Linux系統安全的九個關鍵點
1. 使用SELinux
SELinux是用來對Linux進行安全加固的,有了它,用户和管理員們就可以對訪問控制進行更多控制。SELinux為訪問控制添加了更細的顆粒度控制。與僅可以指定誰可以讀、寫或執行一個文件的權限不同的是,SELinux可以讓你指定誰可以刪除鏈接、只能追加、移動一個文件之類的更多控制。(LCTT譯註:雖然NSA也給SELinux貢獻過很多代碼,但是目前尚無證據證明 SELinux有潛在後門)
2. 訂閲漏洞警報服務
安全缺陷不一定是在你的操作系統上。事實上,漏洞多見於安裝的應用程序之中。為了避免這個問題的發生,你必須保持你的應用程序更新到最新版本。此外,訂閲漏洞警報服務,如SecurityFocus。
3. 禁用不用的服務和應用
通常來講,用户大多數時候都用不到他們系統上的服務和應用的一半。然而,這些服務和應用還是會運行,這會招來攻擊者。因而,最好是把這些不用的服務停掉。(LCTT譯註:或者乾脆不安裝那些用不到的`服務,這樣根本就不用關注它們是否有安全漏洞和該升級了。)
4. 檢查系統日誌
你的系統日誌告訴你在系統上發生了什麼活動,包括攻擊者是否成功進入或試着訪問系統。時刻保持警惕,這是你第一條防線,而經常性地監控系統日誌就是為了守好這道防線。
5. 考慮使用端口試探
設置端口試探(Port knocking)是建立服務器安全連接的好方法。一般做法是發生特定的包給服務器,以觸發服務器的迴應/連接(打開防火牆)。端口敲門對於那些有開放端口的系統是一個很好的防護措施。
6. 使用Iptables
Iptables是什麼?這是一個應用框架,它允許用户自己為系統建立一個強大的防火牆。因此,要提升安全防護能力,就要學習怎樣一個好的防火牆以及怎樣使用Iptables框架。
7. 默認拒絕所有
防火牆有兩種思路:一個是允許每一點通信,另一個是拒絕所有訪問,提示你是否許可。第二種更好一些。你應該只允許那些重要的通信進入。(LCTT譯註:即默認許可策略和默認禁止策略,前者你需要指定哪些應該禁止,除此之外統統放行;後者你需要指定哪些可以放行,除此之外全部禁止。)
8. 使用入侵檢測系統
入侵檢測系統,或者叫IDS,允許你更好地管理系統上的通信和受到的攻擊。Snort是目前公認的Linux上的最好的IDS。
9. 使用全盤加密
加密的數據更難竊取,有時候根本不可能被竊取,這就是你應該對整個驅動器加密的原因。採用這種方式後,如果有某個人進入到你的系統,那麼他看到這些加密的數據後,就有得頭痛了。根據一些報告,大多數數據丟失源於機器被盜。
-
Linux中正則表達式使用方法
在Linux系統中使用grep、awk和sed命令時,需要使用正則表達式。那麼正則表達式的使用方法有哪些?跟yjbys小編一起來看看吧!比如我通過grep找代碼編譯結果中是否有錯誤。或者是否有我代碼的錯誤。這裏説下正則表達式基本的應用:•匹配行首與行尾。•匹配數...
-
Linux技巧總結
1、處理特殊的文件名假設Linux系統中有一個文件名叫-aaa,如果我們想對它進行操作,例如現在要刪除它,如果我們按照一般的刪除方法在命令行中輸入rm-aaa命令,界面將會提示我們是無效選項(invalidoption),原來由於文件名的第一個字符為-,Linux把文件名當作選項了,我們可...
-
Centreon的依賴安裝
centreon是開源的IT監控軟件,由法國人於2003年開發,最初名為Oreon,並於2005年正式更名為centreon。下面小編準備了關於Centreon依賴安裝的文章,提供給大家參考!一、Centreon依賴安裝介紹Centreon的安裝有一定的複雜性,對操作系統庫依賴較多,在安裝方式上有源碼編譯安...
-
Linux認證基礎知識:php相對路徑和絕對路徑
在不斷注重大學聯考能力提高的同時,尤其是Linux認證備考的'後階段,我們選擇的是求準求穩求規範。此複習輔導不等於題海戰術,而是要積累實戰經驗,解決掉一些考場失誤等問題。一個好的php代碼,無論放到windows還是linux,不同版本的php上,都能正確的輸出結果,才是一個好代碼...