Linux安全配置
由於Linux的開源,使得Linux強大功能的背後,總是有些不盡人意的地方,為了使Linux達到一個最安全的程度,還要不斷的來對Linux配置要下一番功夫。
所以真正的危害是某些不安全的服務而不是開放的埠.基本上,如果沒有必要,就關掉一些用不到的埠,而且服務的版本要持續更新.
netstat:在本機上檢查自己的程式檢測埠,沒有危險
nmap:在本機上以特殊的檢測程式檢測自己,可能會違法
ntsysv
setup
是不是要將所有的Linux預設的服務關閉?因為系統有很多服務是一定要啟動的,否則反而變的不安全.
以下列出一些完全沒有對外開放埠,但卻是系統必須的服務,這些服務不要關閉.
一般只選擇:atd,cron,iptables,keytables,network,random,syslog,xinetd,xfs(如有圖形介面)
2.重新啟動
reboot
3.檢視當前開啟了多少埠
netstat -an
所以一般要注意主機的包漏洞修補,放火牆的設定,關閉危險服務(埠)以及每日的日誌分析.
再這裡我們以埠來講述一下安全方面的問題
什麼是埠
一臺主機的埠可以分為監聽埠與隨機取用的高階埠.所謂監聽埠就是主機開啟了哪些服務,那麼這個服務會在Linux系統裡啟用一個埠來監聽客戶端的請求.例如FTP伺服器,就會開放21號埠,這個埠會一直啟用,直到FTP服務關閉為止.所謂隨機取用的高階埠就是Linux要向某個主機請求服務時,Linux主機需要啟用一個埠來對外連線,那麼埠號是多少?Linux會隨機取用一個未被使用且埠號大於1024的埠進行連線.
所以server/Client之間的資料傳送其實就是埠與埠之間的傳送.
總共有多少埠,哪些是保留埠
埠編號是由1-65535組成,所以會有65535個埠.一般而言,只有root才可以開啟1-1023一內的埠,這些埠就是特殊摶口,用於保留給系統使用.至於大於1024的埠,除了給系統隨機取用作為連線需求之外,也可以用來服務的監聽之用.
如果1-1023的埠的程式被入侵,那將表示入侵者擁有root的許可權,是因為只有root才可以開啟1-1023一內的埠.這個時候就要注意主機的安全了.
在Linux中保留埠與它所對應的服務其實已經有了一個對照表,那就是/etc/services檔案,可以使用netstat -n以數值方式顯示連線狀態,使用netatst -tl可以顯示當前正在監聽的服務名稱. /etc/services檔案也是某些埠啟動時設定埠的重要依據.
要了解所謂的埠與服務對於安全的關係:真正影響網路安全的並不是埠,而是啟動埠的服務.
所以真正的危害是某些不安全的服務而不是開放的埠.基本上,如果沒有必要,就關掉一些用不到的埠,而且服務的版本要持續更新.
如何檢視埠
1.需要知道主機當前開了多少埠?
2.瞭解服務跟埠對應的檔案是那一個?/etc/services
2.瞭解服務跟埠對應的檔案是那一個?/etc/services
介紹檢視主機埠最常用的命令:
netstat:在本機上檢查自己的程式檢測埠,沒有危險
nmap:在本機上以特殊的檢測程式檢測自己,可能會違法
關閉或啟動一個埠
要開或關閉一個埠,只需要開啟或關閉一個服務即可.所以,當檢測完埠後,接下來就是要找出埠所對應的服務,將該服務關掉,就會把埠關掉.
設定開機時啟動服務的方法
如果以文字方式登入,文字介面的run-level為3,所以就在/etc/rc.d/rc3.d裡可以找到服務的啟動引數,就是以S開頭的檔案.如果不要啟動一些服務,就將服務對應的檔案(以S開頭的檔案)刪除即可.
一般情況下不需要手工刪除檔案,Linux一般為我們提供了程式可以完成:
ntsysv
setup
是不是要將所有的Linux預設的服務關閉?因為系統有很多服務是一定要啟動的,否則反而變的不安全.
以下列出一些完全沒有對外開放埠,但卻是系統必須的服務,這些服務不要關閉.
atd:在例行命令裡提到的,只執行一次的預約執行任務,務必啟動
cron:在例行命令裡提到的,迴圈執行的命令,務必啟動
iptables:防火牆,無論如何,先啟動它
keytables:設定鍵盤上的字母格式,當然需要讀入,否則如何控制
network:網路功能
random:快速使系統在隨即時間內儲存到映象檔案,對系統相當重要,因為在開機之後,系統回迅速回復到關 機之前的狀態
syslog:在系統日誌檔案提過,是相當重要的檔案,務必啟動
xinetd:伺服器管理器super deamon,是必須啟動的服務之一
xfs:如果使用run-level的圖形介面,這個必須啟動
cron:在例行命令裡提到的,迴圈執行的命令,務必啟動
iptables:防火牆,無論如何,先啟動它
keytables:設定鍵盤上的字母格式,當然需要讀入,否則如何控制
network:網路功能
random:快速使系統在隨即時間內儲存到映象檔案,對系統相當重要,因為在開機之後,系統回迅速回復到關 機之前的狀態
syslog:在系統日誌檔案提過,是相當重要的檔案,務必啟動
xinetd:伺服器管理器super deamon,是必須啟動的服務之一
xfs:如果使用run-level的圖形介面,這個必須啟動
關閉所有對外開放的埠
在裝完Linux後,就要將不必要的程式或服務關閉,最重要的是將對外開放的埠先關閉,需要的時候在開啟.如果要假設伺服器,可以逐個開啟這些埠.
1.使用ntsysv設定開機時啟動哪些服務
一般只選擇:atd,cron,iptables,keytables,network,random,syslog,xinetd,xfs(如有圖形介面)
2.重新啟動
reboot
3.檢視當前開啟了多少埠
netstat -an
本文轉自redking51CTO部落格,原文連結:http://blog.51cto.com/redking/15569,如需轉載請自行聯絡原作者
相關文章
- Linux下iptables安全配置Linux
- linux下tomcat安全配置LinuxTomcat
- Linux安全管理:一,sshd配置Linux
- linux基本安全配置手冊(轉)Linux
- iptables配置-Linux系統安全防火牆Linux防火牆
- 配置安全的Linux作業系統(轉)Linux作業系統
- 配置Linux安全日誌記錄伺服器Linux伺服器
- 淺談Linux最佳化及安全配置(轉)Linux
- Linux伺服器登入安全配置-億聯雲Linux伺服器
- Linux主機安全配置的幾個指令碼(轉)Linux指令碼
- 在Linux中,如何配置防火牆和安全規則?Linux防火牆
- Mysql安全配置MySql
- Oracle安全配置Oracle
- MongoDB安全配置MongoDB
- Git安全配置Git
- 構建Linux下的安全,PHP配置漏洞攻擊(轉)LinuxPHP
- 淺談Linux最佳化及安全配置個人體會(轉)Linux
- IIS WebDAV安全配置Web
- Nginx安全配置研究Nginx
- PHP安全配置(轉)PHP
- Windows Server安全配置WindowsServer
- Linux安全Linux
- 配置Linux伺服器SSH安全訪問的四個小技巧Linux伺服器
- 安裝和配置Tripwire,加強你的Linux系統安全 (轉)Linux
- linux配置Linux
- MySQL安全配置基線MySql
- php.ini安全配置PHP
- 伺服器安全配置伺服器
- [PHP 安全] pcc —— PHP 安全配置檢測工具PHP
- 【大資料安全】ApacheKylin安全配置(Kerberos)大資料ApacheROS
- 淺談linux作業系統的最佳化及安全配置(轉)Linux作業系統
- linux配置sftpLinuxFTP
- linux配置jdkLinuxJDK
- linux 配置hostnameLinux
- 配置linux DNSLinuxDNS
- linux配置nginxLinuxNginx
- linux配置sudoLinux
- linux NFS 配置LinuxNFS