14个Linux系统安全小妙招,总有一招用的上!
发布时间:2025-06-23 点击:2
对于互联网it从业人员来说,越来越多的工作会逐渐转移到linux系统之上,这一点,无论是开发、运维、测试都应该是深有体会。曾有技术调查网站w3techs于2018年11月就发布一个调查报告,报告显示linux在网站服务器的系统中使用率高达37.2%,这一数据也表明,linux系统被广泛应用。其实,除了在网站服务器中的应用,linux系统还被用于dns
大多数使用者都会认为linux默认是安全的,有时候这种说法也的确是一个存在争议的话题。linux默认确实有内置的安全模型。你需要打开它并且对其进行定制,这样才能得到更安全的系统。linux更难管理,不过相应也更灵活,有更多的配置选项。
对于系统管理员,让产品的系统更安全,免于骇客和黑客的攻击,一直是一项挑战。而且,近些年来对于linux遭遇攻击的案例很多,所以,如何构建一个安全、强大且牢固的linux系统一直是一个可探索性的话题。今天,我将从系统的各个层面,给大家分享一下我在日常工作中是如何构建、或者加固linux系统安全的。
1. 物理安全
这应该说是对于服务器安全保障的第一步。
硬件服务器,首先得专业人的来做专业的维护。其次就是关闭从cd/dvd等这些方面的软启动方式。同时也可以设置bios密码,并且要有限制访问的策略与各类流程管控。
还可以禁用usb设备来达到安全的目的:
vim?/etc/modprobe.d/stopusb?install?usb-storage?/bin/true?或者使用下面的命令将usb的驱动程序删除
[root@rs-server?~]#?mv?/lib/modules/3.10.0-693.el7.x86_64/kernel/drivers/usb/storage/usb-storage.ko.xz?2. 保证系统最新
这个就是说要保证系统无其它漏洞存在,比如:已经有的漏洞要及时的修复。保证系统包含了最新版本的补丁、安全修复和可用内核。
yum?updates?yum?check-update?3. 最小化处理原则
无论是安装系统,还是常用的软件,都必须遵守这个原则:最小化安装,同时也是减少漏洞存在的可能性。
对于系统一些不必要的服务、端口,建议关闭。
[root@rs-server?~]#?chkconfig?--list?|grep?3:on?network?0:off?1:off?2:on?3:on?4:on?5:on?6:off?然后使用下面的命令关闭:
chkconfig?service-name?off?4. 登录与连接
对于linux服务器来说,一般都是采用远程登录(ssh)连接的方式去进行登录操作。因此:
第一步:就是除了非必要情况,杜绝使用root用户登录,可以使用sudo来进行提权操作,然后利用系统命令将/etc/sudoers文件锁定(除root用户之外的用户无权限修改)。第二步:建议修改ssh配置文件,比如默认端口号22,禁止root密码登录(有些自有机房的还可以直接禁用root用户通过ssh协议登录)等。[root@rs-server?~]#?vim?/etc/ssh/sshd_config?#port?22?可修改成其它端口号,民工哥常用ip+22混合使用?#permitrootlogin?yes?将yes改成no?#permitemptypasswords?no?打开注释即可?#allowusers?username?指定特定的用户通过ssh协议进行远程连接?5. 用户管理
linux是一个可多用户并行操作的系统,所以,系统也对用户进行了划分:超级用户与普通用户。两者权限不同,因此,能干的事也有所不同,所以,对于用户的管理也是非常重要的一步。
设置用户密码:
这个可以通过系统命令passwd来进行设置,一般建议使用强度比较复杂的密码,且各个系统中相同的用户使用不同的密码(日常可以使用管理器来管理)。
[root@rs-server?~]#?passwd?mingongge?changing?password?for?user?mingongge.?new?password:?retype?new?password:?passwd:?all?authentication?tokens?updated?successfully.?临时用户管理:
对于这种需要的临时用户管理,一般是使用过后可以删除,也可以在一段时间后将其锁定不让其再登录,在下次需要登录时再次开启权限。
删除用户很简单,可以使用系统命令userdel -r username 进行删除。
锁定用户其实就是修改用户的属性:
[root@rs-server?~]#?usermod?-l?mingongge?我们打开终端尝试登录看看:
这时发现已经无法正常登录连接了,表明刚刚的配置是正确的。等到下次需要登录时,可以使用下面的命令进行解锁:
[root@rs-server?~]#?usermod?-u?mingongge?#-l?lock?#-u?unlock?6. 文件管理
这里的文件管理指的是存储用户信息的重要文件:/etc/passwd、/etc/shadow这两个文件。
[root@rs-server?~]#?stat?/etc/passwd?file:?‘/etc/passwd’?size:?945?blocks:?8?io?block:?4096?regular?file?device:?fd00h/64768d?inode:?17135889?links:?1?access:?(0644/-rw-r--r--)?uid:?(?0/?root)?gid:?(?0/?root)?access:?2019-08-06?01:14:37.439994172?+0800?modify:?2019-08-06?01:14:37.440994172?+0800?change:?2019-08-06?01:14:37.442994172?+0800?birth:?-?[root@rs-server?~]#?stat?/etc/shadow?file:?‘/etc/shadow’?size:?741?blocks:?8?io?block:?4096?regular?file?device:?fd00h/64768d?inode:?17135890?links:?1?access:?(0000/----------)?uid:?(?0/?root)?gid:?(?0/?root)?access:?2019-08-06?01:14:37.445994172?+0800?modify:?2019-08-06?01:14:37.445994172?+0800?change:?2019-08-06?01:14:37.447994172?+0800?birth:?-?一般从上面的一些文件属性上可以看出是不是这些文件遭遇篡改了,所以,一般情况建议将此两个文件锁定除了root用户之外的用户无权限修改与访问。
7. 启用防火墙
利用系统的防火墙来过滤出入站的流量,这是一个很好的预防攻击的策略,而且系统防火墙的规则可以逐条设置,非常强大,强裂建议开启。
8. 软件包的管理
对于系统安装的软件,我们使用rpm包管理器来管理,对于使用yum或者apt-get命令列出来的软件,在对其进行删除、卸载时,一定要使用下面的命令进行:
yum?-y?remove?software-package-name??sudo?apt-get?remove?software-package-name?9. 禁用crtl+alt+del 重启
多数服务器在按下crtl+alt+del组合键后,都会使用服务器重启,这个对于线上服务器来说是绝对不友好的一个安全因素,必须禁止,否则一个误操作就造成很大的影响。
#centos6?禁用ctrl+alt+del重启功能?#方法一:?vi?/etc/init/control-alt-delete.conf?#start?on?control-alt-delete?#注释此行??#方法二:?mv?/etc/init/control-alt-delete.conf?/etc/init/control-alt-delete.conf.bak??#注:两种方法都无需重启系统即可生效?对于centos7 来说,方法有所不同:
[root@rs-server?~]#?cat?/etc/inittab?#?inittab?is?no?longer?used?when?using?systemd.?#?#?adding?configuration?here?will?have?no?effect?on?your?system.?#?#?ctrl-alt-delete?is?handled?by?/usr/lib/systemd/system/ctrl-alt-del.target?#?#?systemd?uses?'targets'?instead?of?runlevels.?by?default,?there?are?two?main?targets:?#?#?multi-user.target:?analogous?to?runlevel?3?#?graphical.target:?analogous?to?runlevel?5?#?#?to?view?current?default?target,?run:?#?systemctl?get-default?#?#?to?set?a?default?target,?run:?#?systemctl?set-default?target.target?#?这个文件里已经说明了相关的介绍。
经过测试,如果将上面文件中的配置注释掉之后,reboot命令会不生效了:
[root@rs-server?~]#?ll?/usr/lib/systemd/system/ctrl-alt-del.target?lrwxrwxrwx.?1?root?root?13?mar?14?17:27?/usr/lib/systemd/system/ctrl-alt-del.target?->?reboot.target?这个ctrl-alt-del.target这是reboot.target的软链接。所以,最终正确的方法是:移动掉这个文件到其它目录,然后重载配置文件使用其它生效,如果再需要这个功能就只需要重新添加这个软件链接即可。
10. 监控用户行为
如果你的系统中有很多的用户,去收集每一个用户的行为和和他们的进程消耗的信息非常重要。可以随后和一些性能优化和安全问题处理时进行用户分析。但是如果监视和搜集用户行为信息呢 ?有两个很有用的工具‘psacct‘ 和 ‘acct‘可以用来监视系统中用户的行为和进程。
[root@rs-server?~]#?yum?install?psacct?-y?使用方法如下:
ac?统计用户连接时间?ac???????#显示所有用户连接总时间?ac?-p????#显示每个用户连接时间?ac?-d????#显示每天所有用户连接总时间?ac?silence??????#显示指定用户连接时间?ac?-d?silence???#显示指定用户每天连接时间??sa?输出用户活动信息?sa??????#显示所有用户执行命令情况?sa?-u???#按用户显示执行命令情况?sa?-m???#按进程显示执行命令情况?sa?-p???#按使用率显示执行命令情况??lastcomm?输出最近执行命令信息?lastcomm????????????#显示所有执行命令?lastcomm?silence????#显示指定用户执行命令?lastcomm?ls?????????#显示指定命令执行情况??其他?last????????#查看最近用户登录成功列表?last?-x?????#显示系统关机、重新开启等信息?last?-a?????#将ip显示在最后一列?last?-d?????#对ip进行12. 数据备份
这个不用说都知道是非常重要的,尤其是重要的生产数据,必须本地、异地、不同介质备份及保存,同时还需要定期检查数据的完整性、可用性。
13. 安全工具
对于系统来说,常用的安全扫描工具是必备的,比如:扫描开放端口nmap。对于系统中的web应用等来说,可以使用一些开源的工具:ibm appscan、sql map等,同样这类的商用产品也很多,这里就不做介绍了(又不给我广告费)。
对于文件有文件加密工具,对于系统还有一些入侵检测、漏洞扫描工具,无论是开源还是商业,都是可以根据实际需求与企业成本来决定使用哪一款工具。
14. 管理方法
对于安全管理来说,好的流程与管理制度同样也是必须的,否则,上述13点基本的作用为0,有方法,没有制度去让方法落地执行!!
所以,无论对于小企业、大企业来说,流程、管理制度始终是先行于所有的处理方法之前的。人才是世界上最不可控的因素!!
创新SEO分享网站优化排名的另一个方法
独立香港独立服务器怎么选择?
微营销推广如何才能做好,做得有效果
装饰公司网站建设解决方案
网站备案是否对网站优化有影响
网站建设中可以提高网站用户体验的5个细节
为何排名上不去网络优化常见问题
企业做网络营销需要注意哪些?
大多数使用者都会认为linux默认是安全的,有时候这种说法也的确是一个存在争议的话题。linux默认确实有内置的安全模型。你需要打开它并且对其进行定制,这样才能得到更安全的系统。linux更难管理,不过相应也更灵活,有更多的配置选项。
对于系统管理员,让产品的系统更安全,免于骇客和黑客的攻击,一直是一项挑战。而且,近些年来对于linux遭遇攻击的案例很多,所以,如何构建一个安全、强大且牢固的linux系统一直是一个可探索性的话题。今天,我将从系统的各个层面,给大家分享一下我在日常工作中是如何构建、或者加固linux系统安全的。
1. 物理安全
这应该说是对于服务器安全保障的第一步。
硬件服务器,首先得专业人的来做专业的维护。其次就是关闭从cd/dvd等这些方面的软启动方式。同时也可以设置bios密码,并且要有限制访问的策略与各类流程管控。
还可以禁用usb设备来达到安全的目的:
vim?/etc/modprobe.d/stopusb?install?usb-storage?/bin/true?或者使用下面的命令将usb的驱动程序删除
[root@rs-server?~]#?mv?/lib/modules/3.10.0-693.el7.x86_64/kernel/drivers/usb/storage/usb-storage.ko.xz?2. 保证系统最新
这个就是说要保证系统无其它漏洞存在,比如:已经有的漏洞要及时的修复。保证系统包含了最新版本的补丁、安全修复和可用内核。
yum?updates?yum?check-update?3. 最小化处理原则
无论是安装系统,还是常用的软件,都必须遵守这个原则:最小化安装,同时也是减少漏洞存在的可能性。
对于系统一些不必要的服务、端口,建议关闭。
[root@rs-server?~]#?chkconfig?--list?|grep?3:on?network?0:off?1:off?2:on?3:on?4:on?5:on?6:off?然后使用下面的命令关闭:
chkconfig?service-name?off?4. 登录与连接
对于linux服务器来说,一般都是采用远程登录(ssh)连接的方式去进行登录操作。因此:
第一步:就是除了非必要情况,杜绝使用root用户登录,可以使用sudo来进行提权操作,然后利用系统命令将/etc/sudoers文件锁定(除root用户之外的用户无权限修改)。第二步:建议修改ssh配置文件,比如默认端口号22,禁止root密码登录(有些自有机房的还可以直接禁用root用户通过ssh协议登录)等。[root@rs-server?~]#?vim?/etc/ssh/sshd_config?#port?22?可修改成其它端口号,民工哥常用ip+22混合使用?#permitrootlogin?yes?将yes改成no?#permitemptypasswords?no?打开注释即可?#allowusers?username?指定特定的用户通过ssh协议进行远程连接?5. 用户管理
linux是一个可多用户并行操作的系统,所以,系统也对用户进行了划分:超级用户与普通用户。两者权限不同,因此,能干的事也有所不同,所以,对于用户的管理也是非常重要的一步。
设置用户密码:
这个可以通过系统命令passwd来进行设置,一般建议使用强度比较复杂的密码,且各个系统中相同的用户使用不同的密码(日常可以使用管理器来管理)。
[root@rs-server?~]#?passwd?mingongge?changing?password?for?user?mingongge.?new?password:?retype?new?password:?passwd:?all?authentication?tokens?updated?successfully.?临时用户管理:
对于这种需要的临时用户管理,一般是使用过后可以删除,也可以在一段时间后将其锁定不让其再登录,在下次需要登录时再次开启权限。
删除用户很简单,可以使用系统命令userdel -r username 进行删除。
锁定用户其实就是修改用户的属性:
[root@rs-server?~]#?usermod?-l?mingongge?我们打开终端尝试登录看看:
这时发现已经无法正常登录连接了,表明刚刚的配置是正确的。等到下次需要登录时,可以使用下面的命令进行解锁:
[root@rs-server?~]#?usermod?-u?mingongge?#-l?lock?#-u?unlock?6. 文件管理
这里的文件管理指的是存储用户信息的重要文件:/etc/passwd、/etc/shadow这两个文件。
[root@rs-server?~]#?stat?/etc/passwd?file:?‘/etc/passwd’?size:?945?blocks:?8?io?block:?4096?regular?file?device:?fd00h/64768d?inode:?17135889?links:?1?access:?(0644/-rw-r--r--)?uid:?(?0/?root)?gid:?(?0/?root)?access:?2019-08-06?01:14:37.439994172?+0800?modify:?2019-08-06?01:14:37.440994172?+0800?change:?2019-08-06?01:14:37.442994172?+0800?birth:?-?[root@rs-server?~]#?stat?/etc/shadow?file:?‘/etc/shadow’?size:?741?blocks:?8?io?block:?4096?regular?file?device:?fd00h/64768d?inode:?17135890?links:?1?access:?(0000/----------)?uid:?(?0/?root)?gid:?(?0/?root)?access:?2019-08-06?01:14:37.445994172?+0800?modify:?2019-08-06?01:14:37.445994172?+0800?change:?2019-08-06?01:14:37.447994172?+0800?birth:?-?一般从上面的一些文件属性上可以看出是不是这些文件遭遇篡改了,所以,一般情况建议将此两个文件锁定除了root用户之外的用户无权限修改与访问。
7. 启用防火墙
利用系统的防火墙来过滤出入站的流量,这是一个很好的预防攻击的策略,而且系统防火墙的规则可以逐条设置,非常强大,强裂建议开启。
8. 软件包的管理
对于系统安装的软件,我们使用rpm包管理器来管理,对于使用yum或者apt-get命令列出来的软件,在对其进行删除、卸载时,一定要使用下面的命令进行:
yum?-y?remove?software-package-name??sudo?apt-get?remove?software-package-name?9. 禁用crtl+alt+del 重启
多数服务器在按下crtl+alt+del组合键后,都会使用服务器重启,这个对于线上服务器来说是绝对不友好的一个安全因素,必须禁止,否则一个误操作就造成很大的影响。
#centos6?禁用ctrl+alt+del重启功能?#方法一:?vi?/etc/init/control-alt-delete.conf?#start?on?control-alt-delete?#注释此行??#方法二:?mv?/etc/init/control-alt-delete.conf?/etc/init/control-alt-delete.conf.bak??#注:两种方法都无需重启系统即可生效?对于centos7 来说,方法有所不同:
[root@rs-server?~]#?cat?/etc/inittab?#?inittab?is?no?longer?used?when?using?systemd.?#?#?adding?configuration?here?will?have?no?effect?on?your?system.?#?#?ctrl-alt-delete?is?handled?by?/usr/lib/systemd/system/ctrl-alt-del.target?#?#?systemd?uses?'targets'?instead?of?runlevels.?by?default,?there?are?two?main?targets:?#?#?multi-user.target:?analogous?to?runlevel?3?#?graphical.target:?analogous?to?runlevel?5?#?#?to?view?current?default?target,?run:?#?systemctl?get-default?#?#?to?set?a?default?target,?run:?#?systemctl?set-default?target.target?#?这个文件里已经说明了相关的介绍。
经过测试,如果将上面文件中的配置注释掉之后,reboot命令会不生效了:
[root@rs-server?~]#?ll?/usr/lib/systemd/system/ctrl-alt-del.target?lrwxrwxrwx.?1?root?root?13?mar?14?17:27?/usr/lib/systemd/system/ctrl-alt-del.target?->?reboot.target?这个ctrl-alt-del.target这是reboot.target的软链接。所以,最终正确的方法是:移动掉这个文件到其它目录,然后重载配置文件使用其它生效,如果再需要这个功能就只需要重新添加这个软件链接即可。
10. 监控用户行为
如果你的系统中有很多的用户,去收集每一个用户的行为和和他们的进程消耗的信息非常重要。可以随后和一些性能优化和安全问题处理时进行用户分析。但是如果监视和搜集用户行为信息呢 ?有两个很有用的工具‘psacct‘ 和 ‘acct‘可以用来监视系统中用户的行为和进程。
[root@rs-server?~]#?yum?install?psacct?-y?使用方法如下:
ac?统计用户连接时间?ac???????#显示所有用户连接总时间?ac?-p????#显示每个用户连接时间?ac?-d????#显示每天所有用户连接总时间?ac?silence??????#显示指定用户连接时间?ac?-d?silence???#显示指定用户每天连接时间??sa?输出用户活动信息?sa??????#显示所有用户执行命令情况?sa?-u???#按用户显示执行命令情况?sa?-m???#按进程显示执行命令情况?sa?-p???#按使用率显示执行命令情况??lastcomm?输出最近执行命令信息?lastcomm????????????#显示所有执行命令?lastcomm?silence????#显示指定用户执行命令?lastcomm?ls?????????#显示指定命令执行情况??其他?last????????#查看最近用户登录成功列表?last?-x?????#显示系统关机、重新开启等信息?last?-a?????#将ip显示在最后一列?last?-d?????#对ip进行12. 数据备份
这个不用说都知道是非常重要的,尤其是重要的生产数据,必须本地、异地、不同介质备份及保存,同时还需要定期检查数据的完整性、可用性。
13. 安全工具
对于系统来说,常用的安全扫描工具是必备的,比如:扫描开放端口nmap。对于系统中的web应用等来说,可以使用一些开源的工具:ibm appscan、sql map等,同样这类的商用产品也很多,这里就不做介绍了(又不给我广告费)。
对于文件有文件加密工具,对于系统还有一些入侵检测、漏洞扫描工具,无论是开源还是商业,都是可以根据实际需求与企业成本来决定使用哪一款工具。
14. 管理方法
对于安全管理来说,好的流程与管理制度同样也是必须的,否则,上述13点基本的作用为0,有方法,没有制度去让方法落地执行!!
所以,无论对于小企业、大企业来说,流程、管理制度始终是先行于所有的处理方法之前的。人才是世界上最不可控的因素!!
创新SEO分享网站优化排名的另一个方法
独立香港独立服务器怎么选择?
微营销推广如何才能做好,做得有效果
装饰公司网站建设解决方案
网站备案是否对网站优化有影响
网站建设中可以提高网站用户体验的5个细节
为何排名上不去网络优化常见问题
企业做网络营销需要注意哪些?