6種方法加固Linux工作站安全

導讀	正如我之前說過，安全好比是在公路上開車――比你開得慢的人都是白痴，比你開得快的人都是瘋子。本文介紹的這些準則只是一系列基本的核心安全規則，它們並不全面，也取代不了經驗、謹慎和常識。你應該稍微調整這些建議，以適合本企業的環境。

對每個系統管理員來說，以下是一些應該採取的必要步驟：

• 1.一律禁用Firewire和Thunderbolt模組。
• 2.檢查防火牆，確保所有入站連接埠已被過濾。
• 3.確保root郵件轉寄到你核查的帳號。
• 4.設立作業系統自動更新時間表，或更新提醒內容。

此外，你還應該考慮其中一些最好採取的步驟，進一步加固系統：

• 1.核查以確保sshd服務在預設情況下已停用。
• 2.設定螢幕保護程序，閒置一段時間後自動鎖定。
• 3.安裝logwatch。
• 4.安裝並使用rkhunter
• 5.安裝入侵偵測系統

# 

1. 把相關模組列入黑名單

想把Firewire和Thunderbolt模組列入黑名單，將下列幾行加入/etc/modprobe.d/blacklist-dma.conf中的檔案：

blacklist firewire-core
blacklist thunderbolt

一旦系統重啟，上述模組就會被列入黑名單。即便你沒有這些端口，這麼做也沒有什麼危害。

2. root郵件

預設情況下，root郵件完全保存在系統上，往往從不被讀取。確保你設定了/etc/aliases，將root郵件轉發到你實際讀取的郵箱，不然就有可能錯過重要的系統通知和報告：

# Person who should get root’s mail
root:           [email protected]

這番編輯後運行newaliases，對它測試一番，確保郵件確實已送達，因為一些電子郵件提供者會拒絕從根本不存在的域名或無法路由的域名發來的電子郵件。如果是這種情況，你需要調整郵件轉送配置，直到這確實可行。

3. 防火牆、sshd和偵聽守護程式

預設的防火牆設定將依賴你的發行版，但許多允許入站sshd連接埠。除非你有一個充足而正當的理由允許入站ssh，否則應該將這個過濾掉，禁用sshd守護程序。

systemctl disable sshd.service
systemctl stop sshd.service

如果你需要使用它，總是可以暫時啟動它。

通常來說，你的系統除了回應ping外，應該沒有任何偵聽連接埠。這將有助於你防範網路層面的零日漏洞。

4. 自動更新或通知

建議開啟自動更新，除非你有非常充足的理由不這麼做，例如擔心自動更新會導致你的系統無法使用(這種事之前發生過，所以這種擔心並非毫無根據)。起碼，你應該啟用自動通知可用更新的機制。大多數發行版已經讓這項服務自動為你運行，所以你很可能沒必要進行任何操作。查閱發行版的說明文檔，以了解更多內容。

5. 查看日誌

你應該密切注意系統上發生的所有活動。由於這個原因，應該安裝logwatch，並對它進行配置，以便每晚發送活動報告，表明系統上發生的一切活動。這防止不了全心投入的攻擊者，卻是個很好的安全網功能，有必要部署。

請注意：許多systemd發行版不再自動安裝logwatch需要的syslog伺服器(那是由於systemd依賴自己的日誌)，所以你需要安裝和啟用rsyslog，確保/var/log在logwatch具有任何用途之前不是空的。

6. rkhunter和IDS

除非你切實了解工作原理，並且採取了必要的步驟進行合理的設置(比如將數據庫放在外部介質上，從可信的環境運行檢查，執行系統更新和配置變更後記得更新哈希數據庫，等等)，否則安裝rkhunter以及aide或tripwire之類的入侵偵測系統(IDS)不是很有用。如果你不願意採取這些步驟、調整在自己的工作站上執行任務的方式，這些工具只會帶來麻煩，沒有任何實際的安全好處。

我們確實建議你應該安裝rkhunter、在晚上運行它。它學習和使用起來相當容易;雖然它發現不了狡猾的攻擊者，但是可幫助你發現自己的錯誤。

原文標題：9 Ways to Harden Your Linux Workstation After Distro Installation，作者：Konstantin Ryabitsev

以上是6種方法加固Linux工作站安全的詳細內容。更多資訊請關注PHP中文網其他相關文章！