沒有哪個計算機系統是絕對安全的,如果沒有系統安全保護意識,就很容易被黑客攻擊,導致信息洩露,那麼我們要如何增強系統的安全呢?下面小編就給大家介紹下強化Linux系統安全的方法,一起來學習下吧。
時常有人說,Linux比Windows更安全。但與網絡銜接的任何計算機是不能夠相對安全的。正如我們須要經常留意院子的圍牆能不能穩固一樣,對操作系統也須要我們經常維護和強化。在此,我們僅談論多個用戶可以用來強化系統的大體步驟。
本文重點談的是如何強化的疑問,不過在開端強化之前,用戶須要對以下三個疑問有一個清醒的看法,一個疑問是這個系統用於什麼目的,二是它須要運轉哪些軟件,三是用戶須要防護哪些破綻或威脅。這三個疑問順次為因果聯系,即前一個疑問是後一個疑問的原由,後一個疑問是前一個的結果。
從零開端
從一個已知的安全形態開端強化一個系統是完全能夠的,但在實踐上這種強化也可以夠從一個“裸體”系統開端。這意味著用戶將擁有對系統盤重新分區的時機,將一切的數據文件與操作系統文件分分開來未嘗不是一個慎重的安全方法。
下一步是配置一個最小的裝置,當然得讓系統啟動,然後添加必要的可以完成任務的順序包。這一步很主要。為什麼須要最少化裝置呢?原由在於機器中的代碼越少,可被運用的破綻就會越少:誰也不能運用並不存在的破綻,是不是?你還須要給操作系統打補丁,並且還得給運轉在這個系統上的一切使用順序打補丁。
不過,要留意,假設有人可以從物理上接近所訪問的機器,他就有能夠從光盤或其它媒體啟動計算機,並獲取系統的訪問權。因而,用戶最好配置一下系統的BIOS,限定僅能從硬盤啟動,並且要用一個強壯的口令來維護這種配置。
下一步是編譯一下自己的系統內核,這裡照舊要強調僅包括那些你須要的局部。一旦你自己定制的系統構建終了,重新啟動進入內核,那你所擁有內核的被攻擊的能夠性將極大地降低。但強化系統的方法不限於此,好戲還在後頭。
降低服務
運轉了閱歷瘦身的系統之後,下一步就是要確保僅運轉你須要的服務。到如今為止,用戶以前清理了許多服務,但尚有能夠有許多服務仍在後台運轉。用戶須要在多個地點找到這些服務,如/etc/init.d 和 /etc/rc.d/rc.local等包括多種啟動進程的位置,要檢驗由cron所啟動的一切東西。用戶還可以用netstat或Nmap等順序檢驗監聽套接字。比如,許多用戶須要禁用的服務能夠包括網絡文件系統(samba)、遠程訪問服務等。
當然不能一概而論,假設你確實須要某些服務,就要設法限定它對系統其他局部的潛在破壞性作用,要盡能夠讓其在自己的chroot途徑中運轉,使其與文件系統的其他局部相分別。
注重容許疑問
作為用戶或維護人員,必需要保證任何用戶都不能執行其不用要的順序或翻開不用要文件。維護員應當審計整個系統,並將每個文件的容許降低到最小的可行水平。我們的目的是任何人都不能讀取或寫入與其沒關的文件。此外,還應當對一切的敏感數據加密。
上面就是強化Linux系統安全的方法介紹了,一個系統的安全與否離不開用戶良好的使用習慣,不要隨意的使用不可靠的軟件,浏覽不安全的網站等。