共计 971 个字符,预计需要花费 3 分钟才能阅读完成。
1. 敞开没有用的端口和服务
任何网络连接都是通过凋谢的利用端口来实现的,如果咱们尽可能少地凋谢端口,就使网络攻击变得无从下手,从而大大减少了攻击者胜利的机会。
能够应用该办法敞开不必要的端口
netstat -ntl #查看凋谢端口
lsof -i:21 #查看端口 21 是哪个服务
chkconfig pure-ftpd off #敞开相应服务主动启动状态
2. 平安和配置一个防火墙
一个配置适当的防火墙不仅是零碎有效应对外部攻打的第一道防线,也是最重要的一道防线。在新零碎第一次连贯 lnternet 之前,防火墙就应该被装置并且配置好。防火墙配置成拒绝接受所有数据包,而后再关上容许接管的数据包,将有利于零碎的平安
3. 删除不必的软件包
在进行零碎布局时,总的准则是将不须要的服务一律去掉。默认的 Linux 就是一个弱小的零碎,运行了很多的服务。但有许多服务是不须要的,很容易引起平安危险。这个文件就是 /etc/xinetd.conf,它制订了 /usr/sbin/xinetd 将要监听的服务,你可能只须要其中的一个:ftp,其余的相似:Telnet、shell、login 等,除非你真的想用它,否则通通敞开。
4. 明码治理
口令的长度个别不要少于 8 个字符,口令的组成应以无规则的大小写字母、数字和符号相结合,严格防止用英语单词或词组等设置口令,而且各用户的口令应该养成定期更换的习惯。另外,口令的爱护还波及到对 /etc/passwd 和 /etc/shadow 文件的爱护,必须做到只有系统管理员能力拜访这 2 个文件
5. 分区治理
一个潜在的攻打,它首先就会尝试缓冲区溢出。在过来的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种模式了。更为严重的是,缓冲区溢出破绽占了近程网络攻击的绝大多数,这种攻打能够轻易使得一个匿名的 lnternet 用户有机会取得一台主机的局部或全副的控制权。
为了避免此类攻打,咱们从装置零碎时就应该留神。如果用 root 分区记录数据,如 log 文件,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统奔溃。所以倡议为 /var 开拓独自的分区,用来寄存日志和邮件,以防止 root 分区被溢出。最好为非凡的应用程序独自开一个分区,特地是能够产生大量日志的程序,还倡议为 /home 独自分一个区,这样他们就不能填满 / 分区了,从而就防止了局部针对 Linux 分区溢出的歹意攻打。
