Linux 服務器提高安全性的技巧方法

　　Linux繼承了Unix以網絡為核心的設計思想，是一個性能穩定的多用戶網絡操作系統。不過安全問題也是一個關鍵。下面介紹一下方法技巧，希望下面的這些技巧和竅門可以幫助你加強你的系統的安全

　　方法技巧

　　1. 物理系統的安全性

　　配置BIOS，禁用從CD/DVD、外部設備、軟驅啟動。下一步，啟用BIOS密碼，同時啟用GRUB的密碼保護，這樣可以限制對系統的物理訪問。

　　2. 磁盤分區

　　使用不同的分區很重要，對于可能得災難，這可以保證更高的數據安全性。通過劃分不同的分區，數據可以進行分組并隔離開來。當意外發生時，只有出問題 的分區的數據才會被破壞，其他分區的數據可以保留下來。你最好有以下的分區，并且第三方程序最好安裝在單獨的文件系統/opt下。

　　/

　　/boot

　　/usr

　　/var

　　/home

　　/tmp

　　/opt

　　3. 最小包安裝，最少漏洞

　　你真的需要安裝所有的服務么?建議不要安裝無用的包，避免由這些包帶來的漏洞。這將最小化風險，因為一個服務的漏洞可能會危害到其他的服務。找到并去除或者停止不用的服務，把系統漏洞減少到最小。使用‘chkconfig’命令列出運行級別3的運行所有服務。

　　# /sbin/chkconfig --list |grep '3:on'

　　當你發現一個不需要的服務在運行時，使用下面的命令停止這個服務。

　　# chkconfig serviceName off

　　使用RPM包管理器，例如YUM或者apt-get 工具來列出所有安裝的包，并且利用下的命令來卸載他們。

　　# yum -y remove package-name

　　# sudo apt-get remove package-name

　　4. 檢查網絡監聽端口

　　在網絡命令‘netstat’的幫助下，你將能夠看到所有開啟的端口，以及相關的程序。使用我上面提到的‘chkconfig’命令關閉系統中不想要的網絡服務。

　　# netstat -tulpn

　　5. 使用 SSH(Secure Shell)

　　Telnet 和 rlogin 協議只能用于純文本，不能使用加密的格式，這或將導致安全漏洞的產生。SSH 是一種在客戶端與服務器端通訊時使用加密技術的安全協議。

　　除非必要，永遠都不要直接登錄 root 賬戶。使用 “sudo” 執行命令。sudo 由 /etc/sudoers 文件制定，同時也可以使用 “visudo”工具編輯，它將通過 VI 編輯器打開配置文件。

　　同時，建議將默認的 SSH 22 端口號改為其他更高的端口號。打開主要的 SSH 配置文件并做如下修改，以限制用戶訪問。

　　# vi /etc/ssh/sshd_config

　　關閉 root 用戶登錄

　　PermitRootLogin no

　　特定用戶通過

　　AllowUsers username

　　使用第二版 SSH 協議

　　Protocol 2

　　6. 保證系統是最新的

　　得一直保證系統包含了最新版本的補丁、安全修復和可用內核。

　　# yum updates

　　# yum check-update

　　7. 鎖定 Cron任務

　　Cron有它自己內建的特性，這特性允許定義哪些人能哪些人不能跑任務。這是通過兩個文件/etc/cron.allow 和 /etc /cron.deny 控制的。要鎖定在用Cron的用戶時可以簡單的將其名字寫到corn.deny里，而要允許用戶跑cron時將其名字加到 cron.allow即可。如果你要禁止所有用戶使用corn，那么可以將“ALL”作為一行加到cron.deny里。

　　# echo ALL >>/etc/cron.deny

　　8. 禁止USB探測

　　很多情況下我們想去限制用戶使用USB，來保障系統安全和數據的泄露。建立一個文件‘/etc/modprobe.d/no-usb’并且利用下面的命令來禁止探測USB存儲。

　　install usb-storage /bin/true

　　9.打開SELinux

　　SELinux(安全增強linux)是linux內核提供的一個強制的訪問控制安全機制。禁用SELinux意味著系統丟掉了安全機制。要去除SELinux之前仔細考慮下，如果你的系統需要發布到網絡，并且要在公網訪問，你就要更加注意一下。

　　SELinux 提供了三個基本的操作模式，他們是：

　　強制執行：這是默認是模式，用來啟用和強制執行SELinux安全措略。

　　許可模式：這種模式下SELinux不會強制執行安全措略，只有警告和日志記錄。這種模式在SELinux相關問題的故障排除時候非常有用。

　　關閉模式：SELinux被關閉。

　　你可以使用命令行‘system-config-selinux’, ‘getenforce’ 或 ‘sestatus’來瀏覽當前的SEliux的狀態。

　　# sestatus

　　如果是關閉模式，通過下面的命令開啟SELinux

　　# setenforce enforcing

　　你也可以通過配置文件‘/etc/selinux/config’來進行SELinux的開關操作。

　　10. 移除KDE或GNOME桌面

　　沒必要在專用的LAMP服務器上運行X Window桌面比如KDE和GNOME?？梢砸频艋蜿P閉它們，以提高系統安全性和性能。打開/etc/inittab然后將run level改成3就可以關閉這些桌面。如果你將它徹底的從系統中移走，可以用下面這個命令：

　　# yum groupremove "X Window System"

　　補充：Linux基本命令

　　1.ls命令：

　　格式：：ls [選項] [目錄或文件]

　　功能：對于目錄，列出該目錄下的所有子目錄與文件;對于文件，列出文件名以及其他信息。

　　常用選項：

　　-a ：列出目錄下的所有文件，包括以 . 開頭的隱含文件。

　　-d ：將目錄像文件一樣顯示，而不是顯示其他文件。

　　-i ：輸出文件的i節點的索引信息。

　　-k ：以k字節的形式表示文件的大小。

　　-l ：列出文件的詳細信息。

　　-n ：用數字的UID,GID代替名稱。

　　-F : 在每個文件名后面附上一個字符以說明該文件的類型，“*”表示可執行的普通文 件;“/”表示目錄;“@”表示符號鏈接;“l”表示FIFOS;“=”表示套接字。

　　2.cd命令

　　格式：cd [目錄名稱]

　　常用選項：

　　cd .. 返回上一級目錄。

　　cd ../.. 將當前目錄向上移動兩級。

　　cd - 返回最近訪問目錄。

　　3.pwd命令

　　格式： pwd

　　功能：顯示出當前工作目錄的絕對路徑。

　　相關閱讀：Linux主要特性

　　完全兼容POSIX1.0標準

　　這使得可以在Linux下通過相應的模擬器運行常見的DOS、Windows的程序。這為用戶從Windows轉到Linux奠定了基礎。許多用戶在考慮使用Linux時，就想到以前在Windows下常見的程序是否能正常運行，這一點就消除了他們的疑慮。

　　多用戶、多任務

　　Linux支持多用戶，各個用戶對于自己的文件設備有自己特殊的權利，保證了各用戶之間互不影響。多任務則是現在電腦最主要的一個特點，Linux可以使多個程序同時并獨立地運行。

　　良好的界面

　　Linux同時具有字符界面和圖形界面。在字符界面用戶可以通過鍵盤輸入相應的指令來進行操作。它同時也提供了類似Windows圖形界面的X-Window系統，用戶可以使用鼠標對其進行操作。在X-Window環境中就和在Windows中相似，可以說是一個Linux版的Windows。

　　支持多種平臺

　　Linux可以運行在多種硬件平臺上，如具有x86、680x0、SPARC、Alpha等處理器的平臺。此外Linux還是一種嵌入式操作系統，可以運行在掌上電腦、機頂盒或游戲機上。2001年1月份發布的Linux 2.4版內核已經能夠完全支持Intel 64位芯片架構。同時Linux也支持多處理器技術。多個處理器同時工作，使系統性能大大提高。

Linux 服務器安全相關文章：

1.linux關閉服務命令

2.如何排查Linux服務器上的惡意發包行為

3.Linux Web服務器如何配置

4.linux的scp命令

5.Linux系統如何設置安全管理方法有哪些