安全是IT行業一個老生常談的話題了，從之前的“棱鏡門”事件中折射出了很多安全問題，處理好信息安全問題已變得刻不容緩。

公司主營業務：網站建設、做網站、移動網站開發等業務。幫助企業客戶真正實現互聯網宣傳，提高企業的競爭能力。創新互聯是一支青春激揚、勤奮敬業、活力青春激揚、勤奮敬業、活力澎湃、和諧高效的團隊。公司秉承以“開放、自由、嚴謹、自律”為核心的企業文化，感謝他們對我們的高要求，感謝他們從不同領域給我們帶來的挑戰，讓我們激情的團隊有機會用頭腦與智慧不斷的給客戶帶來驚喜。創新互聯推出臺安免費做網站回饋大家。

因此做為運維人員，就必須了解一些安全運維準則，同時，要保護自己所負責的業務，首先要站在攻擊者的角度思考問題，修補任何潛在的威脅和漏洞，主要分五部分展開：

一、賬戶和登錄安全

賬戶安全是系統安全的第一道屏障，也是系統安全的核心，保障登錄賬戶的安全，在一定程度上可以提高服務器的安全級別，下面重點介紹下Linux系統登錄賬戶的安全設置方法。

1、刪除特殊的賬戶和賬戶組

Linux提供了各種不同角色的系統賬號，在系統安裝完成后，默認會安裝很多不必要的用戶和用戶組，如果不需要某些用戶或者組，就要立即刪除它，因為賬戶越多，系統就越不安全，很可能被黑客利用，進而威脅到服務器的安全。

Linux系統中可以刪除的默認用戶和組大致有如下這些：

可刪除的用戶，如adm，lp，sync，shutdown，halt，news，uucp，operator，games，gopher等。

可刪除的組，如adm，lp，news，uucp，games，dip，pppusers，popusers，slipusers等。

2、關閉系統不需要的服務

Linux在安裝完成后，綁定了很多沒用的服務，這些服務默認都是自動啟動的。對于服務器來說，運行的服務越多，系統就越不安全，越少服務在運行，安全性就越好，因此關閉一些不需要的服務，對系統安全有很大的幫助。

具體哪些服務可以關閉，要根據服務器的用途而定，一般情況下，只要系統本身用不到的服務都認為是不必要的服務。

例如：某臺Linux服務器用于www應用，那么除了httpd服務和系統運行是必須的服務外，其他服務都可以關閉。下面這些服務一般情況下是不需要的，可以選擇關閉：

anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv

3、密碼安全策略

在Linux下，遠程登錄系統有兩種認證方式：密碼認證和密鑰認證。

密碼認證方式是傳統的安全策略，對于密碼的設置，比較普遍的說法是：至少6個字符以上，密碼要包含數字、字母、下劃線、特殊符號等。設置一個相對復雜的密碼，對系統安全能起到一定的防護作用，但是也面臨一些其他問題，例如密碼暴力破解、密碼泄露、密碼丟失等，同時過于復雜的密碼對運維工作也會造成一定的負擔。

密鑰認證是一種新型的認證方式，公用密鑰存儲在遠程服務器上，專用密鑰保存在本地，當需要登錄系統時，通過本地專用密鑰和遠程服務器的公用密鑰進行配對認證，如果認證成功，就成功登錄系統。這種認證方式避免了被暴力破解的危險，同時只要保存在本地的專用密鑰不被黑客盜用，攻擊者一般無法通過密鑰認證的方式進入系統。因此，在Linux下推薦用密鑰認證方式登錄系統，這樣就可以拋棄密碼認證登錄系統的弊端。

Linux服務器一般通過SecureCRT、putty、Xshell之類的工具進行遠程維護和管理，密鑰認證方式的實現就是借助于SecureCRT軟件和Linux系統中的SSH服務實現的。

4、合理使用su、sudo命令

su命令：是一個切換用戶的工具，經常用于將普通用戶切換到超級用戶下，當然也可以從超級用戶切換到普通用戶。為了保證服務器的安全，幾乎所有服務器都禁止了超級用戶直接登錄系統，而是通過普通用戶登錄系統，然后再通過su命令切換到超級用戶下，執行一些需要超級權限的工作。通過su命令能夠給系統管理帶來一定的方便，但是也存在不安全的因素，

例如：系統有10個普通用戶，每個用戶都需要執行一些有超級權限的操作，就必須把超級用戶的密碼交給這10個普通用戶，如果這10個用戶都有超級權限，通過超級權限可以做任何事，那么會在一定程度上對系統的安全造成了威脅。

因此su命令在很多人都需要參與的系統管理中，并不是最好的選擇，超級用戶密碼應該掌握在少數人手中，此時sudo命令就派上用場了。

sudo命令：允許系統管理員分配給普通用戶一些合理的“權利”，并且不需要普通用戶知道超級用戶密碼，就能讓他們執行一些只有超級用戶或其他特許用戶才能完成的任務。

比如：系統服務重啟、編輯系統配置文件等，通過這種方式不但能減少超級用戶登錄次數和管理時間，也提高了系統安全性。

因此，sudo命令相對于權限無限制性的su來說，還是比較安全的，所以sudo也被稱為受限制的su，另外sudo也是需要事先進行授權認證的，所以也被稱為授權認證的su。

sudo執行命令的流程是：
將當前用戶切換到超級用戶下，或切換到指定的用戶下，然后以超級用戶或其指定切換到的用戶身份執行命令，執行完成后，直接退回到當前用戶，而這一切的完成要通過sudo的配置文件/etc/sudoers來進行授權。

sudo設計的宗旨是：
賦予用戶盡可能少的權限但仍允許它們完成自己的工作，這種設計兼顧了安全性和易用性，因此，強烈推薦通過sudo來管理系統賬號的安全，只允許普通用戶登錄系統，如果這些用戶需要特殊的權限，就通過配置/etc/sudoers來完成，這也是多用戶系統下賬號安全管理的基本方式。

5、刪減系統登錄歡迎信息

系統的一些歡迎信息或版本信息，雖然能給系統管理者帶來一定的方便，但是這些信息有時候可能被黑客利用，成為攻擊服務器的幫兇，為了保證系統的安全，可以修改或刪除某些系統文件，需要修改或刪除的文件有4個，分別是：

/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。

/etc/issue和/etc/issue.net文件都記錄了操作系統的名稱和版本號，當用戶通過本地終端或本地虛擬控制臺等登錄系統時，/etc/issue的文件內容就會顯示，當用戶通過ssh或telnet等遠程登錄系統時，/etc/issue.net文件內容就會在登錄后顯示。在默認情況下/etc/issue.net文件的內容是不會在ssh登錄后顯示的，要顯示這個信息可以修改/etc/ssh/sshd_config文件，在此文件中添加如下內容即可：

Banner /etc/issue.net

其實這些登錄提示很明顯泄漏了系統信息，為了安全起見，建議將此文件中的內容刪除或修改。

/etc/redhat-release文件也記錄了操作系統的名稱和版本號，為了安全起見，可以將此文件中的內容刪除。

/etc/motd文件是系統的公告信息。每次用戶登錄后，/etc/motd文件的內容就會顯示在用戶的終端。通過這個文件系統管理員可以發布一些軟件或硬件的升級、系統維護等通告信息，但是此文件的大作用就、是可以發布一些警告信息，當黑客登錄系統后，會發現這些警告信息，進而產生一些震懾作用。看過國外的一個報道，黑客入侵了一個服務器，而這個服務器卻給出了歡迎登錄的信息，因此法院不做任何裁決。

二、遠程訪問和認證安全

1、遠程登錄取消telnet而采用SSH方式

telnet是一種古老的遠程登錄認證服務，它在網絡上用明文傳送口令和數據，因此別有用心的人就會非常容易截獲這些口令和數據。而且，telnet服務程序的安全驗證方式也極其脆弱，攻擊者可以輕松將虛假信息傳送給服務器。現在遠程登錄基本拋棄了telnet這種方式，而取而代之的是通過SSH服務遠程登錄服務器。

2、合理使用Shell歷史命令記錄功能

在Linux下可通過history命令查看用戶所有的歷史操作記錄，同時shell命令操作記錄默認保存在用戶目錄下的.bash_history文件中，通過這個文件可以查詢shell命令的執行歷史，有助于運維人員進行系統審計和問題排查，同時，在服務器遭受黑客攻擊后，也可以通過這個命令或文件查詢黑客登錄服務器所執行的歷史命令操作，但是有時候黑客在入侵服務器后為了毀滅痕跡，可能會刪除.bash_history文件，這就需要合理的保護或備份.bash_history文件。

3、啟用tcp_wrappers防火墻

Tcp_Wrappers是一個用來分析TCP/IP封包的軟件，類似的IP封包軟件還有iptables。Linux默認都安裝了Tcp_Wrappers。作為一個安全的系統，Linux本身有兩層安全防火墻，通過IP過濾機制的iptables實現第一層防護。iptables防火墻通過直觀地監視系統的運行狀況，阻擋網絡中的一些惡意攻擊，保護整個系統正常運行，免遭攻擊和破壞。如果通過了第一層防護，那么下一層防護就是tcp_wrappers了。通過Tcp_Wrappers可以實現對系統中提供的某些服務的開放與關閉、允許和禁止，從而更有效地保證系統安全運行。

三、文件系統安全

1、鎖定系統重要文件

系統運維人員有時候可能會遇到通過root用戶都不能修改或者刪除某個文件的情況，產生這種情況的大部分原因可能是這個文件被鎖定了。在Linux下鎖定文件的命令是chattr，通過這個命令可以修改ext2、ext3、ext4文件系統下文件屬性，但是這個命令必須有超級用戶root來執行。和這個命令對應的命令是lsattr，這個命令用來查詢文件屬性。

對重要的文件進行加鎖，雖然能夠提高服務器的安全性，但是也會帶來一些不便。

例如：在軟件的安裝、升級時可能需要去掉有關目錄和文件的immutable屬性和append-only屬性，同時，對日志文件設置了append-only屬性，可能會使日志輪換(logrotate)無法進行。因此，在使用chattr命令前，需要結合服務器的應用環境來權衡是否需要設置immutable屬性和append-only屬性。

另外，雖然通過chattr命令修改文件屬性能夠提高文件系統的安全性，但是它并不適合所有的目錄。chattr命令不能保護/、/dev、/tmp、/var等目錄。

根目錄不能有不可修改屬性，因為如果根目錄具有不可修改屬性，那么系統根本無法工作：

/dev在啟動時，syslog需要刪除并重新建立/dev/log套接字設備，如果設置了不可修改屬性，那么可能出問題；

/tmp目錄會有很多應用程序和系統程序需要在這個目錄下建立臨時文件，也不能設置不可修改屬性；

2、文件權限檢查和修改

不正確的權限設置直接威脅著系統的安全，因此運維人員應該能及時發現這些不正確的權限設置，并立刻修正，防患于未然。下面列舉幾種查找系統不安全權限的方法。

（1）查找系統中任何用戶都有寫權限的文件或目錄

查找文件：find / -type f -perm -2 -o -perm -20 |xargs ls -al
查找目錄：find / -type d -perm -2 -o -perm -20 |xargs ls –ld

（2）查找系統中所有含“s”位的程序

服務器被黑了，一定要看是不是犯了這5點錯誤
文章鏈接：http://vcdvsql.cn/article22/cghcc.html

成都網站建設公司_創新互聯，為您提供ChatGPT、Google、營銷型網站建設、App開發、定制網站、外貿網站建設

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯