仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 401|回复: 7
打印 上一主题 下一主题

[其他Linux] 来谈谈:Linux下经常使用平安战略设置的六个办法

[复制链接]
简单生活 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 11:31:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
文件处理命令:file、mkdir、grep、dd、find、mv、ls、diff、cat、ln
  “平安第一”关于linux办理界以致盘算机也都是一个主要思索的成绩。加密的平安性依附于暗码自己而非算法!并且,此处说到的平安是指数据的完全性,由此,数据的认证平安和完全性高于数据的私密平安,也就是说数据发送者的不断定性和数据的完全性得不到包管的话,数据的私密性当无从谈起!
  1.克制体系呼应任何从内部/外部来的ping哀求打击者一样平常起首经由过程ping命令检测此主机大概IP是不是处于举动形态,假如可以ping通某个主机大概IP,那末打击者就以为此体系处于举动形态,继而举行打击或损坏。假如没有人能ping通呆板并收到呼应,那末就能够年夜年夜加强服务器的平安性,linux下能够实行以下设置,克制ping哀求:
  [root@localhost~]#echo“1”>/proc/sys/net/ipv4/icmp_echo_ignore_all默许情形下“icmp_echo_ignore_all”的值为“0”,暗示呼应ping操纵。
  能够加下面的一行命令到/etc/rc.d/rc.local文件中,以使每次体系重启后主动运转。
  2.克制Control-Alt-Delete组合键重启体系
  在linux的默许设置下,同时按下Control-Alt-Delete键,体系将主动重启,这是很不平安的,因而要克制Control-Alt-Delete组合键重启体系,只需修正/etc/inittab文件:
  代码以下:
  [root@localhost~]#vi/etc/inittab
  找到此行:ca::ctrlaltdel:/sbin/shutdown-t3-rnow在之前加上“#”
  然后实行:
  代码以下:
  [root@localhost~]#telinitq
  3.限定Shell纪录汗青命令巨细
  默许情形下,bashshell会在文件$HOME/.bash_history中寄存多达1000条命令纪录(依据体系分歧,默许纪录条数分歧)。体系中每一个用户的主目次下都有一个如许的文件。
  这么多的汗青命令纪录,一定是不平安的,因而必需限定该文件的巨细。
  能够编纂/etc/profile文件,修正个中的选项以下:
  HISTSIZE=30
  暗示在文件$HOME/.bash_history中纪录比来的30条汗青命令。假如将“HISTSIZE”设置为0,则暗示不纪录汗青命令,那末也就不克不及用键盘的高低键查找汗青命令了。
   4.删除体系默许的不用要用户和组
  Linux供应了各类体系账户,在体系安装终了,假如不必要某些用户大概组,就要当即删除它,由于账户越多,体系就越不平安,越简单遭到打击。
  删除体系不用要的用户用上面命令
  代码以下:
  [root@localhost~]#userdelusername
  删除体系不用要的组用以下命令:
  代码以下:
  [root@localhost~]#groupdelgroupname
  Linux体系中能够删除的默许用户和组有:
  删除的用户,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。
  删除的组,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。
  5.封闭selinux
  SELinux是Security-EnhancedLinux的简称,是一种内核强迫会见把持平安体系,今朝SELinux已集成到Linux2.6内核的主线和年夜多半Linux刊行版上,因为SELinux与现有Linux使用程序和Linux内核模块兼容性还存在一些成绩,因而倡议初学者先封闭selinux,比及对linux有了深切的熟悉后,再对selinux深切研讨不迟!
  检察linux体系selinux是不是启用,可使用getenforce命令:
  代码以下:
  [root@localhost~]#getenforce
  Disabled
  封闭selinux,在redhat系列刊行版中,能够间接修正以下文件:
  代码以下:
  [root@localhost~]#vi/etc/sysconfig/selinux#ThisfilecontrolsthestateofSELinuxonthesystem.
  #SELINUX=cantakeoneofthesethreevalues:
  #enforcing-SELinuxsecuritypolicyisenforced.
  #permissive-SELinuxprintswarningsinsteadofenforcing.
  #disabled-SELinuxisfullydisabled.
  SELINUX=enforcing
  #SELINUXTYPE=typeofpolicyinuse.Possiblevaluesare:
  #targeted-Onlytargetednetworkdaemonsareprotected.
  #strict-FullSELinuxprotection.
  SELINUXTYPE=targeted
  将SELINUX=enforcing修正为SELINUX=disabled,重启体系后将会中断SElinux。
  6.设定tcp_wrappers防火墙
  Tcp_Wrappers是一个用来剖析TCP/IP封包的软件,相似的IP封包软件另有iptables,linux默许都安装了此软件,作为一个平安的体系,Linux自己有两层平安防火墙,经由过程IP过滤机制的iptables完成第一层防护,iptables防火墙经由过程直不雅地监督体系的运转情况,反对收集中的一些歹意打击,回护全部体系一般运转,免遭打击和损坏。关于iptables的完成,将鄙人个章节具体报告。假如经由过程了第一层防护,那末下一层防护就是tcp_wrappers了,经由过程Tcp_Wrappers能够完成对体系中供应的某些服务的开放与封闭、同意和克制,从而更无效地包管体系平安运转。
  Tcp_Wrappers的利用很复杂,仅仅两个设置文件:/etc/hosts.allow和/etc/hosts.deny(1)检察体系是不是安装了Tcp_Wrappers
  [root@localhost~]#rpm-qtcp_wrappers大概[root@localhost~]#rpm-qa|greptcp
  tcp_wrappers-7.6-37.2
  tcpdump-3.8.2-10.RHEL4
  假如有下面的相似输入,暗示体系已安装了tcp_wrappers模块。假如没有显现,多是没有安装,能够从linux体系安装盘找到对应RPM包举行安装。
  (2)tcp_wrappers防火墙的范围性
  体系中的某个服务是不是可使用tcp_wrappers防火墙,取决于该服务是不是使用了libwrapped库文件,假如使用了就能够利用tcp_wrappers防火墙,体系中默许的一些服务如:sshd、portmap、sendmail、xinetd、vsftpd、tcpd等都可使用tcp_wrappers防火墙。
  (3)tcp_wrappers设定的划定规矩
  tcp_wrappers防火墙的完成是经由过程/etc/hosts.allow和/etc/hosts.deny两个文件来完成的,起首看一下设定的格局:
  service:host(s)[:action]
  lservice:代表服务名,比方sshd、vsftpd、sendmail等。
  lhost(s):主机名大概IP地点,能够有多个,比方192.168.60.0、www.ixdba.netlaction:举措,切合前提后所接纳的举措。
  几个关头字:
  lALL:一切服务大概一切IP。
  lALLEXCEPT:一切的服务大概一切IP撤除指定的。
  比方:ALL:ALLEXCEPT192.168.60.132
  暗示除192.168.60.132这台呆板,任何呆板实行一切服务时或被同意或被回绝。
  懂得了设定语法后,上面就能够对服务举行会见限制。
  比方互联网上一台linux服务器,完成的方针是:仅仅同意222.90.66.4、61.185.224.66和域名softpark.com经由过程SSH服务远程登录到体系,设置以下:
  起首设定同意登录的盘算机,即设置/etc/hosts.allow文件,设置很复杂,只需修正/etc/hosts.allow(假如没有此文件,请自行创建)这个文件便可。
  只需将上面划定规矩到场/etc/hosts.allow便可。
  sshd:222.90.66.461.185.224.66softpark.com接着设置不同意登录的呆板,也就是设置/etc/hosts.deny文件了。
  一样平常情形下,linux会起首判别/etc/hosts.allow这个文件,假如远程登录的盘算机满意文件/etc/hosts.allow设定的话,就不会往利用/etc/hosts.deny文件了,相反,假如不满意hosts.allow文件设定的划定规矩的话,就会往利用hosts.deny文件了,假如满意hosts.deny的划定规矩,此主机就被限定为不成会见linux服务器,假如也不满意hosts.deny的设定,此主机默许是能够会见linux服务器的,因而,当设定好/etc/hosts.allow文件会见划定规矩以后,只需设置/etc/hosts.deny为“一切盘算机都不克不及登录形态”便可。
  sshd:ALL
  如许,一个复杂的tcp_wrappers防火墙就设置终了了。
</p>
在学习初期,你一定会遇到很多困难,或者说各种困难,所以你最好先将你linux中的重要内容备份,因为,在你学习的过程中,很可能将系统搞废(eg:源混乱等);
若相依 该用户已被删除
沙发
发表于 2015-1-18 07:53:31 | 只看该作者
学习Linux半年了~个人认为不会的多在网上找资料网上有很多资料可以搜索到,LS那位说放手去搞。
不帅 该用户已被删除
板凳
发表于 2015-1-24 22:01:49 | 只看该作者
清楚了解网络的基础知识,特别是在Linux下应用知识,如接入internet等等。
再见西城 该用户已被删除
地板
发表于 2015-2-2 15:12:02 来自手机 | 只看该作者
放手去搞。尽量不要提问,运用搜索找答案,或者看wiki,从原理上理解操作系统的本质,而不是满足于使用几个技巧。尽量看英文资料。
老尸 该用户已被删除
5#
发表于 2015-2-8 02:28:33 | 只看该作者
可以说自己收获很大,基本上完成了老师布置的任务,对于拔高的题目没有去做,因为我了解我的水平,没有时间和精力去做。?
柔情似水 该用户已被删除
6#
发表于 2015-3-7 11:40:43 | 只看该作者
通过自学老师给的资料和向同学请教,掌握了一些基本的操作,比如挂载优盘,编译程序,在Linux环境下运行,转换目录等等。学了这些基础才能进行下面的模拟OS程序。?
只想知道 该用户已被删除
7#
发表于 2015-3-15 04:43:23 | 只看该作者
Linux最大的特点就是其开源性,这一点是十分难得的,这也是它能够存在到现在的原因之一。
活着的死人 该用户已被删除
8#
发表于 2015-3-21 21:22:33 | 只看该作者
Linux最大的特点就是其开源性,这一点是十分难得的,这也是它能够存在到现在的原因之一。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-24 11:12

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表