來獲得口令?？梢允褂妹?usr/sbin/pwconv或者/usr/sbin/grpconv來建立/etc/shadow或者/etc/gshadow文件，這樣在/etc/passwd文件中不再包含加密的密碼，而是放在/etc/shadow文件中，該文件只有超級用戶root可讀!

　　第三點是修改一些系統(tǒng)帳號的Shell變量，例如uucp，ftp和news等，還有一些僅僅需要FTP功能的帳號，一定不要給他們設置/bin/bash或者/bin/sh等Shell變量。可以在/etc/passwd中將它們的Shell變量置空，例如設為/bin/false或者/dev/null等，也可以使用usermod -s /dev/nullusername命令來更改username的Shell為/dev/null.這樣使用這些帳號將無法Telnet遠程登錄到系統(tǒng)中來!

　　第四點是修改缺省的密碼長度：在你安裝linux時默認的密碼長度是5個字節(jié)。但這并不夠，要把它設為8.修改最短密碼長度需要編輯login.defs文件(vi/etc/login.defs)，把下面這行

　　PASS_MIN_LEN 5 改為 PASS_MIN_LEN 8

　　login.defs文件是login程序的配置文件。

　　4、自動注銷帳號的登錄

　　在unix系統(tǒng)中root賬戶是具有最高特權(quán)的。如果系統(tǒng)管理員在離開系統(tǒng)之前忘記注銷root賬戶，那將會帶來很大的安全隱患，應該讓系統(tǒng)會自動注銷。通過修改賬戶中“TMOUT”參數(shù)，可以實現(xiàn)此功能。TMOUT按秒計算。編輯你的profile文件(vi/etc/profile)，在“HISTFILESIZE=”后面加入下面這行：

　　TMOUT=300

　　300，表示300秒，也就是表示5分鐘。這樣，如果系統(tǒng)中登陸的用戶在5分鐘內(nèi)都沒有動作，那么系統(tǒng)會自動注銷這個賬戶。你可以在個別用戶的“。bashrc”文件中添加該值，以便系統(tǒng)對該用戶實行特殊的自動注銷時間。

　　改變這項設置后，必須先注銷用戶，再用該用戶登陸才能激活這個功能。

　　5、取消普通用戶的控制臺訪問權(quán)限

　　你應該取消普通用戶的控制臺訪問權(quán)限，比如shutdown、reboot、halt等命令。

　　# rm -f /etc/security/console.apps/

　　是你要注銷的程序名。

　　6、取消并反安裝所有不用的服務

　　取消并反安裝所有不用的服務，這樣你的擔心就會少很多。察看“/etc/inetd.conf”文件，通過注釋取消所有你不需要的服務(在該服務項目之前加一個“#”)。然后用“sighup”命令升級“inetd.conf”文件。

　　補充：Linux操作系統(tǒng)的基礎安全知識

　　1、基本的系統(tǒng)安全

　　安全的磁盤布局

　　使用掛裝選項提高文件系統(tǒng)的安全性

　　查找并取消文件/目錄的非必要的特殊權(quán)限

　　避免安裝不必要的軟件包

　　配置軟件包更新的Email通知

　　關閉不必要的服務

　　關閉IPv6的內(nèi)核功能