日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
讓Linux工作站變得更加牢固

正如我之前說過,安全好比是在公路上開車――比你開得慢的人都是白癡,比你開得快的人都是瘋子。本文介紹的這些準(zhǔn)則只是一系列基本的核心安全規(guī)則,它們并不全面,也代替不了經(jīng)驗、謹慎和常識。你應(yīng)該稍稍調(diào)整這些建議,以適合本企業(yè)的環(huán)境。

創(chuàng)新互聯(lián)是一家以網(wǎng)絡(luò)技術(shù)公司,為中小企業(yè)提供網(wǎng)站維護、成都網(wǎng)站設(shè)計、成都網(wǎng)站制作、網(wǎng)站備案、服務(wù)器租用、空間域名、軟件開發(fā)、小程序開發(fā)等企業(yè)互聯(lián)網(wǎng)相關(guān)業(yè)務(wù),是一家有著豐富的互聯(lián)網(wǎng)運營推廣經(jīng)驗的科技公司,有著多年的網(wǎng)站建站經(jīng)驗,致力于幫助中小企業(yè)在互聯(lián)網(wǎng)讓打出自已的品牌和口碑,讓企業(yè)在互聯(lián)網(wǎng)上打開一個面向全國乃至全球的業(yè)務(wù)窗口:建站來電聯(lián)系:18982081108

對每個系統(tǒng)管理員來說,以下是應(yīng)該采取的一些必要步驟:

  • 1.一律禁用Firewire和Thunderbolt模塊。
  • 2.檢查防火墻,確保所有入站端口已被過濾。
  • 3.確保root郵件轉(zhuǎn)發(fā)到你核查的帳戶。
  • 4.設(shè)立操作系統(tǒng)自動更新時間表,或者更新提醒內(nèi)容。

此外,你還應(yīng)該考慮其中一些最好采取的步驟,進一步加固系統(tǒng):

  • 1.核查以確保sshd服務(wù)在默認情況下已被禁用。
  • 2.設(shè)置屏幕保護程序,在閑置一段時間后自動鎖定。
  • 3.安裝logwatch。
  • 4.安裝和使用rkhunter
  • 5.安裝入侵檢測系統(tǒng)

1. 把相關(guān)模塊列入黑名單

想把Firewire和Thunderbolt模塊列入黑名單,將下列幾行添加到/etc/modprobe.d/blacklist-dma.conf中的文件:

blacklist firewire-core
blacklist thunderbolt

一旦系統(tǒng)重啟,上述模塊就會被列入黑名單。即便你沒有這些端口,這么做也沒有什么危害。

2. root郵件

默認情況下,root郵件完全保存在系統(tǒng)上,往往從不被讀取。確保你設(shè)置了/etc/aliases,將root郵件轉(zhuǎn)發(fā)到你實際讀取的郵箱,不然就有可能錯過重要的系統(tǒng)通知和報告:

# Person who should get root’s mail
root:           bob@example.com

這番編輯后運行newaliases,對它測試一番,確保郵件確實已送達,因為一些電子郵件提供商會拒絕從根本不存在的域名或無法路由的域名發(fā)來的電子郵件。如果是這種情況,你需要調(diào)整郵件轉(zhuǎn)發(fā)配置,直到這確實可行。

3. 防火墻、sshd和偵聽守護進程

默認的防火墻設(shè)置將依賴你的發(fā)行版,但是許多允許入站sshd端口。除非你有一個充足而正當(dāng)?shù)睦碛稍试S入站ssh,否則應(yīng)該將這個過濾掉,禁用sshd守護進程。

systemctl disable sshd.service
systemctl stop sshd.service

如果你需要使用它,總是可以暫時啟動它。

通常來說,你的系統(tǒng)除了響應(yīng)ping外,應(yīng)該沒有任何偵聽端口。這將有助于你防范網(wǎng)絡(luò)層面的零日漏洞。

4. 自動更新或通知

建議開啟自動更新,除非你有非常充足的理由不這么做,比如擔(dān)心自動更新會導(dǎo)致你的系統(tǒng)無法使用(這種事之前發(fā)生過,所以這種擔(dān)心并非毫無根據(jù))。起碼,你應(yīng)該啟用自動通知可用更新的機制。大多數(shù)發(fā)行版已經(jīng)讓這項服務(wù)自動為你運行,所以你很可能沒必要進行任何操作。查閱發(fā)行版的說明文檔,了解更多內(nèi)容。

5. 查看日志

你應(yīng)該密切關(guān)注系統(tǒng)上發(fā)生的所有活動。由于這個原因,應(yīng)該安裝logwatch,并對它進行配置,以便每晚發(fā)送活動報告,表明系統(tǒng)上發(fā)生的一切活動。這防止不了全身心投入的攻擊者,卻是一項很好的安全網(wǎng)功能,有必要部署。

請注意:許多systemd發(fā)行版不再自動安裝logwatch需要的syslog服務(wù)器(那是由于systemd依賴自己的日志),所以你需要安裝和啟用rsyslog,確保/var/log在logwatch具有任何用途之前不是空的。

6. rkhunter和IDS

除非你切實了解工作原理,并且采取了必要的步驟進行合理的設(shè)置(比如將數(shù)據(jù)庫放在外部介質(zhì)上,從可信任的環(huán)境運行檢查,執(zhí)行系統(tǒng)更新和配置變更后記得更新哈希數(shù)據(jù)庫,等等),否則安裝rkhunter以及aide或tripwire之類的入侵檢測系統(tǒng)(IDS)不是很有用。如果你不愿意采取這些步驟、調(diào)整在自己的工作站上執(zhí)行任務(wù)的方式,這些工具只會帶來麻煩,沒有任何實際的安全好處。

我們確實建議你應(yīng)當(dāng)安裝rkhunter、在晚上運行它。它學(xué)習(xí)和使用起來相當(dāng)容易;雖然它發(fā)現(xiàn)不了狡猾的攻擊者,但是可幫助你發(fā)現(xiàn)自己的錯誤。


本文名稱:讓Linux工作站變得更加牢固
本文路徑:http://m.5511xx.com/article/cohjjsh.html