由于Linux操作系统良好的网络功能,互联网中的大多数网站服务器都使用Linux作为主要的操作系统。但由于操作系统是多用户操作系统,黑客想在攻击中隐藏自己。
Linux经常被选为第一个攻击目标。那么,作为一个Linux用户,如何通过合理的方法来防范Linux的安全性呢?下面笔者收集整理了一些防范Linux安全的措施,现在贡献出来。
恳请各位网友不断补充完善。
1.禁止ping命令。
Ping命令是一个用于计算机之间相互检测的应用程序,计算机之间的通信数据的传输没有经过加密,所以当我们使用ping命令检测一个服务器时,可能存在互联网上的非法分子。
通过专门的黑客程序窃取网络线路上传输的信息,利用窃取的信息攻击指定的服务器或系统。因此,我们有必要禁止在Linux系统中使用Linux命令。在linux中,
如果您想让ping不响应,即忽略icmp数据包,
因此,我们可以在Linux的命令行中输入以下命令:echo 1/proc/sys/net/IP v4/icmp _ echo _ igore _ all;如果您想继续使用ping命令,
就可以输入echo 0/proc/sys/net/IP v4/icmp _ echo _ igore _ all命令。
2.注意及时备份系统。
为了防止系统在使用过程中由于意外情况而无法正常运行,我们应该对完整的Linux系统进行备份,最好是在完成Linux系统的安装任务之后,然后我们可以根据这个备份来验证系统的完整性。
这样就可以发现系统文件是否被非法修改过。如果系统文件已被破坏,您还可以使用系统备份来恢复到正常状态。在备份信息时,我们可以将完整的系统信息备份到光盘上。
今后,您可以定期将系统与光盘的内容进行比较,以验证系统的完整性是否已被破坏。如果安全级别特别高,您可以将CD设置为可引导,并将验证作为系统启动过程的一部分。所以只要能用CD启动,
意味着系统没有被破坏。
3.改进登录服务器
将系统的登录服务器搬到单独的机器上会增加系统的安全级别,使用更安全的登录服务器代替Linux自带的登录工具可以进一步提高安全性。在大型Linux网络中,
最好为syslog服务使用单独的登录服务器。必须是能满足所有系统登录要求,有足够磁盘空间的服务器系统,并且该系统上不应该有其他服务运行。
更安全的登录服务器将大大削弱入侵者通过登录系统篡改日志文件的能力。
4.取消根命令历史记录
在linux下,系统会自动记录用户输入的命令,root用户发出的命令往往带有敏感信息。为了保证安全,root的命令历史一般不要记录或少记录。为了设置系统不记录每个人执行的命令,
在linux的命令行下,我们可以先用cd命令输入/etc命令,然后用edit命令打开目录下的profile文件,在里面输入以下内容:
HISTFILESIZE=0
HISTSIZE=0
当然,我们也可以直接在命令行输入以下命令:ln -s /dev/null ~/。bash _历史。
5.为键分区建立只读属性。
Linux的文件系统可以分为几个主要分区,每个分区的配置和安装都不同。一般至少要建立/、/usr/local、/var和/home分区。
/usr可以以只读方式安装,并被视为不可修改。如果/usr中的任何文件发生变化,系统将立即发出安全警报。当然,这不包括用户自己更改/usr中的内容。
/lib、/boot和/sbin的安装和设置是相同的。安装时应尽可能将它们设置为只读,对它们的文件、目录和属性的任何修改都会引起系统报警。
当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等,其自身的性质就决定了不能将它们设置为只读,但应该不允许它具有执行权限。
6、杀掉攻击者的所有进程
假设我们从系统的日志文件中发现了一个用户从我们未知的主机登录,而且我们确定该用户在这台主机上没有相应的帐号,这表明此时我们正在受到攻击。为了保证系统的安全被进一步破坏,我们应该马上锁住指定的帐号,
如果攻击者已经登录到指定的系统,我们应该马上断开主机与网络的物理连接。如有可能,我们还要进一步查看此用户的历史记录,再仔细查看一下其他用户是否也已经被假冒,
攻击者是否拥有有限权限;最后应该杀掉此用户的所有进程,并把此主机的IP地址掩码加入到文件hosts.deny中。
7、改进系统内部安全机制
我们可以通过改进Linux操作系统的内部功能来防止缓冲区溢出,从而达到增强Linux系统内部安全机制的目的,大大提高了整个系统的安全性。但缓冲区溢出实施起来是相当困难的,
因为入侵者必须能够判断潜在的缓冲区溢出何时会出现以及它在内存中的什么位置出现。缓冲区溢出预防起来也十分困难,系统管理员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此,
许多人甚至包括Linux Torvalds本人也认为这个安全Linux补丁十分重要,因为它防止了所有使用缓冲区溢出的攻击。但是需要引起注意的是,这些补丁也会导致对执行栈的某些程序和库的依赖问题,
这些问题也给系统管理员带来的新的挑战。
8、对系统进行跟踪记录
为了能密切地监视黑客的攻击活动,我们应该启动日志文件,来记录系统的运行情况,当黑客在攻击系统时,它的蛛丝马迹都会被记录在日志文件中的,因此有许多黑客在开始攻击系统时,往往首先通过修改系统的日志文件,
来隐藏自己的行踪,为此我们必须限制对/var/log文件的访问,禁止一般权限的用户去查看日志文件。当然,系统中内置的日志管理程序功能可能不是太强,我们应该采用专门的日志程序,
来观察那些可疑的多次连接尝试。另外,我们还要小心保护好具有根权限的密码和用户,因为黑客一旦知道了这些具有根权限的帐号后,他们就可以修改日志文件来隐藏其踪迹了。
9、使用专用程序来防范安全
有时,我们通过人工的方法来监视系统的安全比较麻烦,或者是不周密,因此我们还可以通过专业程序来防范系统的安全,目前最典型的方法为设置陷井和设置蜜罐两种方法。所谓陷井就是激活时能够触发报警事件的软件,
而蜜罐(honey pot)程序是指设计来引诱有入侵企图者触发专门的报警的陷井程序。通过设置陷井和蜜罐程序,一旦出现入侵事件系统可以很快发出报警。在许多大的网络中,一般都设计有专门的陷井程序。
陷井程序一般分为两种:一种是只发现入侵者而不对其采取报复行动,另一种是同时采取报复行动。
10、将入侵消灭在萌芽状态
入侵者进行攻击之前最常做的一件事情就是端号扫瞄,如果能够及时发现和阻止入侵者的端号扫瞄行为,那么可以大大减少入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器,
也可以是一个复杂的入侵检测系统或可配置的防火墙。我们可以采用诸如Abacus Port Sentry这样专业的工具,来监视网络接口并且与防火墙交互操作,最终达到关闭端口扫瞄攻击的目的。
当发生正在进行的端口扫瞄时,Abacus Sentry可以迅速阻止它继续执行。但是如果配置不当,它也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。
正确地使用这个软件将能够有效地防止对端号大量的并行扫瞄并且阻止所有这样的入侵者。
11、严格管理好口令
前面我们也曾经说到过,黑客一旦获取具有根权限的帐号时,就可以对系统进行任意的破坏和攻击,因此我们必须保护好系统的操作口令。通常用户的口令是保存在文件/etc/passwd文件中的,
尽管/etc/passwd是一个经过加密的文件,但黑客们可以通过许多专用的搜索方法来查找口令,如果我们的口令选择不当,就很容易被黑客搜索到。因此,我们一定要选择一个确保不容易被搜索的口令。另外,
我们最好能安装一个口令过滤工具,并借用该工具来帮物料管理流程助自己检查设置的口令是否耐得住攻击。
