導讀 | 正如我之前說過,安全好比是在公路上開車――比你開得慢的人都是白痴,比你開得快的人都是瘋子。本文介紹的這些準則只是一系列基本的核心安全規則,它們並不全面,也取代不了經驗、謹慎和常識。你應該稍微調整這些建議,以適合本企業的環境。 |
對每個系統管理員來說,以下是一些應該採取的必要步驟:
- 1.一律禁用Firewire和Thunderbolt模組。
- 2.檢查防火牆,確保所有入站連接埠已被過濾。
- 3.確保root郵件轉寄到你核查的帳號。
- 4.設立作業系統自動更新時間表,或更新提醒內容。
此外,你還應該考慮其中一些最好採取的步驟,進一步加固系統:
- 1.核查以確保sshd服務在預設情況下已停用。
- 2.設定螢幕保護程序,閒置一段時間後自動鎖定。
- 3.安裝logwatch。
- 4.安裝並使用rkhunter
- 5.安裝入侵偵測系統
#
1. 把相關模組列入黑名單想把Firewire和Thunderbolt模組列入黑名單,將下列幾行加入/etc/modprobe.d/blacklist-dma.conf中的檔案:
blacklist firewire-core blacklist thunderbolt
一旦系統重啟,上述模組就會被列入黑名單。即便你沒有這些端口,這麼做也沒有什麼危害。
2. root郵件預設情況下,root郵件完全保存在系統上,往往從不被讀取。確保你設定了/etc/aliases,將root郵件轉發到你實際讀取的郵箱,不然就有可能錯過重要的系統通知和報告:
# Person who should get root’s mail root: [email protected]
這番編輯後運行newaliases,對它測試一番,確保郵件確實已送達,因為一些電子郵件提供者會拒絕從根本不存在的域名或無法路由的域名發來的電子郵件。如果是這種情況,你需要調整郵件轉送配置,直到這確實可行。
3. 防火牆、sshd和偵聽守護程式預設的防火牆設定將依賴你的發行版,但許多允許入站sshd連接埠。除非你有一個充足而正當的理由允許入站ssh,否則應該將這個過濾掉,禁用sshd守護程序。
systemctl disable sshd.service systemctl stop sshd.service
如果你需要使用它,總是可以暫時啟動它。
通常來說,你的系統除了回應ping外,應該沒有任何偵聽連接埠。這將有助於你防範網路層面的零日漏洞。
4. 自動更新或通知建議開啟自動更新,除非你有非常充足的理由不這麼做,例如擔心自動更新會導致你的系統無法使用(這種事之前發生過,所以這種擔心並非毫無根據)。起碼,你應該啟用自動通知可用更新的機制。大多數發行版已經讓這項服務自動為你運行,所以你很可能沒必要進行任何操作。查閱發行版的說明文檔,以了解更多內容。
5. 查看日誌你應該密切注意系統上發生的所有活動。由於這個原因,應該安裝logwatch,並對它進行配置,以便每晚發送活動報告,表明系統上發生的一切活動。這防止不了全心投入的攻擊者,卻是個很好的安全網功能,有必要部署。
請注意:許多systemd發行版不再自動安裝logwatch需要的syslog伺服器(那是由於systemd依賴自己的日誌),所以你需要安裝和啟用rsyslog,確保/var/log在logwatch具有任何用途之前不是空的。
6. rkhunter和IDS除非你切實了解工作原理,並且採取了必要的步驟進行合理的設置(比如將數據庫放在外部介質上,從可信的環境運行檢查,執行系統更新和配置變更後記得更新哈希數據庫,等等),否則安裝rkhunter以及aide或tripwire之類的入侵偵測系統(IDS)不是很有用。如果你不願意採取這些步驟、調整在自己的工作站上執行任務的方式,這些工具只會帶來麻煩,沒有任何實際的安全好處。
我們確實建議你應該安裝rkhunter、在晚上運行它。它學習和使用起來相當容易;雖然它發現不了狡猾的攻擊者,但是可幫助你發現自己的錯誤。
原文標題:9 Ways to Harden Your Linux Workstation After Distro Installation,作者:Konstantin Ryabitsev
以上是6種方法加固Linux工作站安全的詳細內容。更多資訊請關注PHP中文網其他相關文章!

Linux和Windows在處理設備驅動程序上的差異主要體現在驅動管理的靈活性和開發環境上。 1.Linux採用模塊化設計,驅動可以動態加載和卸載,開發者需深入理解內核機制。 2.Windows依賴微軟生態,驅動需通過WDK開發並簽名認證,開發相對複雜但保證了系統的穩定性和安全性。

Linux和Windows的安全模型各有優勢。 Linux提供靈活性和可定制性,通過用戶權限、文件系統權限和SELinux/AppArmor實現安全。 Windows則注重用戶友好性,依賴WindowsDefender、UAC、防火牆和BitLocker保障安全。

Linux和Windows在硬件兼容性上不同:Windows有廣泛的驅動程序支持,Linux依賴社區和廠商。解決Linux兼容性問題可通過手動編譯驅動,如克隆RTL8188EU驅動倉庫、編譯和安裝;Windows用戶需管理驅動程序以優化性能。

Linux和Windows在虛擬化支持上的主要區別在於:1)Linux提供KVM和Xen,性能和靈活性突出,適合高定制環境;2)Windows通過Hyper-V支持虛擬化,界面友好,與Microsoft生態系統緊密集成,適合依賴Microsoft軟件的企業。

Linux系統管理員的主要任務包括系統監控與性能調優、用戶管理、軟件包管理、安全管理與備份、故障排查與解決、性能優化與最佳實踐。 1.使用top、htop等工具監控系統性能,並進行調優。 2.通過useradd等命令管理用戶賬戶和權限。 3.利用apt、yum管理軟件包,確保系統更新和安全。 4.配置防火牆、監控日誌、進行數據備份以確保系統安全。 5.通過日誌分析和工具使用進行故障排查和解決。 6.優化內核參數和應用配置,遵循最佳實踐提升系統性能和穩定性。

學習Linux並不難。 1.Linux是一個開源操作系統,基於Unix,廣泛應用於服務器、嵌入式系統和個人電腦。 2.理解文件系統和權限管理是關鍵,文件系統是層次化的,權限包括讀、寫和執行。 3.包管理系統如apt和dnf使得軟件管理方便。 4.進程管理通過ps和top命令實現。 5.從基本命令如mkdir、cd、touch和nano開始學習,再嘗試高級用法如shell腳本和文本處理。 6.常見錯誤如權限問題可以通過sudo和chmod解決。 7.性能優化建議包括使用htop監控資源、清理不必要文件和使用sy

Linux管理員的平均年薪在美國為75,000至95,000美元,歐洲為40,000至60,000歐元。提升薪資可以通過:1.持續學習新技術,如雲計算和容器技術;2.積累項目經驗並建立Portfolio;3.建立職業網絡,拓展人脈。

Linux的主要用途包括:1.服務器操作系統,2.嵌入式系統,3.桌面操作系統,4.開發和測試環境。 Linux在這些領域表現出色,提供了穩定性、安全性和高效的開發工具。


熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱門文章

熱工具

SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)

mPDF
mPDF是一個PHP庫,可以從UTF-8編碼的HTML產生PDF檔案。原作者Ian Back編寫mPDF以從他的網站上「即時」輸出PDF文件,並處理不同的語言。與原始腳本如HTML2FPDF相比,它的速度較慢,並且在使用Unicode字體時產生的檔案較大,但支援CSS樣式等,並進行了大量增強。支援幾乎所有語言,包括RTL(阿拉伯語和希伯來語)和CJK(中日韓)。支援嵌套的區塊級元素(如P、DIV),

SAP NetWeaver Server Adapter for Eclipse
將Eclipse與SAP NetWeaver應用伺服器整合。

SublimeText3 Linux新版
SublimeText3 Linux最新版

EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能