搜尋
首頁系統教程Linux6種方法加固Linux工作站安全
6種方法加固Linux工作站安全Dec 29, 2023 am 08:44 AM
linuxlinux教程紅帽linux系統linux指令linux認證紅帽linuxlinux視頻

導讀 正如我之前說過,安全好比是在公路上開車――比你開得慢的人都是白痴,比你開得快的人都是瘋子。本文介紹的這些準則只是一系列基本的核心安全規則,它們並不全面,也取代不了經驗、謹慎和常識。你應該稍微調整這些建議,以適合本企業的環境。

對每個系統管理員來說,以下是一些應該採取的必要步驟:

  • 1.一律禁用Firewire和Thunderbolt模組。
  • 2.檢查防火牆,確保所有入站連接埠已被過濾。
  • 3.確保root郵件轉寄到你核查的帳號。
  • 4.設立作業系統自動更新時間表,或更新提醒內容。

此外,你還應該考慮其中一些最好採取的步驟,進一步加固系統:

  • 1.核查以確保sshd服務在預設情況下已停用。
  • 2.設定螢幕保護程序,閒置一段時間後自動鎖定。
  • 3.安裝logwatch。
  • 4.安裝並使用rkhunter
  • 5.安裝入侵偵測系統

6種方法加固Linux工作站安全

1. 把相關模組列入黑名單

想把Firewire和Thunderbolt模組列入黑名單,將下列幾行加入/etc/modprobe.d/blacklist-dma.conf中的檔案:

blacklist firewire-core
blacklist thunderbolt

一旦系統重啟,上述模組就會被列入黑名單。即便你沒有這些端口,這麼做也沒有什麼危害。

2. root郵件

預設情況下,root郵件完全保存在系統上,往往從不被讀取。確保你設定了/etc/aliases,將root郵件轉發到你實際讀取的郵箱,不然就有可能錯過重要的系統通知和報告:

# Person who should get root’s mail
root:           [email protected]

這番編輯後運行newaliases,對它測試一番,確保郵件確實已送達,因為一些電子郵件提供者會拒絕從根本不存在的域名或無法路由的域名發來的電子郵件。如果是這種情況,你需要調整郵件轉送配置,直到這確實可行。

3. 防火牆、sshd和偵聽守護程式

預設的防火牆設定將依賴你的發行版,但許多允許入站sshd連接埠。除非你有一個充足而正當的理由允許入站ssh,否則應該將這個過濾掉,禁用sshd守護程序。

systemctl disable sshd.service
systemctl stop sshd.service

如果你需要使用它,總是可以暫時啟動它。

通常來說,你的系統除了回應ping外,應該沒有任何偵聽連接埠。這將有助於你防範網路層面的零日漏洞。

4. 自動更新或通知

建議開啟自動更新,除非你有非常充足的理由不這麼做,例如擔心自動更新會導致你的系統無法使用(這種事之前發生過,所以這種擔心並非毫無根據)。起碼,你應該啟用自動通知可用更新的機制。大多數發行版已經讓這項服務自動為你運行,所以你很可能沒必要進行任何操作。查閱發行版的說明文檔,以了解更多內容。

5. 查看日誌

你應該密切注意系統上發生的所有活動。由於這個原因,應該安裝logwatch,並對它進行配置,以便每晚發送活動報告,表明系統上發生的一切活動。這防止不了全心投入的攻擊者,卻是個很好的安全網功能,有必要部署。

請注意:許多systemd發行版不再自動安裝logwatch需要的syslog伺服器(那是由於systemd依賴自己的日誌),所以你需要安裝和啟用rsyslog,確保/var/log在logwatch具有任何用途之前不是空的。

6. rkhunter和IDS

除非你切實了解工作原理,並且採取了必要的步驟進行合理的設置(比如將數據庫放在外部介質上,從可信的環境運行檢查,執行系統更新和配置變更後記得更新哈希數據庫,等等),否則安裝rkhunter以及aide或tripwire之類的入侵偵測系統(IDS)不是很有用。如果你不願意採取這些步驟、調整在自己的工作站上執行任務的方式,這些工具只會帶來麻煩,沒有任何實際的安全好處。

我們確實建議你應該安裝rkhunter、在晚上運行它。它學習和使用起來相當容易;雖然它發現不了狡猾的攻擊者,但是可幫助你發現自己的錯誤。

原文標題:9 Ways to Harden Your Linux Workstation After Distro Installation,作者:Konstantin Ryabitsev

以上是6種方法加固Linux工作站安全的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述
本文轉載於:Linux就该这么学。如有侵權,請聯絡admin@php.cn刪除
什么是linux设备节点什么是linux设备节点Apr 18, 2022 pm 08:10 PM

linux设备节点是应用程序和设备驱动程序沟通的一个桥梁;设备节点被创建在“/dev”,是连接内核与用户层的枢纽,相当于硬盘的inode一样的东西,记录了硬件设备的位置和信息。设备节点使用户可以与内核进行硬件的沟通,读写设备以及其他的操作。

Linux中open和fopen的区别有哪些Linux中open和fopen的区别有哪些Apr 29, 2022 pm 06:57 PM

区别:1、open是UNIX系统调用函数,而fopen是ANSIC标准中的C语言库函数;2、open的移植性没fopen好;3、fopen只能操纵普通正规文件,而open可以操作普通文件、网络套接字等;4、open无缓冲,fopen有缓冲。

linux中什么叫端口映射linux中什么叫端口映射May 09, 2022 pm 01:49 PM

端口映射又称端口转发,是指将外部主机的IP地址的端口映射到Intranet中的一台计算机,当用户访问外网IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上;可以通过使用动态或固定的公共网络IP路由ADSL宽带路由器来实现。

什么是linux交叉编译什么是linux交叉编译Apr 29, 2022 pm 06:47 PM

在linux中,交叉编译是指在一个平台上生成另一个平台上的可执行代码,即编译源代码的平台和执行源代码编译后程序的平台是两个不同的平台。使用交叉编译的原因:1、目标系统没有能力在其上进行本地编译;2、有能力进行源代码编译的平台与目标平台不同。

linux中eof是什么linux中eof是什么May 07, 2022 pm 04:26 PM

在linux中,eof是自定义终止符,是“END Of File”的缩写;因为是自定义的终止符,所以eof就不是固定的,可以随意的设置别名,linux中按“ctrl+d”就代表eof,eof一般会配合cat命令用于多行文本输出,指文件末尾。

linux怎么判断pcre是否安装linux怎么判断pcre是否安装May 09, 2022 pm 04:14 PM

在linux中,可以利用“rpm -qa pcre”命令判断pcre是否安装;rpm命令专门用于管理各项套件,使用该命令后,若结果中出现pcre的版本信息,则表示pcre已经安装,若没有出现版本信息,则表示没有安装pcre。

linux怎么查询mac地址linux怎么查询mac地址Apr 24, 2022 pm 08:01 PM

linux查询mac地址的方法:1、打开系统,在桌面中点击鼠标右键,选择“打开终端”;2、在终端中,执行“ifconfig”命令,查看输出结果,在输出信息第四行中紧跟“ether”单词后的字符串就是mac地址。

linux中rpc是什么意思linux中rpc是什么意思May 07, 2022 pm 04:48 PM

在linux中,rpc是远程过程调用的意思,是Reomote Procedure Call的缩写,特指一种隐藏了过程调用时实际通信细节的IPC方法;linux中通过RPC可以充分利用非共享内存的多处理器环境,提高系统资源的利用率。

See all articles

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

AI Hentai Generator

AI Hentai Generator

免費產生 AI 無盡。

熱門文章

R.E.P.O.能量晶體解釋及其做什麼(黃色晶體)
2 週前By尊渡假赌尊渡假赌尊渡假赌
倉庫:如何復興隊友
4 週前By尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island冒險:如何獲得巨型種子
4 週前By尊渡假赌尊渡假赌尊渡假赌

熱工具

VSCode Windows 64位元 下載

VSCode Windows 64位元 下載

微軟推出的免費、功能強大的一款IDE編輯器

SublimeText3 Linux新版

SublimeText3 Linux新版

SublimeText3 Linux最新版

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

EditPlus 中文破解版

EditPlus 中文破解版

體積小,語法高亮,不支援程式碼提示功能

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境