如何給Linux補洞

火星人 @ 2014-03-12 , reply:0
←手機掃碼閱讀

  Linux存在的安全漏洞大部分是可以堵住的,但是傳統和習慣的操作方式卻使它們完全洞開。其實你可以在5分鐘之內完成百分之九十的保護。提高Linux系統的安全性的主要措施有如下幾點:

  1. 取消不必要的服務

  一般來說,除了Http、SMTP、Telnet和FTP之外,其他服務都應該取消,諸如簡單文件傳輸協議TFTP、網路郵件存儲及接收所用的IMAP/IPOP傳輸協議、尋找和搜索資料用的gopher、用於時間同步的daytime和time等以及報告系統狀態的服務,如finger、efinger、systat和netstat等。

  2. 加密用戶登錄密碼並設定用戶賬號安全等級

  雖然Linux對用戶登錄密碼加密存放,但仍然不太安全。比較安全的方法是設定影子文件,只允許有特殊許可權的用戶閱讀該文件。很多Linux系統都帶有Linux的插入式驗證模塊工具程序PAM,它是一種身份驗證機制,可以用來動態地改變身份驗證的方法和要求。

  在Linux上每個賬號可以被賦予不同的許可權,而黑客最喜歡具有root許可權的用戶賬號,這種超級用戶有權修改或刪除各種系統設置,可以在系統中暢行無阻。因此,在給任何賬號賦予root許可權之前,都必須仔細考慮。

  3. 消除黑客犯罪的溫床

  在Unix系統中,有一系列r字頭的公用程序,它們是黑客用以入侵的武器,非常危險,因此絕對不要將root賬號開放給這些公用程序。很多像PAM的安全工具都是針對這一安全漏洞而設計的。

  4. 增強安全防護工具

  SSL是安全套接層的簡稱,它是可以安全地用來取代rlogin、rsh和rcp等公用程序的一套程序組。SSL採用公開密鑰技術對網路上兩台主機之間的通信信息加密,並且用其密鑰充當身份驗證的工具。

  5. 常抓不懈,共同防禦

  從計算機安全的角度看,世界上沒有絕對密不透風、百分之百安全的計算機系統,Linux系統也不例外。採用以上的安全守則,雖然可以使Linux系統的安全性大大提高,使順手牽羊型的黑客和電腦玩家不能輕易闖入,但卻不一定能阻擋那些身懷絕技的高手,因此Linux系統管理員應該經常光顧在Internet上的安全新聞組,查閱新的修補程序,保持最新的系統核心,同時還要經常提高警惕,隨時注意各種可疑狀況,並且按時檢查各種系統日誌文件,包括一般信息日誌、網路連接日誌、文件傳輸日誌以及用戶登錄日誌等,追蹤黑客的蹤跡。此外,企業用戶還需要藉助防火牆等其他安全工具,共同防禦黑客入侵,才能確保系統萬無一失。

  Linux作為開放式操作系統,儘管不可避免地存在缺陷,但這屬於前進中的插曲,並不能阻擋Linux強大的發展勢頭和美好的未來前景,Linux還是值得大力推廣的。





[火星人 via ] 如何給Linux補洞已經有261次圍觀

http://www.coctec.com/docs/security/show-post-73084.html