Linux服务器安全防护措施.docVIP

Linux服务器安全防护措施 王杰林 2012-3-19 目前公司已经确定，数据库应用层和中间键应用层。而服务器的安全是从两个方面来保障的。一个是网络安全方面，另一个是程序安全方面。当程序没有漏洞，但是网络安全没有保障，那么所有的程序和数据都可能被丢失或破解。如果程序留有漏洞和后门，就算网络配置的再安全，也是枉然。这两个安全得到了保障才能真正的保证服务器的安全，仅仅采用网络安全配置是没有作用的。下面对于公司的Linux服务器安全设置和程序开发及安全应用措施如下： 网络安全配置 服务器系统的安全配置 Linux操作系统的防火墙设置 选择软件：由于公司采用的是Ubuntu Server 64bit Linux 操作系统。在这种操作系统下，有一个高级别安全性能IPFire最新版，IPFire是基于状态检测的防火墙，采用了内容过滤引擎，质量（ QoS 解决网络延迟阻塞丢失数据包传输顺序出错等问题的一种技术确保重要业务量不受延迟或丢弃，同时保证网络的高效运行）技术VPN ：主要功能是：信息包分类带宽管理通信量管理公平带宽传输保证和大量的记录avast、卡巴斯基都有linux版本的。我这里推荐使用能够avast，因为其是免费的。在杀毒方面也比较强，下面是国内检测杀毒软件的2011年的数据： 多终端应用 Linux是可以多终端独立应用的，为了保障服务器和数据的安全。在这里采用的是多终端多库应用，进行权限分级。如： 在Linux系统下增加一个终端用户，名为SSH，设置密码为：xxxxxxxx，在该用户下安装SSH服务端，并开放22端口。 同样的数据库也可以采用这个方式设置，端口是由公司内部指定，比如： TJW（添健网）用户的密码是yyyyyy，在这个用户下安装MYSQL5.0，并设置端口为3306，数据库里面只针对添健网的数据库操作。 JDW（机电网）用户的密码是sssssss，同样独立安装或者配置MYSQL5.0，设置端口为3307，通过这个用户进去只能操作机电网的数据库 让服务器定期更新漏洞 操作系统可以设置为定期更新漏洞，这些漏洞往往成为黑客攻击的目标。 不必要担心系统会下载病毒，应为系统只会指定到官方网站上去现在更新。 如果等到服务器能下载非法更新包时，操作系统早已经崩溃。 设置一些傀儡服务器 这个是雅虎的做法，设置几台傀儡服务器（也可以叫中继服务器）具有程序自我回复和还原功能。每台服务器的系统和端口不一。由于系统设置了自我恢复功能和恢复时间。就算黑客攻击掉了其中一台，也可以保证网络系统不会停止运营。 常见的服务器攻击手段即网络配置 拒绝服务（DDOS攻击） 攻击方式： SYN（DDOS攻击）是最常见又最容易被利用的一种攻击手法TCP协议缺陷，发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求netstat –n –p TCP | grep SYN_RECV | grep:22 | wc –L 其中22是指端口，如果显示的是10以下则是正常的，显示为10-30可能被攻击，30以上是绝对被攻击。 防范配置： 由于这种攻击是来源于TCP/IP协议的先天漏洞，完全规避是不可能的。只能通过一些手段减轻攻击产生的后果。 A、通过物理防火墙和过滤网关防护 这个与IDC机房有关，判断IDC机房是否具备防火墙。通过防火墙代理接收和发送请求来减少对服务器本身的攻击压力。 B、加固TCP/IP协议 设置请求时间和连接次数，这个调整需要注意的是，如果修改了相关的值。可能造成操作系统其他的功能毁坏。在没有十足的把握前请不要去设置。下面是Linux下的基础设置不会影响到其他功能： 1) 防止各种端口扫描iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s –j ACCEPT 2）禁止使用ping，同时防止ping云攻击 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s –j ACCEPT 3）开启Linux的syncookies功能，防范部分SYN攻击； sysctl -w net.ipv4.tcp_syncookies=1; 4）设置最大半连接数量，修改tcp_max_syn_backlog=2048 sysctl -w net.ipv4.tcp_max_syn_backlog=2048; 5）调整重试次数（默认是重试5次） sysctl -w net.ipv4.tcp_synack_retries=3 sysctl -w net.ipv4.tcp_syn_retries=3 6）开启截流