簡單四步加強Linux系統安全
隨著Linux系統在伺服器中的廣泛應用,系統的安全問題也越來越受到人們關注。特別是對於系統管理員,如果不做好系統的安全防護,就會存在被非法用戶入侵的可能。下面跟大家分享一下在實際運維過程中幾個加強系統安全的方法。
1、賬號和口令
【1】為系統管理員建立普通許可權的賬號,為監控機建立監控賬號,分別用於日常系統維護和系統監控;
【2】禁止不必要登陸的賬號使用shell許可權,專為應用程序創建的用戶不需要登陸,可使用
useradd mysql –M –s /sbin/nologin
【3】強制使用高強度密碼,包含字母(大寫字母和小寫字母),數字和特殊符號;
Tips輸入文該怎樣設置一個不容易被破解又好記憶的密碼呢?請參考綠盟科技博客中設置口令的一些小技巧
(http://blog.nsfocus.net/set-password-tips/)
【4】設置密碼修改頻率,一般三個月修改一次。
2、遠程登陸
【1】禁止使用root賬號直接登陸,只允許使用普通賬號登陸;
【2】更改默認埠;
【3】禁止直接使用口令的方式驗證,採用密鑰登陸;以上方法可以通過修改sshd的配置文件(/etc/ssh/sshd_config)完成操作。
3、開啟防火牆
Iptables防火牆是linux系統中強大的工具,可以添加和去除規則來過濾訪問,這裡簡單介紹幾個常用的命令。
【1】iptables -A INPUT -p tcp --dport 80 -j ACCEPT
增加一條規則到INPUT規則鏈中,允許所有目的埠為80的數據包流入
【2】iptables -D INPUT -p tcp --dport 80 -j ACCEPT
刪除一條規則
【3】service iptables save
保存規則
4、使用sudo提升執行許可權
上面提到給系統管理員建立普通用戶的許可權,那麼需要使用root許可權時怎麼辦呢?sudo命令解決了這個問題。sudo命令能夠讓普通用戶以root的身份執行命令,只需要預先在/etc/sudoers配置文件中配置授權,而該用戶不需知道root用戶的密碼,但是需要先輸入自己的密碼。
系統為此功能提供visudo命令進行編輯,使用該命令可以進行有限的語法檢查,visudo不會保存帶有語法錯誤的配置文件,它會提示你出現的問題,編輯時遵循
foobar ALL=(ALL) ALL
格式即可。
※2018年平昌冬奧會受到「Olympic Destroyer」攻擊
※2018金融行業網路安全熱點與對策
TAG:綠盟科技 |