Linux tiene muchas ventajas en términos de función, precio o rendimiento. Sin embargo, como sistema operativo abierto, inevitablemente tiene algunos riesgos de seguridad. Sobre cómo resolver estos peligros ocultos y proporcionar una plataforma operativa segura para la aplicación, este artículo le explicará algunos de los trucos más básicos, más comunes y más efectivos.
Linux es un sistema operativo similar a Unix. En teoría, el diseño de Unix en sí no tiene fallas de seguridad importantes. A lo largo de los años, la gran mayoría de los problemas de seguridad encontrados en los sistemas operativos Unix han existido en programas individuales, por lo que la mayoría de los proveedores de Unix afirman poder resolver estos problemas y proporcionar un sistema operativo seguro de Unix. Pero Linux es un poco diferente porque no pertenece a un determinado proveedor, y ningún proveedor afirma proporcionar garantías de seguridad, por lo que los usuarios solo tienen que resolver los problemas de seguridad por sí mismos.
Linux es un sistema abierto que puede encontrar muchos programas y herramientas disponibles en la web, lo cual es conveniente para los usuarios y piratas informáticos porque pueden encontrar fácilmente programas y herramientas. Para colarse en el sistema Linux, o robar información importante en el sistema Linux. Sin embargo, siempre que configuremos cuidadosamente las diversas funciones del sistema de Linux y agreguemos las medidas de seguridad necesarias, permitirá a los piratas informáticos aprovecharlas.
En general, la configuración de seguridad para sistemas Linux incluye eliminar servicios innecesarios, restringir el acceso remoto, ocultar información importante, corregir vulnerabilidades de seguridad, usar herramientas de seguridad y verificaciones de seguridad recurrentes. . Este artículo le enseña diez trucos para mejorar la seguridad de su sistema Linux. Aunque los trucos no son grandes, pero los trucos funcionan, es posible que desee probarlos.
1er truco: cancelar servicios innecesarios
En la versión anterior de Unix, cada servicio web diferente tenía un programa de servicio ejecutándose en segundo plano, más adelante La versión utiliza el programa de servidor unificado /etc /inetd para asumir esta tarea. Inetd es una abreviatura de Internetdaemon. Monitorea múltiples puertos de red al mismo tiempo. Una vez que recibe la información de conexión desde el exterior, realiza el servicio de red TCP o UDP correspondiente.
Debido al comando unificado de inetd, la mayoría de los servicios TCP o UDP en Linux están configurados en el archivo /etc/inetd.conf. Entonces, el primer paso para cancelar servicios innecesarios es verificar el archivo /etc/inetd.conf y agregar el "#" antes del servicio no deseado.
En general, además de http, smtp, telnet y ftp, se deben cancelar otros servicios, como el simple protocolo de transferencia de archivos tftp, el almacenamiento de correo de la red y la recepción de un protocolo de transporte imap /ipop. Gopher para buscar y buscar datos, durante el día y la hora para la sincronización horaria, etc.
También hay algunos servicios que informan el estado del sistema, como finger, efinger, systat y netstat. Aunque es muy útil para la solución de problemas del sistema y la búsqueda de usuarios, también proporciona una forma conveniente para los piratas informáticos. Por ejemplo, un hacker puede usar el servicio de dedo para encontrar el teléfono, el directorio y otra información importante de un usuario. Por lo tanto, muchos sistemas Linux cancelan o cancelan parcialmente estos servicios para mejorar la seguridad del sistema.
Además de usar /etc/inetd.conf para configurar los elementos de servicio del sistema, Inetd también usa el archivo /etc /services para encontrar los puertos utilizados por cada servicio. Por lo tanto, el usuario debe verificar cuidadosamente la configuración de cada puerto en el archivo para evitar vulnerabilidades de seguridad.
Hay dos tipos de servicios diferentes en Linux: uno es un servicio que se ejecuta solo cuando es necesario, como un servicio de dedo, y el otro es un interminable que se ha ejecutado. Servicio Este tipo de servicio se inicia cuando se inicia el sistema, por lo que no puede detener inetd modificando inetd, pero solo puede modificarlo modificando /etc/rc.d/rc[n◆.d/file o utilizando el editor de nivel de ejecución. Es El servidor NFS que proporciona el servicio de archivos y las noticias que proporcionan el servicio de noticias NNTP pertenecen a este tipo de servicio, y es mejor cancelar estos servicios si no es necesario.
Segundo truco: restringir el acceso al sistema
Antes de ingresar al sistema Linux, todos los usuarios deben iniciar sesión, es decir, el usuario debe ingresar la cuenta de usuario y la contraseña. Solo después de que hayan pasado la verificación del sistema, el usuario puede ingresar al sistema.
Al igual que otros sistemas operativos Unix, Linux generalmente encripta las contraseñas y las almacena en el archivo /etc /passwd. Todos los usuarios del sistema Linux pueden leer el archivo /etc /passwd. Aunque la contraseña almacenada en el archivo se ha cifrado, todavía no es segura. Debido a que el usuario promedio puede usar la herramienta de descifrado de contraseñas para el cliente para adivinar la contraseña de manera exhaustiva. El método más seguro es configurar el archivo de sombra /etc /shadow para permitir que solo los usuarios con permisos especiales lean el archivo.
En sistemas Linux, si desea utilizar archivos de sombra, debe volver a compilar todas las utilidades para admitir archivos de sombra. Este método es engorroso, y el método más fácil es usar un módulo de verificación de complemento (PAM). Muchos sistemas Linux vienen con la utilidad de Linux PAM, un mecanismo de autenticación que se puede usar para cambiar dinámicamente los métodos y requisitos de autenticación sin requerir la recompilación de otras utilidades. Esto se debe a que PAM usa un paquete cerrado para ocultar toda la lógica relacionada con la autenticación en el módulo, por lo que es el mejor ayudante para usar archivos de sombra.
Además, PAM tiene muchas características de seguridad: puede reescribir el método tradicional de encriptación DES a otros métodos de encriptación más potentes para garantizar que las contraseñas de los usuarios no se descifren fácilmente; Establezca el límite superior para el uso de los recursos informáticos de cada usuario, incluso puede configurar la hora y la ubicación del usuario.
Los administradores de sistemas Linux pueden pasar algunas horas instalando y configurando PAM, lo que puede mejorar considerablemente la seguridad de los sistemas Linux y bloquear muchos ataques fuera del sistema.
Tercer movimiento: mantener el último núcleo del sistema
Debido a que hay muchos canales de distribución de Linux y, por lo tanto, aparecen programas actualizados y parches del sistema para fortalecer la seguridad del sistema. , asegúrese de actualizar el kernel del sistema con frecuencia.
Kernel es el núcleo del sistema operativo Linux, reside en la memoria y se utiliza para cargar otras partes del sistema operativo e implementar las funciones básicas del sistema operativo. Como Kernel controla las diversas funciones de las computadoras y las redes, su seguridad es fundamental para la seguridad general del sistema.
Las primeras versiones de Kernel tienen muchas vulnerabilidades de seguridad conocidas y no son estables. Solo las versiones 2.0.x o posteriores son más estables y seguras, y la eficiencia operativa de la nueva versión ha cambiado mucho. Al configurar la función de Kernel, solo seleccione las funciones necesarias, y no acepte todas las funciones como un todo, de lo contrario, el Kernel se volverá muy grande, lo que ocupará los recursos del sistema y dará una buena oportunidad a los piratas informáticos.
A menudo hay los últimos parches de seguridad en Internet. Los administradores de sistemas Linux deben estar bien informados, ser grupos de noticias de seguridad frecuentes y revisar los nuevos parches.
Paso 4: compruebe la contraseña de inicio de sesión
La configuración de la contraseña de inicio de sesión es una medida de seguridad muy importante. Si la contraseña del usuario no está configurada correctamente, es fácil. Descifrado, especialmente aquellos que tienen derechos de acceso de superusuario, no causará un buen agujero de seguridad si no hay una buena contraseña.
En un sistema multiusuario, si obliga a cada usuario a elegir una contraseña que sea difícil de adivinar, mejorará en gran medida la seguridad del sistema. Sin embargo, si el programa de contraseña no puede obligar a cada usuario a usar la contraseña apropiada, para garantizar la seguridad de la contraseña, solo puede confiar en el programa de descifrado de contraseñas.
De hecho, el programa de descifrado de contraseñas es una herramienta en la caja de herramientas de piratas informáticos, que utiliza la contraseña comúnmente utilizada o todas las palabras en el diccionario de inglés que se pueden usar como contraseñas para cifrarlas. Luego compárelo con el archivo de contraseña /etc /passwd del sistema Linux o el archivo /etc /shadow shadow. Si encuentra una contraseña que coincida, puede obtener el código claro.
Se pueden encontrar muchos programas de descifrado de contraseñas en la red. El programa más famoso es el crack. Los usuarios pueden realizar procedimientos de descifrado de contraseñas para encontrar contraseñas que los hackers puedan descifrar fácilmente. Es mejor corregirlas primero que hackearlas.
En sistemas similares a Unix, puede usar top para ver recursos del sistema, procesos, uso de memoria
Usar un terminal de Linux es más que solo ingresar comandos. Después de aprender e
O a partir del proceso de compilación del enlace para generar vmlinux, se compone de un grupo de ar
El icono en la esquina superior izquierda de Windows7 Explorer, Favoritos, Escritorio y varios icono
Diferencia tipo bus MCU y bus no bus
Análisis y comparación de cuatro sistemas operativos en tiempo real
Conocimiento relacionado con el arranque del sistema Linux
Linux ssh download command wget use
Linux con un clic instalación lnmp entorno completo Raiders
El auge de Win7 continuará hasta 2013
Marca: arm-linux- conmand no encontrado error en el manejo de discusión
Corrección de malentendidos y conceptos erróneos sobre Linux por parte de los chinos
Cómo utilizar la memoria USB en un entorno Linux
Recuerde un error de incremento automático
¿Cuál es el significado del color del nombre de archivo de Linux?
Cómo configurar una tecla para apagar en el sistema Win8
Método para modificar de forma remota el nombre de la máquina del sistema win2003
A WeChat 6.1 le gusta el método de visualización de datos estadísticos
Win10 TH2 mejora la mejora íntima: haga clic derecho en el menú para agregar Defender scan
Cómo utilizar la herramienta de optimización dism ++ en el sistema win10
¿Cómo configurar el touchpad win8?
Modifique el método de nombre de la nueva carpeta predeterminada del sistema win10 /7/8
Cómo hacer que win7 en cada ventana de IE pueda usar un proceso por separado