强化Linux服务器安全性的技巧.pdfVIP

保密级别：内部公开 强化Linux 服务器安全性的技巧 1 介绍 Linux 提供一个全面的安全体系，从网络防火墙控制到访问控制安全策略，应有尽有。 尽管Linux 采用了“默认安全”的原则，但本文将探讨各种尽量减少漏洞的默认设置和管理 办法。 请谨记，在这里讨论的策略要考虑的选项，而不是明确的执行规则，在这里一些应用系 统的修改必须始终进行兼容性测试，并确认支持的应用程序。因为市场上运行着不同版本以 及不同厂家的Linux。 本文介绍以下一般强化Linux 的策略和方法：  最少化软件或服务。消除不必要的软件程序包和服务，最大限度地减少可能的攻击 途径。  拧紧网络和用户接入。网络是一个恶意用户和应用程序的主要入口点。微调网络配 置以及所有用户的访问点，有助于防止未经授权的访问。  保护应用程序和数据。设置设备，加载适当的文件系统（在某些情况下，使用加密） 有助于维护应用程序和数据。  实现安全功能的执行策略。在一些情况下，安全策略可能要求额外的机制，如TCP 封装器，可插式验证模块（PAM），或执行安全增强性Linux （SELinux）。  运行适当的可选程序。除了维持系统的物理安全，应用支持，补丁和安全更新及时。 还要监视系统日志和审计跟踪，执行一些工具寻找可疑的迹象。此外，定期进行安 全性评估，审查与安全有关的做法以及程序。 下面将重点介绍前4 个策略来强化Linux 操作系统安全。至于运行保障措施，如系统管 理，审计和更新，这里暂时先不讨论这些，虽然他们是同样重要，等后续找个专题继续讨论。 2 最少化软件安装 当安装Linux 时，只安装所需要的软件包，可以减少受攻击的几率。软件包是一个潜在 来源的setuid 程序，Network services, 和Libraries 有可能被用来获取非法登录凭证危险系统。 使用预先配置文件的Kickstart 提供一致和精确控制的安装，降低安全风险，以及安装管理 工作的自动化。 在已经安装的Linux 系统上，尽量减少不必要的修剪RPMS 软件痕迹。例如，在大多数 的服务器上X-Windows 系统不需要，可以卸载。 3 尽量减少活动的服务 默认情况下，Linux 系统配置最小的一组服务，print services （cupsd 和lpd），sendmail， sshd 和xinetd （启动其他联网服务）。软件服务最少化，服务器上配置最少的应用程序服务 类型这样可以消除潜在的攻击途径。理想情况下一种方法（但并不总是可行的话）是同类服 务器配置相应类型的服务（例如，一类服务器配置Apache HTTP 服务，另一类配置NFS 服务， 第三类配置打印服务，依此类推）。这种配置的好处是，如果一类系统被攻破，风险不至于 传递到其它类服务器上。 最理想的方案，如果服务不使用，删除软件包与服务。在某些情况下，因为软件的依赖 关系，可能无法删除服务，如果这样的话，可以禁用这类服务，在不被删除的情况下可以使 用service 和chkconfig 命令进行禁用。 保密级别：内部公开 对于正在使用的服务，一定要保持最新的套装软件，应用最新的支持补丁和安全更新。 为了防止未经授权的更改，确保在文件/etc/services 文件，确保它的拥有者是root，只能 由root 修改，并链接到它不能被创建。 4 锁定网络服务 由于网络服务是一种常见的攻击途径，需要特别关注他们。一种常用的策略是尽量减少 由xinetd 启动的网络服务，禁用那些不需要的。它也可以设置资源限制，xinetd 的服务， 以阻止潜在的拒绝服务（DoS）攻击。例如，可以限制每个服务或连接速率连接实例的数量， 由指定的配置文件/etc/xinetd.conf 中的限制。（对于资源的控制选项，请参阅手册页 xinetd 和/etc/xinetd.conf）。 5 端口扫描 另一种常见的策略，加强安全检查哪些服务正在运行的系统上使用端口扫描工具。这些 命令有时被用来识别TCP 端口及相关服务： ＃netstat –tulp ＃lsof -iTCP -sTCP：LISTEN ＃nmap