linux 服务器安全技巧及工具总结.pdf

Linux 服务器安全技巧及工具总结 Linux 服务器安全技巧及工具总结 随着开源系统 Linux 的盛行，其在大中型企业的应用也在逐渐普及，很多企业的应用服务都是构筑在其之 上，例如 Web 服务、数据库服务、集群服务等等。因此，Linux 的安全性就成为了企业构筑安全应用的一个基 础，是重中之重，如何对其进行安全防护是企业需要解决的一个基础性问题。基于此 ，本技术手册介绍了保护 Linux 服务器安全的技巧和工具。 工具 Linux 最大的特点莫过于功能强大，性能稳定的服务器。本节将介绍保护 Linux 服务器安全的工具：chroot jail 、TCP wrapper、chroot…… 使用 chroot jail 或 TCP wrapper 确保 Linux 服务器安全 加强 Linux 服务器安全的 Choot 使用 如何用命令行将 LINUX 服务器安全地接入 WIFI 网络？ quid 访问控制：ACL 元素以及访问列表 使用 Squid 配置反向代理服务器 技巧 Linux 应用广泛 ，维护这样一个企业级的安全的计算环境需要设计策略和过程 ，本节将讨论 Linux 服务器 的安全风险评估和防护要点。 最佳实践：如何确保 Linux 服务器安全？ 企业级 Linux 系统下的进程安全管理方法 构建企业级 Linux 服务器安全的十大要点（上） 构建企业级 Linux 服务器安全的十大要点（中） 构建企业级 Linux 服务器安全的十大要点（下） 2 / 38 使用 chroot jail 或 TCP wrapper 确保 Linux 服务器安全 系统管理员的任务是确保一个或者多个系统方便用户使用。在 Linux 系统中，管理员和用户都可以是你， 你和电脑的距离也不过几十厘米而已。系统管理员可能在半个地球远的地方支持网络系统，而你只是成千上万 用户中的一个。系统管理员可能是利用业余时间维护系统的兼职人员，他同时也可能是这个系统的用户。管理 员也可能由几个人组成，他们都全职负责维持多个系统正常运行。 确保服务器安全 你可以通过使用 TCP wrapper ，或者通过建立一个chroot jail 来确保服务器的安全。 TCP Wrappers 客户服务器安全 （hosts.allow 和 hosts.deny ） 当你打开一个本地系统去访问远程系统时，你必须确保满足以下条件：  只对你希望允许访问的系统开发本地系统。  允许每个远程系统只访问你允许访问的数据。  允许每个远程系统只能以适当的方式（只读/读写/只写）去访问数据。 TCP wrapper 作为客户服务器模型的一部分，依赖/etc/hosts.allow 和/etc/hosts.deny 文件作为简单访 问控制语言的基础，可用于任何包含了 libwrap.so 的 daemon 程序使用。访问控制语言限定的规则是：基于 客户端地址和客户端试图访问的 daemon 程序，选择性地允许客户端访问服务器在本地系统上的 daemon 程 序。 hosts.allow 和 hosts.deny 文件中的每行代码都遵循以下格式： daemon_list client_list [ command] 其中，daemon_list 是一个或多个服务器 daemon 程序（如 rpcbind、vsftpd、或 sshd ）的逗号分隔列 表。client_list 是一个或者多个客户端的逗号分隔列表。命令是可选的，当 client_list 的客户端试图访问从 daemon_list 访问服务器 daemon 程序时指代被执行的命令。 3 / 38 当客户端请求连接一个本地服务器时，hosts.allow 和 hosts.deny 文件按以下方式进行查询，直到找到匹 配的