虽然Linux的安全性要比其他的系统好一些,但是同样会有些安全问题需要考虑。
本文仅以自己的观点对Linux安全进行一个简单的分析。以CentOS为例子解释。
对于一个刚刚装完的CentOS系统来说,需要考虑一下几个方面:
1.系统服务
对于没用的系统服务,能关掉的尽量关掉。在CentOS中有很多例如blueteeth蓝牙,nfs的很多服务,用不到的关掉可以减少系统进程。
2.使用iptables、SELinux加固系统。
SELinux很多人是不喜欢用的,但是iptables还是尽量利用起来。
3.改掉SSH端口
这个问题很无奈,如果你不换掉端口,就会有人不停的猜测你的用户名密码,然后日志就会暴增,而这些日志也毫无意义。
4.文件完整性
在部署完生产环境后,使用AIDE或者其他的审计工具,对系统的重要文件进行检测,做好指纹记录比起保存到其他地方,需要查询文件改动个时候,在调出来检测。
5.用户和密码的管理
用户和密码的管理是Linux的一大难题。这实际到了管理方式的问题。很多公司的服务器是N个人拥有root权限,一登陆上去w一下发现好几个root用户。尽量不要让root直接登陆。
用户的管理,每个用户一个账号还是公用一个帐户,员工离职后如何确保帐户完全收回,这也是管理方式上的一个大挑战。
临时用户的管理,很多人喜欢开临时帐户,这些临时账户往往过一段时间就忘记了,对于临时账户最好确保帐户的有效期限,并及时追踪使用者。
密码的管理,使用长密码还是密钥登陆还是使用其他诸如密码令牌的方式,所有的服务器使用相同的密码密钥,还是每台服务器密码密钥都不一样都要考虑,选择最合适自己的。
6.日志和软件的管理
日志最好做集中日志,本地保存一段时间的日志。日志的作用是为了查询有效信息。对于SNMP的扫描,帐户密码的猜接能关掉的直接关掉。
软件的管理,不要随意从网下下载安装乱七八糟的软件,随着Linux越来越被人们熟识,像windows那样流氓软件的出现只是早晚问题。
7.及时跟踪安全漏洞
像前段时间比较人们的gcc提权漏洞等,即使打好补丁。对于Linux软件的升级应该慎重,先做好测试,一般情况不需要及时升级。
8.及时备份
及时备份能够最大限度的减小损失,不过注意不要把鸡蛋放到同一个篮子里。
8.硬件防火墙、IDS、IPS、蜜罐
当网站初具规模,硬件防火墙就少不了了,不要迷信IDC的安全设备。所谓有备无患,防范DDOS事在必行。
其他的可以考虑,比如使用snort搭建简单的IDS,或是搭建一个蜜罐,不过对大多数人来说可能显得没太大的必要。
本文仅代表作者自己的观点,如果大家有不同的想法可以说出来一起讨论。
转载请注明:IPCPU-网络之路 » Linux安全方面的考虑