強(qiáng)化Linux系統(tǒng)安全的方法匯總

　　沒有哪個(gè)計(jì)算機(jī)系統(tǒng)是絕對(duì)安全的，如果沒有系統(tǒng)安全保護(hù)意識(shí)，就很容易被黑客攻擊，導(dǎo)致信息泄露，那么我們要如何增強(qiáng)系統(tǒng)的安全呢？下面小編就給大家介紹下強(qiáng)化Linux系統(tǒng)安全的方法，一起來(lái)學(xué)習(xí)下吧。

　　時(shí)常有人說(shuō)，Linux比Windows更安全。但與網(wǎng)絡(luò)銜接的任何計(jì)算機(jī)是不能夠相對(duì)安全的。正如我們須要經(jīng)常留意院子的圍墻能不能穩(wěn)固一樣，對(duì)操作系統(tǒng)也須要我們經(jīng)常維護(hù)和強(qiáng)化。在此，我們僅談?wù)摱鄠�(gè)用戶可以用來(lái)強(qiáng)化系統(tǒng)的大體步驟。

　　本文重點(diǎn)談的是如何強(qiáng)化的疑問，不過在開端強(qiáng)化之前，用戶須要對(duì)以下三個(gè)疑問有一個(gè)清醒的看法，一個(gè)疑問是這個(gè)系統(tǒng)用于什么目的，二是它須要運(yùn)轉(zhuǎn)哪些軟件，三是用戶須要防護(hù)哪些破綻或威脅。這三個(gè)疑問順次為因果聯(lián)系，即前一個(gè)疑問是后一個(gè)疑問的原由，后一個(gè)疑問是前一個(gè)的結(jié)果。

　　從零開端

　　從一個(gè)已知的安全形態(tài)開端強(qiáng)化一個(gè)系統(tǒng)是完全能夠的，但在實(shí)踐上這種強(qiáng)化也可以夠從一個(gè)“裸體”系統(tǒng)開端。這意味著用戶將擁有對(duì)系統(tǒng)盤重新分區(qū)的時(shí)機(jī)，將一切的數(shù)據(jù)文件與操作系統(tǒng)文件分分開來(lái)未嘗不是一個(gè)慎重的安全方法。

　　下一步是配置一個(gè)最小的裝置，當(dāng)然得讓系統(tǒng)啟動(dòng)，然后添加必要的可以完成任務(wù)的順序包。這一步很主要。為什么須要最少化裝置呢？原由在于機(jī)器中的代碼越少，可被運(yùn)用的破綻就會(huì)越少：誰(shuí)也不能運(yùn)用并不存在的破綻，是不是？你還須要給操作系統(tǒng)打補(bǔ)丁，并且還得給運(yùn)轉(zhuǎn)在這個(gè)系統(tǒng)上的一切使用順序打補(bǔ)丁。

　　不過，要留意，假設(shè)有人可以從物理上接近所訪問的機(jī)器，他就有能夠從光盤或其它媒體啟動(dòng)計(jì)算機(jī)，并獲取系統(tǒng)的訪問權(quán)。因而，用戶最好配置一下系統(tǒng)的BIOS，限定僅能從硬盤啟動(dòng)，并且要用一個(gè)強(qiáng)壯的口令來(lái)維護(hù)這種配置。

　　下一步是編譯一下自己的系統(tǒng)內(nèi)核，這里照舊要強(qiáng)調(diào)僅包括那些你須要的局部。一旦你自己定制的系統(tǒng)構(gòu)建終了，重新啟動(dòng)進(jìn)入內(nèi)核，那你所擁有內(nèi)核的被攻擊的能夠性將極大地降低。但強(qiáng)化系統(tǒng)的方法不限于此，好戲還在后頭。

　　降低服務(wù)

　　運(yùn)轉(zhuǎn)了閱歷瘦身的系統(tǒng)之后，下一步就是要確保僅運(yùn)轉(zhuǎn)你須要的服務(wù)。到如今為止，用戶以前清理了許多服務(wù)，但尚有能夠有許多服務(wù)仍在后臺(tái)運(yùn)轉(zhuǎn)。用戶須要在多個(gè)地點(diǎn)找到這些服務(wù)，如/etc/init.d 和 /etc/rc.d/rc.local等包括多種啟動(dòng)進(jìn)程的位置，要檢驗(yàn)由cron所啟動(dòng)的一切東西。用戶還可以用netstat或Nmap等順序檢驗(yàn)監(jiān)聽套接字。比如，許多用戶須要禁用的服務(wù)能夠包括網(wǎng)絡(luò)文件系統(tǒng)（samba）、遠(yuǎn)程訪問服務(wù)等。

　　當(dāng)然不能一概而論，假設(shè)你確實(shí)須要某些服務(wù)，就要設(shè)法限定它對(duì)系統(tǒng)其他局部的潛在破壞性作用，要盡能夠讓其在自己的chroot途徑中運(yùn)轉(zhuǎn)，使其與文件系統(tǒng)的其他局部相分別。

　　注重容許疑問

　　作為用戶或維護(hù)人員，必需要保證任何用戶都不能執(zhí)行其不用要的順序或翻開不用要文件。維護(hù)員應(yīng)當(dāng)審計(jì)整個(gè)系統(tǒng)，并將每個(gè)文件的容許降低到最小的可行水平。我們的目的是任何人都不能讀取或?qū)懭肱c其沒關(guān)的文件。此外，還應(yīng)當(dāng)對(duì)一切的敏感數(shù)據(jù)加密。

　　上面就是強(qiáng)化Linux系統(tǒng)安全的方法介紹了，一個(gè)系統(tǒng)的安全與否離不開用戶良好的使用習(xí)慣，不要隨意的使用不可靠的軟件，瀏覽不安全的網(wǎng)站等。