江苏龙网

  1. 主页 > 生活百科 > >

十大企业级Linux服务器安全防护要点( 二 )

Linux服务器


此外,PAM还有很多安全功能:它可以将传统的DES加密方法改写为其他功能更强的加密方法,以确保用户密码不会轻易地遭人破译;它可以设定每个用户使用电脑资源的上限;它甚至可以设定用户的上机时间和地点 。
Linux系统管理人员只需花费几小时去安装和设定PAM,就能大大提高Linux系统的安全性,把很多攻击阻挡在系统之外 。
4、设定:用户账号安全等级管理
除密码之外,用户账号也有安全等级,这是因为在Linux上每个账号可以被赋予不同的权限,因此在建立一个新用户ID时,系统管理员应该根据需要赋予该账号不同的权限,并且归并到不同的用户组中 。
在Linux系统中的部分文件中,可以设定允许上机和不允许上机人员的名单 。其中,允许上机人员名单在/etc/hosts.allow中设置,不允许上机人员名单在/etc/hosts.deny中设置 。此外,Linux将自动把允许进入或不允许进入的结果记录到/var/log/secure文件中,系统管理员可以据此查出可疑的进入记录 。
每个账号ID应该有专人负责 。在企业中,如果负责某个ID的职员离职,管理员应立即从系统中删除该账号 。很多入侵事件都是借用了那些很久不用的账号 。
在用户账号之中,黑客最喜欢具有root权限的账号,这种超级用户有权修改或删除各种系统设置,可以在系统中畅行无阻 。因此,在给任何账号赋予root权限之前,都必须仔细考虑 。
Linux系统中的/etc/securetty文件包含了一组能够以root账号登录的终端机名称 。例如,在RedHatLinux系统中,该文件的初始值仅允许本地虚拟控制台(rtys)以root权限登录,而不允许远程用户以root权限登录 。最好不要修改该文件,如果一定要从远程登录为root权限,最好是先以普通账号登录,然后利用su命令升级为超级用户 。
5、谨慎使用:“r系列”远程程序管理
在Linux系统中有一系列r字头的公用程序,比如rlogin,rcp等等 。它们非常容易被黑客用来入侵我们的系统,因而非常危险,因此绝对不要将root账号开放给这些公用程序 。由于这些公用程序都是用 。rhosts文件或者hosts.equiv文件核准进入的,因此一定要确保root账号不包括在这些文件之内 。
由于r等远程指令是黑客们用来攻击系统的较好途径,因此很多安全工具都是针对这一安全漏洞而设计的 。例如,PAM工具就可以用来将r字头公用程序有效地禁止掉,它在/etc/pam.d/rlogin文件中加上登录必须先核准的指令,使整个系统的用户都不能使用自己home目录下的 。rhosts文件 。
6、限制:root用户权限管理
Root一直是Linux保护的重点,由于它权力无限,因此最好不要轻易将超级用户授权出去 。但是,有些程序的安装和维护工作必须要求有超级用户的权限,在这种情况下,可以利用其他工具让这类用户有部分超级用户的权限 。sudo就是这样的工具 。
sudo程序允许一般用户经过组态设定后,以用户自己的密码再登录一次,取得超级用户的权限,但只能执行有限的几个指令 。例如,应用sudo后,可以让管理磁带备份的管理人员每天按时登录到系统中,取得超级用户权限去执行文档备份工作,但却没有特权去作其他只有超级用户才能作的工作 。
sudo不但限制了用户的权限,而且还将每次使用sudo所执行的指令记录下来,不管该指令的执行是成功还是失败 。在大型企业中,有时候有许多人同时管理Linux系统的各个不同部分,每个管理人员都有用sudo授权给某些用户超级用户权限的能力,从sudo的日志中,可以追踪到谁做了什么以及改动了系统的哪些部分 。
值得注意的是,sudo并不能限制所有的用户行为,尤其是当某些简单的指令没有设置限定时,就有可能被黑客滥用 。例如,一般用来显示文件内容的/etc/cat指令,如果有了超级用户的权限,黑客就可以用它修改或删除一些重要的文件 。
7、追踪黑客踪迹:日志管理
当用户仔细设定了各种与Linux相关的配置(最常用日志管理选项),并且安装了必要的安全防护工具之后,Linux操作系统的安全性的确大为提高,但是却并不能保证防止那些比较熟练的网络黑客的入侵 。
在平时,网络管理人员要经常提高警惕,随时注意各种可疑状况,并且按时检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等 。在检查这些日志时,要注意是否有不合常理的时间记载 。例如:
正常用户在半夜三更登录;
不正常的日志记录,比如日志只记录了一半就切断了,或者整个日志文件被删除了;


推荐阅读


上一篇:一般家用马桶价格多少,家用马桶最便宜的多少钱啊

下一篇:感应式小便器需要电源吗,感应式小便器一直冲水停不住怎么办