這篇文章將為大家詳細講解有關強化Linux安全的10個技能分別是什么，文章內容質量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關知識有一定的了解。

創新互聯是一家專注于做網站、網站設計與策劃設計,黃驊網站建設哪家好?創新互聯做網站,專注于網站建設10余年,網設計領域的專業建站公司;建站業務涵蓋:黃驊等地區。黃驊做網站價格咨詢:13518219792

1.找出不必要的服務

很明顯，服務器上跑的服務，并不是每個都有用的。強烈建議檢查并關掉不需要的服務，從而減少風險（多跑一個服務，就可能多幾個漏洞）。

查詢運行在runlevel 3的服務列表：

[afei@afei ~]# /sbin/chkconfig --list |grep '3:on'
關閉指定的服務：
[afei@afei ~]# chkconfig ip6tables off

疑問：為什么查詢runlevel 3的服務？
Linux系統 有7個運行級別(runlevel)，分別如下：
runlevel 0：系統停機狀態，系統默認運行級別不能設為0，否則不能正常啟動；
runlevel 1：單用戶工作狀態，root權限，用于系統維護，禁止遠程登陸；
runlevel 2：多用戶狀態(沒有NFS)；
runlevel 3：完全的多用戶狀態(有NFS)，登陸后進入控制臺命令行模式。這個運行級別的服務會啟動httpd，系統提供web server服務，所以主要查看這個運行級別的服務；
runlevel 4：系統未使用，保留；
runlevel 5：X11控制臺，登陸后進入圖形GUI模式；
runlevel 6：系統正常關閉并重啟，默認運行級別不能設為6，否則不能正常啟動；

2.檢查監聽的網絡端口

通過netstat命名能夠看到所有已經打開的端口，并且可以看到是哪些程序打開的。如果發現某些是必須要的，建議關掉：

[afei@afei~]# netstat -tulpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:2181 0.0.0.0:* LISTEN 48983/java
tcp 0 0 0.0.0.0:2182 0.0.0.0:* LISTEN 49051/java

3.優化CRON任務

linux 的cron可以執行一些定時任務。并且還可以通過/etc/cron.allow 和 /etc/cron.deny 控制哪些用戶可以運行JOB，哪位用戶禁止運行JOB。例如:

允許用戶afei允許JOB，執行如下命令：
echo afei >> /etc/cron.allow
禁止所有用戶訪問JOB，執行如下命令：
echo ALL >>/etc/cron.deny

4.限制用戶使用舊密碼

linux用戶的舊密碼保存在文件/etc/security/opasswd中：

[root@LAPP-V1159 ~]# cat /etc/security/opasswd
afei:504:4:$1$MVAi/EpJ$iXXkV5r3Hjc8AaK2b5KyQ/,$1$AbpFPYaD$ZKj12lK6qaYUqgQnEdocd0,$1$POabjmzY$F4Cp6aTwN6RRk1KjZWm8A/,$1$LoHe5GHY$QjkLGqABANpLmlQsRB4WE.
檢查是否有開啟限制使用舊密碼，在RHEL / CentOS / Fedora系統中，查看文件：/etc/pam.d/system-auth。在Ubuntu/Debian/Linux Mint系統中，查看文件：/etc/pam.d/common-password，需要下面兩行關鍵內容，其中remember=4，表示不能使用最后4次密碼，否則會報錯：Password has been already used. Choose another.：
auth sufficient pam_unix.so nullok try_first_pass
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=4

5.檢查密碼過期

密碼的過期屬性可以通過如下命令查看：

[root@root ~]# chage -l afei
Last password change : Sep 14, 2018
Password expires : Nov 13, 2018
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 60
Number of days of warning before password expires : 7
修改密碼的過期屬性可以執行如下命令：
chage -M 60 -W 7 afei
說明：
-M 60表示密碼最大有效期是60天。
-W 7 表示密碼還有7天過期時給出告警提醒。

6.檢查密碼為空的用戶

密碼為空意味著只要知道用戶名就能訪問，這非常危險。因為用戶與密碼信息保存在文件/etc/shadow中，且格式如下：

admin:$6$YTSkre3DLd4SAZ$Jy9piv/gPezhLrLzMMeUleV8F5DNjP:17765:0:99:5:::
afei:$6$.vMcyE9ss96$YNk2Q5qiS/SAeGCcyEFsmspkC5dr3OXfnN:17788:0:60:7:::
后面的幾個數字是密碼過期等屬性信息，上面已經提及。
所以，檢查密碼為空的用戶，只需要執行如下命令即可，如果發現有這樣的用戶，通過root用戶執行passwd username強行修改它的密碼：
cat /etc/shadow | awk -F: '($2==""){print $1}'

7.鎖定&解鎖用戶

和刪除用戶賬戶不一樣，這個只是限制用戶登錄。只需要執行如下密碼即可鎖定&解鎖用戶：

[root@root ~]# passwd -l afei
Locking password for user afei.
passwd: Success
[root@root ~]# passwd -u afei
Unlocking password for user afei.
passwd: Success

說明：

參數l表示lock，即鎖定用戶密碼；

參數u表示unlock，即解鎖用戶密碼；

8.關閉IPv6

現在IPv6基本上沒有實際使用，所以我們可以關掉它，在文件/etc/sysconfig/network中增加如下兩行內容即可：

NETWORKING_IPV6=no
IPV6INIT=no

9.復查日志

Linux服務器上很多的行為都會有記錄相應的日志，簡單列舉一些如下，如果有一些非法操作，就能從這些日志中造成蛛絲馬跡，例如非法登陸，非法定時任務等：

/var/log/message – Where whole system logs or current activity logs are available.
/var/log/auth.log – Authentication logs.
/var/log/kern.log – Kernel logs.
/var/log/cron.log – Crond logs (cron job).
/var/log/maillog – Mail server logs.
/var/log/boot.log – System boot log.
/var/log/MySQLd.log – MySQL database server log file.
/var/log/secure – Authentication log.
/var/log/utmp or /var/log/wtmp : Login records file.
/var/log/yum.log: Yum log files.

10.保持系統更新

總是讓系統更新最新發行的補丁包，因為這些補丁包會修復一些BUG：

sudo apt-get upgrade
yum check-update
yum upgrade

關于強化Linux安全的10個技能分別是什么就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

網頁標題：強化Linux安全的10個技能分別是什么
網站URL：http://m.2m8n56k.cn/article42/giosec.html

成都網站建設公司_創新互聯，為您提供動態網站、標簽優化、虛擬主機、云服務器、軟件開發、Google

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：[email protected]。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯