1、刪除特殊的賬戶和賬戶組
Linux提供了各種不同角色的系統賬號,在系統安裝完成後,默認會安裝很多不必要的用戶和用戶組,如果不需要某些用戶或者組,就要立即刪除它,因爲賬戶越多,系統就越不安全,很可能被***利用,進而威脅到服務器的安全。
Linux系統中可以刪除的默認用戶和組大致有如下這些:
可刪除的用戶,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。
可刪除的組,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。
2、關閉系統不需要的服務
Linux在安裝完成後,綁定了很多沒用的服務,這些服務默認都是自動啓動的。對於服務器來說,運行的服務越多,系統就越不安全,越少服務在運行,安全性就越好,因此關閉一些不需要的服務,對系統安全有很大的幫助。
具體哪些服務可以關閉,要根據服務器的用途而定,一般情況下,只要系統本身用不到的服務都認爲是不必要的服務。
例如:某臺Linux服務器用於www應用,那麼除了httpd服務和系統運行是必須的服務外,其他服務都可以關閉。下面這些服務一般情況下是不需要的,可以選擇關閉:
anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv3、密碼安全策略
在Linux下,遠程登錄系統有兩種認證方式:密碼認證和密鑰認證。
密碼認證方式是傳統的安全策略,對於密碼的設置,比較普遍的說法是:至少6個字符以上,密碼要包含數字、字母、下劃線、特殊符號等。設置一個相對複雜的密碼,對系統安全能起到一定的防護作用,但是也面臨一些其他問題,例如密碼暴力破解、密碼泄露、密碼丟失等,同時過於複雜的密碼對運維工作也會造成一定的負擔。
密鑰認證是一種新型的認證方式,公用密鑰存儲在遠程服務器上,專用密鑰保存在本地,當需要登錄系統時,通過本地專用密鑰和遠程服務器的公用密鑰進行配對認證,如果認證成功,就成功登錄系統。這種認證方式避免了被暴力破解的危險,同時只要保存在本地的專用密鑰不被***盜用,***者一般無法通過密鑰認證的方式進入系統。因此,在Linux下推薦用密鑰認證方式登錄系統,這樣就可以拋棄密碼認證登錄系統的弊端。
Linux服務器一般通過SecureCRT、putty、X[shell](https://www.linuxcool.com/ "shell")之類的工具進行遠程維護和管理,密鑰認證方式的實現就是藉助於SecureCRT軟件和Linux系統中的SSH服務實現的。
4、合理使用su、sudo命令
su命令:是一個切換用戶的工具,經常用於將普通用戶切換到超級用戶下,當然也可以從超級用戶切換到普通用戶。爲了保證服務器的安全,幾乎所有服務器都禁止了超級用戶直接登錄系統,而是通過普通用戶登錄系統,然後再通過su命令切換到超級用戶下,執行一些需要超級權限的工作。通過su命令能夠給系統管理帶來一定的方便,但是也存在不安全的因素,
例如:系統有10個普通用戶,每個用戶都需要執行一些有超級權限的操作,就必須把超級用戶的密碼交給這10個普通用戶,如果這10個用戶都有超級權限,通過超級權限可以做任何事,那麼會在一定程度上對系統的安全造成了威協。
因此su命令在很多人都需要參與的系統管理中,並不是最好的選擇,超級用戶密碼應該掌握在少數人手中,此時sudo命令就派上用場了。
sudo命令:允許系統管理員分配給普通用戶一些合理的“權利”,並且不需要普通用戶知道超級用戶密碼,就能讓他們執行一些只有超級用戶或其他特許用戶才能完成的任務。
比如:系統服務重啓、編輯系統配置文件等,通過這種方式不但能減少超級用戶登錄次數和管理時間,也提高了系統安全性。
因此,sudo命令相對於權限無限制性的su來說,還是比較安全的,所以sudo也被稱爲受限制的su,另外sudo也是需要事先進行授權認證的,所以也被稱爲授權認證的su。
sudo執行命令的流程是:
將當前用戶切換到超級用戶下,或切換到指定的用戶下,然後以超級用戶或其指定切換到的用戶身份執行命令,執行完成後,直接退回到當前用戶,而這一切的完成要通過sudo的配置文件/etc/sudoers來進行授權。
sudo設計的宗旨是:
賦予用戶儘可能少的權限但仍允許它們完成自己的工作,這種設計兼顧了安全性和易用性,因此,強烈推薦通過sudo來管理系統賬號的安全,只允許普通用戶登錄系統,如果這些用戶需要特殊的權限,就通過配置/etc/sudoers來完成,這也是多用戶系統下賬號安全管理的基本方式。
5、刪減系統登錄歡迎信息
系統的一些歡迎信息或版本信息,雖然能給系統管理者帶來一定的方便,但是這些信息有時候可能被***利用,成爲***服務器的幫兇,爲了保證系統的安全,可以修改或刪除某些系統文件,需要修改或刪除的文件有4個,分別是:
/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd/etc/issue和/etc/issue.net文件都記錄了操作系統的名稱和版本號,當用戶通過本地終端或本地虛擬控制檯等登錄系統時,/etc/issue的文件內容就會顯示,當用戶通過ssh或telnet等遠程登錄系統時,/etc/issue.net文件內容就會在登錄後顯示。在默認情況下/etc/issue.net文件的內容是不會在ssh登錄後顯示的,要顯示這個信息可以修改/etc/ssh/sshd_config文件,在此文件中添加如下內容即可:
Banner /etc/issue.net其實這些登錄提示很明顯泄漏了系統信息,爲了安全起見,建議將此文件中的內容刪除或修改。/etc/redhat-release文件也記錄了操作系統的名稱和版本號,爲了安全起見,可以將此文件中的內容刪除。/etc/motd文件是系統的公告信息。每次用戶登錄後,/etc/motd文件的內容就會顯示在用戶的終端。通過這個文件系統管理員可以發佈一些軟件或硬件的升級、系統維護等通告信息,但是此文件的最大作用就、是可以發佈一些警告信息,當***登錄系統後,會發現這些警告信息,進而產生一些震懾作用。看過國外的一個報道,******了一個服務器,而這個服務器卻給出了歡迎登錄的信息,因此法院不做任何裁決。