Linux培训

Linux运维人员让Linux系统更安全的方法有哪些?(二)

发布：Linux培训
来源：职场技巧分享
时间：2018-12-18 15:57

今天小编要跟大家分享的文章是关于Linux运维人员让Linux系统更安全方法的第二部分。在上一篇文章中能我们已经提到过很多人认为Linux默认是安全的，因为Linux默认有内置的安全模型。那么对于Linux运维人员来说让产品系统更加安全，免于黑客等的攻击，一直是一项很重要的工作，那么怎样才能让Linux系统更加安全呢?在上一篇文章中能够小编为大家介绍了一些方法，在本文中小编将继续为大家分享让Linux系统更安全的方法有些，让我们一起来看一看吧~

Linux运维人员让Linux系统更安全的方法有哪些？

一、如何检查用户密码过期?

在Linux中，用户的密码以加密的形式保存在 ‘/etc/shadow‘ 文件中。要检查用户的密码是否过期，你需要使用 ‘chage‘ 命令。它将显示密码的最后修改日期及密码期限的细节信息。这些细节就是系统决定用户是否必须修改其密码的依据。

要查看任一存在用户的老化信息，如过期日和时长，使用如下命令。

Linux运维人员让Linux系统更安全的方法有哪些？

要修改任一用户的密码老化，使用如下命令。

Linux运维人员让Linux系统更安全的方法有哪些？

参数

· -M 设置天数最大数字

· -m 设定天数最小数字

· -W 设定想要的天数

二、手动锁定或解锁用户账号

锁定和解锁功能是非常有用的，你可以锁定一个账号一周或一个月，而不是将这个账号从系统中剔除。可以用下面这个命令锁定一个特定用户。

Linux运维人员让Linux系统更安全的方法有哪些？

提示：这个被锁定的用户仅对root用户仍然可见。这个锁定是通过将加密过的密码替换成(!)来实现的。如果有个想用这个账号来进入系统，他会得到类似下面这个错误的提示。

Linux运维人员让Linux系统更安全的方法有哪些？

解锁一个被锁定的账号时，用下面这个命令。这命令会将被替换成(!)的密码改回来。

Linux运维人员让Linux系统更安全的方法有哪些？

三、增强密码

有相当数量的用户使用很弱智的密码，他们的密码都可以通过字典攻击或者暴力攻击攻破。‘pam_cracklib‘模块存于在PAM 中，它可以强制用户设置复杂的密码。通过编辑器打开下面的文件。

Linux运维人员让Linux系统更安全的方法有哪些？

在文件中增加一行，使用认证参数(lcredit, ucredit, dcredit 或者 ocredit 对应小写字母、大写字母，数字和其他字符)

Linux运维人员让Linux系统更安全的方法有哪些？

四、启用IPtable(防火墙)

高度推荐启用linux防火墙来禁止非法程序访问。使用iptable的规则来过滤入站、出站和转发的包。我们可以针对来源和目的地址进行特定udp/tcp端口的准许和拒绝访问。

五、禁止Ctrl+Alt+Delete重启

在大多数的linux发行版中，按下‘CTRL-ALT-DELETE’将会让你的系统重启。只说生产服务器上这是不是一个很好的做法，这可能导致误操作。

这个配置是在‘ /etc/inittab‘文件，如果你打开这个文件，你可以看到下面类似的段落。默认的行已经被注释掉了。我们必须注释掉他。这个特定按键会让系统重启。

Linux运维人员让Linux系统更安全的方法有哪些？

六、检查空密码账号

任何空密码的账户意味这可以让Web上任何无授权的用户访问，这是linux服务器的一个安全威胁。所以，确定所有的用户拥有一个复杂的密码并且不存在特权用户。空密码帐号是安全风险，可以被轻易的攻克。可以利用下面的命令来检查是否有空密码账户存在。

Linux运维人员让Linux系统更安全的方法有哪些？

七、登录前显示SSH提示

在ssh认证时候，使用一个法律和安全警示是很好的建议。

八、监视用户行为

如果你有很多的用户，去收集每一个用户的行为和和他们的进程消耗的信息非常重要。可以随后和一些性能优化和安全问题处理时进行用户分析。但是如果监视和搜集用户行为信息呢 ?

有两个很有用的工具‘psacct‘ 和 ‘acct‘可以用来监视系统中用户的行为和进程。这些工具在系统后台执行并且不断记录系统中每一个用户的行为和各个服务比如Apache, MySQL, SSH, FTP,等的资源消耗。

九、定期查看日志

将日志移动到专用的日志服务器里，这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处：

Linux运维人员让Linux系统更安全的方法有哪些？

十、重要文件备份

在生产环境里，为了灾难恢复，有必要将重要文件备份并保存在安全的远程磁带保险库、远程站点或异地硬盘。

十一、NIC绑定

有两种类型的NIC绑定模式，需要在绑定接口用得到。

mode=0 – 循环赛模式

mode=1 – 激活和备份模式

NIC绑定可以帮助我们避免单点失败。在NIC绑定中，我们把两个或者更多的网卡绑定到一起，提供一个虚拟的接口，这个接口设置ip地址，并且和其他服务器会话。这样在一个NIC卡down掉或者由于其他原因不能使用的时候，我们的网络将能保持可用。

十二、保持/boot只读

linux内核和他的相关的文件都保存在/boot目下，默认情况下是可以读写的。把它设为了只读可以减少一些由于非法修改重要boot文件而导致的风险。

Linux运维人员让Linux系统更安全的方法有哪些？

在文件最后增加下面的行，并且保存

Linux运维人员让Linux系统更安全的方法有哪些？

如果你今后需要升级内核的话，你需要修回到读写模式。

十三、忽略ICMP和Broadcast请求

在/etc/sysctl.conf中添加下面几行，屏蔽掉ping和broadcast请求。

Linux运维人员让Linux系统更安全的方法有哪些？

运行下面这一行加载修改或更新

Linux运维人员让Linux系统更安全的方法有哪些？

以上就是小编今天为大家分享的关于Linux运维人员让Linux系统更安全的方法有哪些?的第二部分，希望本篇文章能够对正在从事Linux运维的你有所帮助，想要了解更多Linux系统变得安全的方法记得关注达内 Linux培训官网哦~最后祝愿大家能够成为一名优秀的Linux运维工程师，让Linux变得越来越安全。

作者：oschina

*声明：内容与图片均来源于网络(部分内容有修改)，版权归原作者所有，如来源信息有误或侵犯权益，请联系我们删除或授权事宜。