Linux 是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入 Linux 系统,或者盗取 Linux 系统上的重要信息。不过,只要我们仔细地设定 Linux 的各种系统功能,并且加上必要的安全措施,就能让黑客们无机可乘。
一般来说,对 Linux 系统的安全设定包括取消不必要的服务、限制远程存取、隐藏重要资料、修补安全漏洞、采用安全工具以及经常性的安全检查等。
本文是可参考的实际操作,不涉及如 IP 欺骗这样的原理,而且安全问题也不算几行命令就能预防的
这里只是 Linux 系统上基本的安全加固方法,后续有新的内容再添加进来。
注:所有文件在修改之前都要进行备份如
| cp /etc/passwd{,.dist} |
1. Linux禁用不使用的用户
注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。也可以 usermod -L 或 passwd -l user 锁定。
cp /etc/passwd{,.bak} 修改之前先备份
vi /etc/passwd 编辑用户,在前面加上#注释掉此行
注释的用户名:
| # cat /etc/passwd|grep ^# #adm:x:3:4:adm:/var/adm:/sbin/nologin #lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin #shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown #halt:x:7:0:halt:/sbin:/sbin/halt #uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin #operator:x:11:0:operator:/root:/sbin/nologin #games:x:12:100:games:/usr/games:/sbin/nologin #gopher:x:13:30:gopher:/var/gopher:/sbin/nologin #ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin #nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin #postfix:x:89:89::/var/spool/postfix:/sbin/nologin |
Linux注释的组:
| # cat /etc/group|grep ^# #adm:x:4:adm,daemon #lp:x:7:daemon #uucp:x:14: #games:x:20: #gopher:x:30: #video:x:39: #dip:x:40: #ftp:x:50: #audio:x:63: #floppy:x:19: #postfix:x:89: |
2. Linux关闭不使用的服务
| # chkconfig --list |grep '3:on' |
邮件服务,使用公司邮件服务器:
| service postfix stop chkconfig postfix --level 2345 off |
通用unix打印服务,对服务器无用:
| service cups stop chkconfig cups --level 2345 off |
调节cpu速度用来省电,常用在Laptop上:
| service cpuspeed stop chkconfig cpuspeed --level 2345 off |
蓝牙无线通讯,对服务器无用:
| service bluetooth stop chkconfig bluetooth --level 2345 off |
系统安装后初始设定,第一次启动系统后就没用了:
| service firstboot stop chkconfig firstboot --level 2345 off |
