1.敞开没有用的端口和服务
任何网络连接都是通过凋谢的利用端口来实现的,如果咱们尽可能少地凋谢端口,就使网络攻击变得无从下手,从而大大减少了攻击者胜利的机会。
能够应用该办法敞开不必要的端口
netstat -ntl #查看凋谢端口
lsof -i:21 #查看端口21是哪个服务
chkconfig pure-ftpd off #敞开相应服务主动启动状态
2.平安和配置一个防火墙
一个配置适当的防火墙不仅是零碎有效应对外部攻打的第一道防线,也是最重要的一道防线。在新零碎第一次连贯lnternet之前,防火墙就应该被装置并且配置好。防火墙配置成拒绝接受所有数据包,而后再关上容许接管的数据包,将有利于零碎的平安
3.删除不必的软件包
在进行零碎布局时,总的准则是将不须要的服务一律去掉。默认的Linux就是一个弱小的零碎,运行了很多的服务。但有许多服务是不须要的,很容易引起平安危险。这个文件就是/etc/xinetd.conf,它制订了/usr/sbin/xinetd将要监听的服务,你可能只须要其中的一个:ftp,其余的相似:Telnet、shell、login等,除非你真的想用它,否则通通敞开。
4.明码治理
口令的长度个别不要少于8个字符,口令的组成应以无规则的大小写字母、数字和符号相结合,严格防止用英语单词或词组等设置口令,而且各用户的口令应该养成定期更换的习惯。另外,口令的爱护还波及到对/etc/passwd和/etc/shadow文件的爱护,必须做到只有系统管理员能力拜访这2个文件
5.分区治理
一个潜在的攻打,它首先就会尝试缓冲区溢出。在过来的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种模式了。更为严重的是,缓冲区溢出破绽占了近程网络攻击的绝大多数,这种攻打能够轻易使得一个匿名的lnternet用户有机会取得一台主机的局部或全副的控制权。
为了避免此类攻打,咱们从装置零碎时就应该留神。如果用root分区记录数据,如log文件,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统奔溃。所以倡议为/var开拓独自的分区,用来寄存日志和邮件,以防止root分区被溢出。最好为非凡的应用程序独自开一个分区,特地是能够产生大量日志的程序,还倡议为/home独自分一个区,这样他们就不能填满/分区了,从而就防止了局部针对Linux分区溢出的歹意攻打。