|
隨著開(kāi)源系統(tǒng)Linux的盛行���,其在大中型企業(yè)的應(yīng)用也在逐漸普及���,很多企業(yè)的應(yīng)用服務(wù)都是構(gòu)筑在其之上����,例如Web服務(wù)�����、數(shù)據(jù)庫(kù)服務(wù)���、集群服務(wù)等等�����。因此,Linux的安全性就成為了企業(yè)構(gòu)筑安全應(yīng)用的一個(gè)基礎(chǔ),是重中之重,如何對(duì)其進(jìn)行安全防護(hù)是企業(yè)需要解決的一個(gè)基礎(chǔ)性問(wèn)題,基于此���,本文將給出十大企業(yè)級(jí)Linux服務(wù)器安全防護(hù)的要點(diǎn)。
1、強(qiáng)化:密碼管理
設(shè)定登錄密碼是一項(xiàng)非常重要的安全措施�����,如果用戶的密碼設(shè)定不合適��,就很容易被破譯�,尤其是擁有超級(jí)用戶使用權(quán)限的用戶�����,如果沒(méi)有良好的密碼�����,將給系統(tǒng)造成很大的安全漏洞����。
目前密碼破解程序大多采用字典攻擊以及暴力攻擊手段�,而其中用戶密碼設(shè)定不當(dāng)���,則極易受到字典攻擊的威脅���。很多用戶喜歡用自己的英文名�����、生日或者賬戶等信息來(lái)設(shè)定密碼��,這樣,黑客可能通過(guò)字典攻擊或者是社會(huì)工程的手段來(lái)破解密碼。所以建議用戶在設(shè)定密碼的過(guò)程中,應(yīng)盡量使用非字典中出現(xiàn)的組合字符,并且采用數(shù)字與字符相結(jié)合���、大小寫(xiě)相結(jié)合的密碼設(shè)置方式,增加密碼被黑客破解的難度���。而且,也可以使用定期修改密碼��、使密碼定期作廢的方式���,來(lái)保護(hù)自己的登錄密碼�����。
在多用戶系統(tǒng)中�,如果強(qiáng)迫每個(gè)用戶選擇不易猜出的密碼���,將大大提高系統(tǒng)的安全性�����。但如果passwd程序無(wú)法強(qiáng)迫每個(gè)上機(jī)用戶使用恰當(dāng)?shù)拿艽a,要確保密碼的安全度�,就只能依靠密碼破解程序了���。實(shí)際上�����,密碼破解程序是黑客工具箱中的一種工具,它將常用的密碼或者是英文字典中所有可能用來(lái)作密碼的字都用程序加密成密碼字��,然后將其與Linux系統(tǒng)的/etc/passwd密碼文件或/etc/shadow影子文件相比較�����,如果發(fā)現(xiàn)有吻合的密碼�,就可以求得明碼了�����。在網(wǎng)絡(luò)上可以找到很多密碼破解程序����,比較有名的程序是crack和john the ripper�。用戶可以自己先執(zhí)行密碼破解程序,找出容易被黑客破解的密碼�����,先行改正總比被黑客破解要有利���。
2��、限定:網(wǎng)絡(luò)服務(wù)管理
早期的Linux版本中�����,每一個(gè)不同的網(wǎng)絡(luò)服務(wù)都有一個(gè)服務(wù)程序(守護(hù)進(jìn)程,Daemon)在后臺(tái)運(yùn)行����,后來(lái)的版本用統(tǒng)一的/etc/inetd服務(wù)器程序擔(dān)此重任��。Inetd是Internetdaemon的縮寫(xiě),它同時(shí)監(jiān)視多個(gè)網(wǎng)絡(luò)端口���,一旦接收到外界傳來(lái)的連接信息,就執(zhí)行相應(yīng)的TCP或 UDP網(wǎng)絡(luò)服務(wù)��。由于受inetd的統(tǒng)一指揮�,因此Linux中的大部分TCP或UDP服務(wù)都是在/etc/inetd.conf文件中設(shè)定。所以取消不必要服務(wù)的第一步就是檢查/etc/inetd.conf文件����,在不要的服務(wù)前加上“#”號(hào)���。
一般來(lái)說(shuō)�,除了http���、smtp�����、telnet和ftp之外�����,其他服務(wù)都應(yīng)該取消,諸如簡(jiǎn)單文件傳輸協(xié)議tftp�、網(wǎng)絡(luò)郵件存儲(chǔ)及接收所用的 imap/ipop傳輸協(xié)議����、尋找和搜索資料用的gopher以及用于時(shí)間同步的daytime和time等��。還有一些報(bào)告系統(tǒng)狀態(tài)的服務(wù),如 finger、efinger���、systat和netstat等,雖然對(duì)系統(tǒng)查錯(cuò)和尋找用戶非常有用,但也給黑客提供了方便之門。例如,黑客可以利用 finger服務(wù)查找用戶的電話�、使用目錄以及其他重要信息���。因此����,很多Linux系統(tǒng)將這些服務(wù)全部取消或部分取消�,以增強(qiáng)系統(tǒng)的安全性。Inetd除了利用/etc/inetd.conf設(shè)置系統(tǒng)服務(wù)項(xiàng)之外,還利用/etc/services文件查找各項(xiàng)服務(wù)所使用的端口�。因此���,用戶必須仔細(xì)檢查該文件中各端口的設(shè)定��,以免有安全上的漏洞。
在后繼的Linux版本中(比如Red Hat Linux7.2之后),取而代之的是采用xinetd進(jìn)行網(wǎng)絡(luò)服務(wù)的管理���。
當(dāng)然,具體取消哪些服務(wù)不能一概而論,需要根據(jù)實(shí)際的應(yīng)用情況來(lái)定����,但是系統(tǒng)管理員需要做到心中有數(shù)���,因?yàn)橐坏┫到y(tǒng)出現(xiàn)安全問(wèn)題���,才能做到有步驟����、有條不紊地進(jìn)行查漏和補(bǔ)救工作�����,這點(diǎn)比較重要。
本文出自:億恩科技【www.vbseamall.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
