Linux工作站加固的6個方法
導讀 | 正如我之前說過,安全好比是在公路上開車――比你開得慢的人都是白痴,比你開得快的人都是瘋子。本文介紹的這些準則只是一系列基本的核心安全規則,它們並不全面,也代替不了經驗、謹慎和常識。你應該稍稍調整這些建議,以適合本企業的環境。 |
對每個系統管理員來說,以下是應該採取的一些必要步驟:
- 1.一律禁用Firewire和Thunderbolt模組。
- 2.檢查防火牆,確保所有入站埠已被過濾。
- 3.確保root郵件轉發到你核查的帳戶。
- 4.設立作業系統自動更新時間表,或者更新提醒內容。
此外,你還應該考慮其中一些最好採取的步驟,進一步加固系統:
- 1.核查以確保sshd服務在預設情況下已被禁用。
- 2.設定螢幕保護程式,在閒置一段時間後自動鎖定。
- 3.安裝logwatch。
- 4.安裝和使用rkhunter
- 5.安裝入侵檢測系統
想把Firewire和Thunderbolt模組列入黑名單,將下列幾行新增到/etc/modprobe.d/blacklist-dma.conf中的檔案:
blacklist firewire-core blacklist thunderbolt
一旦系統重啟,上述模組就會被列入黑名單。即便你沒有這些埠,這麼做也沒有什麼危害。
預設情況下,root郵件完全儲存在系統上,往往從不被讀取。確保你設定了/etc/aliases,將root郵件轉發到你實際讀取的郵箱,不然就有可能錯過重要的系統通知和報告:
# Person who should get root’s mail root: bob@example.com
這番編輯後執行newaliases,對它測試一番,確保郵件確實已送達,因為一些電子郵件提供商會拒絕從根本不存在的域名或無法路由的域名發來的電子郵件。如果是這種情況,你需要調整郵件轉發配置,直到這確實可行。
預設的防火牆設定將依賴你的發行版,但是許多允許入站sshd埠。除非你有一個充足而正當的理由允許入站ssh,否則應該將這個過濾掉,禁用sshd守護程式。
systemctl disable sshd.service systemctl stop sshd.service
如果你需要使用它,總是可以暫時啟動它。
通常來說,你的系統除了響應ping外,應該沒有任何偵聽埠。這將有助於你防範網路層面的零日漏洞。
建議開啟自動更新,除非你有非常充足的理由不這麼做,比如擔心自動更新會導致你的系統無法使用(這種事之前發生過,所以這種擔心並非毫無根據)。起碼,你應該啟用自動通知可用更新的機制。大多數發行版已經讓這項服務自動為你執行,所以你很可能沒必要進行任何操作。查閱發行版的說明文件,瞭解更多內容。
你應該密切關注系統上發生的所有活動。由於這個原因,應該安裝logwatch,並對它進行配置,以便每晚傳送活動報告,表明系統上發生的一切活動。這防止不了全身心投入的攻擊者,卻是一項很好的安全網功能,有必要部署。
請注意:許多systemd發行版不再自動安裝logwatch需要的syslog伺服器(那是由於systemd依賴自己的日誌),所以你需要安裝和啟用rsyslog,確保/var/log在logwatch具有任何用途之前不是空的。
除非你切實瞭解工作原理,並且採取了必要的步驟進行合理的設定(比如將資料庫放在外部介質上,從可信任的環境執行檢查,執行系統更新和配置變更後記得更新雜湊資料庫,等等),否則安裝rkhunter以及aide或tripwire之類的入侵檢測系統(IDS)不是很有用。如果你不願意採取這些步驟、調整在自己的工作站上執行任務的方式,這些工具只會帶來麻煩,沒有任何實際的安全好處。
我們確實建議你應當安裝rkhunter、在晚上執行它。它學習和使用起來相當容易;雖然它發現不了狡猾的攻擊者,但是可幫助你發現自己的錯誤。
原文標題:9 Ways to Harden Your Workstation After Distro Installation,作者:Konstantin Ryabitsev
原文來自:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2980421/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Linux系統下對NFS服務安全加固的方法LinuxNFS
- 【Linux】Linux安全加固指令碼Linux指令碼
- 6個有趣的Linux命令Linux
- 【知識分享】站長加固網站安全的幾個方法網站
- MySQL安全加固方法分享MySql
- 伺服器安全加固 - Linux伺服器Linux
- 在 Linux 終端快速檢測網站是否當機的 6 個方法Linux網站
- 用於Arch Linux的6個AUR助手Linux
- iOS安全加固方法及實現iOS
- GNU/Linux安全基線與加固-0.1Linux
- PbootCMS模板安全設定與加固方法boot
- 6_Linux修改主機名的兩種方法(20190115)Linux
- ES6陣列新增的幾個方法陣列
- 【中介軟體安全】IIS6安全加固規範
- 在Linux中,如何進行系統安全加固?Linux
- 某當網apk加固脫個soAPK
- ios安全加固 ios 加固方案iOS
- 每天一個Linux命令(6):rmdir命令Linux
- 物理機伺服器系統安全加固方法伺服器
- 15、資料庫加固-redis 加固資料庫Redis
- 為初學者介紹的 Linux tee 命令(6 個例子)Linux
- 6個關於dd命令備份Linux系統的例子Linux
- 6個你可能不熟悉的Linux實用命令!Linux
- 12、web 中介軟體加固-apache 加固WebApache
- 14、web 中介軟體加固-Tomcat 加固WebTomcat
- 優化SOLIDWORKS的工作站效能優化Solid
- Linux系統伺服器下Nginx支援ipv6配置的方法Linux伺服器Nginx
- Linux系統CentOS6 7 8更換阿里yum源的方法LinuxCentOS阿里
- APP加固APP
- Python中新增兩個數字的6種不同方法Python
- 重啟和關閉 Linux 系統的 6 個終端命令Linux
- 2 個給使用 Fedora 工作站的音樂愛好者的新應用
- 【iOS開發】iOS App的加固保護原理:使用ipaguard混淆加固iOSAPP
- 怎麼刪除windows10的6個資料夾_windows10刪除6個資料夾的方法Windows
- 6個方法,快速提升“互動等待”體驗
- 透過6個示例帶你掌握Linux sed命令!Linux
- Linux禁止某個IP地址訪問的幾種方法Linux
- Linux常見的6款網路工具,你喜歡哪一個?Linux