Linux 服务器如何做好安全防护？-Toy模板网

这篇具有很好参考价值的文章主要介绍了Linux 服务器如何做好安全防护？。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

Linux服务器安全技巧有：

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

1. 物理系统的安全性

配置BIOS，禁用从CD/DVD、外部设备、软驱启动。下一步，启用BIOS密码，同时启用GRUB的密码保护，这样可以限制对系统的物理访问。

2. 磁盘分区

使用不同的分区很重要，对于可能得灾难，这可以保证更高的数据安全性。通过划分不同的分区，数据可以进行分组并隔离开来。当意外发生时，只有出问题的分区的数据才会被破坏，其他分区的数据可以保留下来。你最好有以下的分区，并且第三方程序最好安装在单独的文件系统/opt下。

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

/boot

/usr

/var

/home

/tmp

/opt

3. 最小包安装，最少漏洞

你真的需要安装所有的服务么?建议不要安装无用的包，避免由这些包带来的漏洞。这将最小化风险，因为一个服务的漏洞可能会危害到其他的服务。找到并去除或者停止不用的服务，把系统漏洞减少到最小。使用‘chkconfig’命令列出运行级别3的运行所有服务。

# /sbin/chkconfig --list |grep ‘3:on’

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

当你发现一个不需要的服务在运行时，使用下面的命令停止这个服务。

# chkconfig serviceName off

使用RPM包管理器，例如YUM或者apt-get 工具来列出所有安装的包，并且利用下的命令来卸载他们。

# yum -y remove package-name

# sudo apt-get remove package-name

4. 检查网络监听端口

在网络命令‘netstat’的帮助下，你将能够看到所有开启的端口，以及相关的程序。使用我上面提到的‘chkconfig’命令关闭系统中不想要的网络服务。

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！
# netstat -tulpn

5. 使用 SSH(Secure Shell)

Telnet 和 rlogin 协议只能用于纯文本，不能使用加密的格式，这或将导致安全漏洞的产生。SSH 是一种在客户端与服务器端通讯时使用加密技术的安全协议。

除非必要，永远都不要直接登录 root 账户。使用 “sudo” 执行命令。sudo 由 /etc/sudoers 文件制定，同时也可以使用 “visudo”工具编辑，它将通过 VI 编辑器打开配置文件。

同时，建议将默认的 SSH 22 端口号改为其他更高的端口号。打开主要的 SSH 配置文件并做如下修改，以限制用户访问。

# vi /etc/ssh/sshd_config

关闭 root 用户登录

PermitRootLogin no

特定用户通过

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

AllowUsers username

使用第二版 SSH 协议

Protocol 2

6. 保证系统是最新的

得一直保证系统包含了最新版本的补丁、安全修复和可用内核。

# yum updates

# yum check-update

7. 锁定 Cron任务

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

Cron有它自己内建的特性，这特性允许定义哪些人能哪些人不能跑任务。这是通过两个文件/etc/cron.allow 和 /etc /cron.deny 控制的。要锁定在用Cron的用户时可以简单的将其名字写到corn.deny里，而要允许用户跑cron时将其名字加到 cron.allow即可。如果你要禁止所有用户使用corn，那么可以将“ALL”作为一行加到cron.deny里。

# echo ALL >>/etc/cron.deny

8. 禁止USB探测

很多情况下我们想去限制用户使用USB，来保障系统安全和数据的泄露。建立一个文件‘/etc/modprobe.d/no-usb’并且利用下面的命令来禁止探测USB存储。

install usb-storage /bin/true

9.打开SELinux

SELinux(安全增强linux)是linux内核提供的一个强制的访问控制安全机制。禁用SELinux意味着系统丢掉了安全机制。要去除SELinux之前仔细考虑下，如果你的系统需要发布到网络，并且要在公网访问，你就要更加注意一下。

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

SELinux 提供了三个基本的操作模式，他们是：

强制执行：这是默认是模式，用来启用和强制执行SELinux安全措略。

许可模式：这种模式下SELinux不会强制执行安全措略，只有警告和日志记录。这种模式在SELinux相关问题的故障排除时候非常有用。

关闭模式：SELinux被关闭。

你可以使用命令行‘system-config-selinux’, ‘getenforce’ 或 ‘sestatus’来浏览当前的SEliux的状态。

# sestatus

如果是关闭模式，通过下面的命令开启SELinux

# setenforce enforcing

你也可以通过配置文件‘/etc/selinux/config’来进行SELinux的开关操作。

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

10. 移除KDE或GNOME桌面

没必要在专用的LAMP服务器上运行X Window桌面比如KDE和GNOME。可以移掉或关闭它们，以提高系统安全性和性能。打开/etc/inittab然后将run level改成3就可以关闭这些桌面。如果你将它彻底的从系统中移走，可以用下面这个命令：

# yum groupremove “X Window System”

11. 关闭IPv6

如果不用IPv6协议，那就应该关闭掉它，因为大部分的应用和策略都不会用到IPv6，而且当前它不是服务器必需的。可以在网络配置文件中加入如下几行来关掉它。

# vi /etc/sysconfig/network

NETWORKING_IPV6=no

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

IPV6INIT=no

12. 限制用户使用旧密码

如果你不希望用户继续使用老密码，这一条很有用。老的密码文件位于/etc/security/opasswd。你可以使用 PAM 模块实现。

RHEL / CentOS / Fedora 中打开‘/etc/pam.d/system-auth’文件。

# vi /etc/pam.d/system-auth

Ubuntu/Debian/Linux Mint 中打开‘/etc/pam.d/common-password’文件。

# vi /etc/pam.d/common-password

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

在‘auth’块中添加下面一行。

auth sufficient pam_unix.so likeauth nullok

在‘password’块添加下面一行，禁止用户重新使用其过去最后用过的 5个密码。

password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5

服务器只记录最后的 5 个密码。如果你试图使用曾用的最后 5个老密码中的任意一个，你将看到如下的错误提示。

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

Password has been already used. Choose another.

13. 如何检查用户密码过期?

在 Linux 中，用户的密码以加密的形式保存在‘/etc/shadow’文件中。要检查用户的密码是否过期，你需要使用‘chage’命令。它将显示密码的最后修改日期及密码期限的细节信息。这些细节就是系统决定用户是否必须修改其密码的依据。

要查看任一存在用户的老化信息，如过期日和时长，使用如下命令。

#chage -l username

要修改任一用户的密码老化，使用如下命令。

#chage -M 60 username

#chage -M 60 -m 7 -W 7 userName

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

参数

-M 设置天数最大数字

-m 设定天数最小数字

-W 设定想要的天数

14. 手动锁定或解锁用户账号

锁定和解锁功能是非常有用的，你可以锁定一个账号一周或一个月，而不是将这个账号从系统中剔除。可以用下面这个命令锁定一个特定用户。

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

# passwd -l accountName

提示：这个被锁定的用户仅对root用户仍然可见。这个锁定是通过将加密过的密码替换成(!)来实现的。如果有个想用这个账号来进入系统，他会得到类似下面这个错误的提示。

# su - accountName

This account is currently not available.

解锁一个被锁定的账号时，用下面这个命令。这命令会将被替换成(!)的密码改回来。

# passwd -u accountName

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

15. 增强密码

有相当数量的用户使用很弱智的密码，他们的密码都可以通过字典攻击或者暴力攻击攻破。‘pam_cracklib’模块存于在PAM 中，它可以强制用户设置复杂的密码。通过编辑器打开下面的文件。

# vi /etc/pam.d/system-auth

在文件中增加一行，使用认证参数(lcredit, ucredit, dcredit 或者 ocredit 对应小写字母、大写字母，数字和其他字符)

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

16. 启用Iptable(防火墙)

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

高度推荐启用linux防火墙来禁止非法程序访问。使用iptable的规则来过滤入站、出站和转发的包。我们可以针对来源和目的地址进行特定udp/tcp端口的准许和拒绝访问。

17. 禁止Ctrl+Alt+Delete重启

在大多数的linux发行版中，按下‘CTRL-ALT-DELETE’将会让你的系统重启。只说生产服务器上这是不是一个很好的做法，这可能导致误操作。

这个配置是在‘/etc/inittab’文件，如果你打开这个文件，你可以看到下面类似的段落。默认的行已经被注释掉了。我们必须注释掉他。这个特定按键会让系统重启。

# Trap CTRL-ALT-DELETE

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

18. 检查空密码帐号

任何空密码的账户意味这可以让Web上任何无授权的用户访问，这是linux服务器的一个安全威胁。所以，确定所有的用户拥有一个复杂的密码并且

不存在特权用户。空密码帐号是安全风险，可以被轻易的攻克。可以利用下面的命令来检查是否有空密码账户存在。

# cat /etc/shadow | awk -F: ‘($2==“”){print $1}’

19. 登录前显示SSH提示

在ssh认证时候，使用一个法律和安全警示是很好的建议。

20. 监视用户行为

如果你有很多的用户，去收集每一个用户的行为和和他们的进程消耗的信息非常重要。可以随后和一些性能优化和安全问题处理时进行用户分析。

但是如果监视和搜集用户行为信息呢 ?

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

有两个很有用的工具‘psacct’和‘acct’可以用来监视系统中用户的行为和进程。这些工具在系统后台执行并且不断记录系统中每一个用户的行为和各个服务比如 Apache、MySQL、SSH、FTP等的资源消耗。

21. 定期查看日志

将日志移动到专用的日志服务器里，这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处：

/var/log/message – 记录系统日志或当前活动日志。

/var/log/auth.log – 身份认证日志。

/var/log/kern.log – 内核日志。

/var/log/cron.log – Crond 日志 (cron 任务).

/var/log/maillog – 邮件服务器日志。

/var/log/boot.log – 系统启动日志。

/var/log/mysqld.log – MySQL数据库服务器日志。

/var/log/secure – 认证日志。

/var/log/utmp or /var/log/wtmp :登录日志。

/var/log/yum.log: Yum 日志。

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

22. 重要文件备份

在生产环境里，为了灾难恢复，有必要将重要文件备份并保存在安全的远程磁带保险库、远程站点或异地硬盘。

23. NIC 绑定

有两种类型的NIC绑定模式，需要在绑定接口用得到。

mode=0 – 循环赛模式

mode=1 – 激活和备份模式

NIC绑定可以帮助我们避免单点失败。在NIC绑定中，我们把两个或者更多的网卡绑定到一起，提供一个虚拟的接口，这个接口设置ip地址，并且和其他服务器会话。这样在一个NIC卡down掉或者由于其他原因不能使用的时候，我们的网络将能保持可用。

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

24. 保持 /boot 只读

linux内核和他的相关的文件都保存在/boot目下，默认情况下是可以读写的。把它设为了只读可以减少一些由于非法修改重要boot文件而导致的风险。

# vi /etc/fstab

在文件最后增加下面的行，并且保存

LABEL=/boot /boot ext2 defaults,ro 1 2

如果你今后需要升级内核的话，你需要修回到读写模式。

25.不鸟ICMP和Broadcast请求

在/etc/sysctl.conf中添加下面几行，屏蔽掉ping和broadcast请求。

Ignore ICMP request:

net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:

net.ipv4.icmp_echo_ignore_broadcasts = 1

网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；

国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

Linux 服务器如何做好安全防护？,服务器,linux,安全,网络安全,数据库,web安全,mysql

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

Linux 服务器如何做好安全防护？,服务器,linux,安全,网络安全,数据库,web安全,mysql

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

Linux 服务器如何做好安全防护？,服务器,linux,安全,网络安全,数据库,web安全,mysql

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…