重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
这期内容当中小编将会给大家带来有关suse linux系统安全的示例分析,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。
我们提供的服务有:成都网站设计、成都做网站、微信公众号开发、网站优化、网站认证、邹平ssl等。为超过千家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的邹平网站制作公司
SUSE Linux Enterprise Server 10是众多Linux发行版本中比较优秀出色的主流商业版本,它不仅具有Linux的通用功能外,还因其有比较出色的性能和对安全有较好的控制,吸引了很多企业级用户,在国内也开始有大量的关键应用。我也在接触到的具体项目中根据客户要求部署和应用了这个版本,就个人感觉而言,整体性的安全还是不错的,在加密和认证方面做的比较好,但是SUSE里还有很多安全细节需要我们注意。在此总结一下自己的应用经验,未必全面算是一个总结和交流吧。
一、帐户管理方面
1、锁定不必要的系统账户
有很多账户是系统账户,在日常管理中也一直不会被人使用,锁定这些账户有助于减少***者的利用。方法是:将账户直接删除或设置一个无效的shell(比如/bin/false)。SUSE里使用/bin/false而不是/bin/nologin。
在这里,我们通过VI修改/etc/passwd文件,可以把不常用的at、bin、deamon、ftp、games、lp、man、news、nobody等用户的的登陆shell改为/bin/false,这样该用户就不能登录了。
2、设置账户定期修改密码参数
强制用户定期改变密码,根据你的实际情况在/etc/login.defs进行调整。比如:设置成90天更改密码。只需把PASS_MAX_DAYS的默认99999改为90天保持即可。
#vi /etc/login.defs
关闭不必要或暂时不用的服务:
#chkconfig slpd off
#chkconfig portmap off
#chkconfig postfix off
比如RPC端口映射服务,由于RPC的验证机制很薄弱,很容易被绕过,却可以利用RPC得到很多重要的信息。除非是需要NIS,最好禁用。
另外在SUSE中Postfix服务默认是激活状态。如果这台服务器是邮件服务器的话,需要注意的是,有权限在web界面上搜索附件是一个安全隐患。另外,如果你对邮件服务器管理有经验的话,你会知道为postfix规划一个chroot环境有多么重要。在chroot环境下,即使有人闯入了smtpd daemon,能够造成的损害也比较有限。加固方法:
打开:vi /etc/sysconfig/mail,设置SMTPD_LISTEN_REMOTE="yes"。
关闭:vi /etc/sysconfig/mail,设置SMTPD_LISTEN_REMOTE="no"。
另外不必要的端口也都可以关闭,以免留下漏洞。
#netstat -antp
输出CPU使用情况的统计信息,每秒输出一次,一共输出10次
输出网络设备状态的统计信息
四、其他需要注意的方面:
1、查找无主文件
不要让你的系统上有任何无主文件,无主文件可能是一个***者已经访问了你的系统,或者是软件包的不正确维护安装造成的。比如删除了用户或者组,但是相关文件没有删除。另一种常见情况是软件安装时,没有正确的设置所有者。NFS挂载文件,会忽视用户ID和系统之间的映射同步,也有可能造成无主文件的产生。
检查命令:
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do
find $PART -nouser -o -nogroup -print
done
注意:不用管“/dev”目录下的那些文件。如果是/tmp目录下存在大量没有属主的文件,建议查明用途并添加属主或消除。
2、删除空密码账户
使用awk -F: '($2 == "") { print $1 }' /etc/shadow命令查找空密码账户。空密码账户是指任何人都可以登录,而不用提供密码。所有的账户都应该有健壮的密码,避免弱口令。
3、ssh的安全加固
SUSE上默认安装了OpenSSH,OpenSSH是目前比较流行并且免费的加密连接工具,但OpenSSH的低版本也存在不少安全漏洞,所以最好还是下载最新版本的。另外我们还需要限制ROOT账户的远程登录、更改默认端口、指定可访问的网络等等。它的版本1的安全问题比较严重甚至可以截获密码,所以建议你将协议版本修改为2。因为FTP不是很安全,建议大家利用SCP命令来传输文件。
通过VI来修改,方法如下:
vi /etc/ssh/sshd_config
6、内核网络优化
/proc/sys/net/目录主要包括了许多网络相关的主题,通过改变这些目录中的文件参数,可以很方便调整和优化相关网络参数。在/proc/sys/net/目录下有两个目录就是/proc/sys/net/core和/proc/sys/net/ipv4,调整这两个目录下的某些文件的参数,能为我们的网络应用带到某些意想不到的效果。
建议修改:
net.ipv4.tcp_max_syn_backlog = 4096
记录的那些尚未收到客户端确认信息的连接请求的最大值。
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
关于SUSE LINUX的系统安全,暂且总结这么多,也希望使用SUSE LINUX的朋友一起来交流和学习。
上述就是小编为大家分享的suse linux系统安全的示例分析了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注创新互联行业资讯频道。