Linux tiene muchas ventajas en términos de función, precio o rendimiento. Sin embargo, como sistema operativo abierto, inevitablemente tiene algunos riesgos de seguridad. Sobre cómo resolver estos peligros ocultos y proporcionar una plataforma operativa segura para la aplicación, este artículo le explicará algunos de los trucos más básicos, más comunes y más efectivos.
Linux es un sistema operativo similar a Unix. En teoría, el diseño de Unix en sí no tiene fallas de seguridad importantes. A lo largo de los años, la gran mayoría de los problemas de seguridad encontrados en los sistemas operativos Unix han existido en programas individuales, por lo que la mayoría de los proveedores de Unix afirman poder resolver estos problemas y proporcionar un sistema operativo seguro de Unix. Pero Linux es un poco diferente porque no pertenece a un determinado proveedor, y ningún proveedor afirma proporcionar garantías de seguridad, por lo que los usuarios solo tienen que resolver los problemas de seguridad por sí mismos.
Linux es un sistema abierto que puede encontrar muchos programas y herramientas disponibles en la web, lo cual es conveniente para los usuarios y piratas informáticos porque pueden encontrar fácilmente programas y herramientas. Para colarse en el sistema Linux, o robar información importante en el sistema Linux. Sin embargo, siempre que configuremos cuidadosamente las diversas funciones del sistema de Linux y agreguemos las medidas de seguridad necesarias, permitirá a los piratas informáticos aprovecharlas.
En general, la configuración de seguridad para los sistemas Linux incluye eliminar servicios innecesarios, limitar el acceso remoto, ocultar información importante, corregir vulnerabilidades de seguridad, usar herramientas de seguridad y verificaciones de seguridad periódicas. . Este artículo le enseña diez trucos para mejorar la seguridad de su sistema Linux. Aunque los trucos no son grandes, pero los trucos funcionan, es posible que desee probarlos.
1er truco: cancelar servicios innecesarios
En la versión anterior de Unix, cada servicio web diferente tenía un programa de servicio ejecutándose en segundo plano, más adelante La versión usa el programa de servidor unificado /etc /inetd para hacer el trabajo pesado. Inetd es una abreviatura de Internetdaemon. Monitorea múltiples puertos de red al mismo tiempo. Una vez que recibe la información de conexión desde el exterior, realiza el servicio de red TCP o UDP correspondiente.
Debido al comando unificado de inetd, la mayoría de los servicios TCP o UDP en Linux están configurados en el archivo /etc/inetd.conf. Entonces, el primer paso para cancelar servicios innecesarios es verificar el archivo /etc/inetd.conf y agregar el "#" antes del servicio no deseado.
En general, además de http, smtp, telnet y ftp, se deben cancelar otros servicios, como el simple protocolo de transferencia de archivos tftp, el almacenamiento de correo de la red y la recepción de un protocolo de transporte imap /ipop. Gopher para buscar y buscar datos, durante el día y la hora para la sincronización horaria, etc.
También hay algunos servicios que informan el estado del sistema, como finger, efinger, systat y netstat. Aunque es muy útil para la solución de problemas del sistema y la búsqueda de usuarios, también proporciona una forma conveniente para los piratas informáticos. Por ejemplo, un hacker puede usar el servicio de dedo para encontrar el teléfono, el directorio y otra información importante de un usuario. Por lo tanto, muchos sistemas Linux cancelan o cancelan parcialmente estos servicios para mejorar la seguridad del sistema.
Además de usar /etc/inetd.conf para configurar los elementos de servicio del sistema, Inetd también usa el archivo /etc /services para encontrar los puertos utilizados por cada servicio. Por lo tanto, el usuario debe verificar cuidadosamente la configuración de cada puerto en el archivo para evitar vulnerabilidades de seguridad.
Hay dos tipos de servicios diferentes en Linux: uno es un servicio que se ejecuta solo cuando es necesario, como un servicio de dedo, y el otro es un interminable que se ha ejecutado. Servicio Este tipo de servicio se inicia cuando se inicia el sistema, por lo que no puede detener inetd modificando inetd, pero solo puede modificarlo modificando /etc/rc.d/rc[n◆.d/file o utilizando Runleveleditor. El servidor NFS que proporciona el servicio de archivos y las noticias que proporcionan el servicio de noticias NNTP pertenecen a este tipo de servicio, y es mejor cancelar estos servicios si no es necesario.
Segundo truco: restringir el acceso al sistema
Antes de ingresar al sistema Linux, todos los usuarios deben iniciar sesión, es decir, el usuario debe ingresar la cuenta de usuario y la contraseña. Solo después de que hayan pasado la verificación del sistema, el usuario puede ingresar al sistema.
Al igual que otros sistemas operativos Unix, Linux generalmente encripta las contraseñas y las almacena en el archivo /etc /passwd. El archivo /etc /passwd puede ser leído por todos los usuarios en el sistema Linux. Aunque la contraseña guardada en el archivo ha sido cifrada, todavía no es muy segura. Debido a que el usuario promedio puede usar la herramienta de descifrado de contraseñas para el cliente para adivinar la contraseña de manera exhaustiva. Un método más seguro es configurar el archivo de sombra /etc /shadow para permitir que solo los usuarios con permisos especiales lean el archivo.
En sistemas Linux, si desea utilizar archivos de sombra, debe volver a compilar todas las utilidades para admitir archivos de sombra. Este método es engorroso, y la forma más fácil es usar un módulo de verificación de complemento (PAM). Muchos sistemas Linux vienen con la utilidad de Linux PAM, un mecanismo de autenticación que se puede usar para cambiar dinámicamente los métodos y requisitos de autenticación sin requerir la recompilación de otras utilidades. Esto se debe a que PAM usa un paquete cerrado para ocultar toda la lógica relacionada con la autenticación en el módulo, por lo que es el mejor ayudante para usar archivos de sombra.
Además, PAM tiene muchas características de seguridad: puede reescribir el método tradicional de encriptación DES a otros métodos de encriptación más potentes para garantizar que las contraseñas de los usuarios no se descifren fácilmente; Establezca el límite superior para el uso de los recursos informáticos de cada usuario, incluso puede configurar la hora y la ubicación del usuario.
Los administradores de sistemas Linux pueden pasar algunas horas instalando y configurando PAM, lo que puede mejorar considerablemente la seguridad de los sistemas Linux y bloquear muchos ataques fuera del sistema.
Tercer movimiento: mantener el último núcleo del sistema
Debido a que Linux tiene muchos canales de distribución y, por lo tanto, aparecen programas actualizados y parches del sistema para fortalecer la seguridad del sistema. , asegúrese de actualizar el kernel del sistema con frecuencia.
Kernel es el núcleo del sistema operativo Linux, reside en la memoria y se utiliza para cargar otras partes del sistema operativo e implementar las funciones básicas del sistema operativo. Debido a que Kernel controla las diversas funciones de las computadoras y las redes, su seguridad es fundamental para la seguridad general del sistema.
Las versiones anteriores de Kernel tienen muchas vulnerabilidades de seguridad conocidas y no son estables. Solo las versiones superiores a 2.0.x son más estables y seguras, y la eficiencia operativa de la nueva versión ha cambiado mucho. Al configurar la función de Kernel, solo seleccione las funciones necesarias, y no acepte todas las funciones como un todo, de lo contrario, el Kernel se volverá muy grande, lo que ocupará los recursos del sistema y dará una buena oportunidad a los piratas informáticos.
A menudo hay los últimos parches de seguridad en Internet. Los administradores de sistemas Linux deben estar bien informados, ser grupos de noticias de seguridad frecuentes y revisar los nuevos parches.
En el desarrollo de software, las tareas a menudo tienen que ir a la suspensión porque no se cumplen
Noticias de Computer Shop: ¿Recuerdas que Steam está listo para salir? Ahora hay nuevas noticias: es
La cola de espera en el kernel de Linux tiene muchos usos para el manejo de interrupciones, sincroni
Primero, la configuración de snmp del switch, el siguiente es el comando de configuración de la se
Cómo configurar el acceso a Internet ADSL para CentOS6
Los controladores de dispositivos I2C asociación
Cómo usar SSH para control remoto bajo el sistema Linux
Bajo linux rm eliminar el directorio no vacío
Permisos predeterminados del archivo del sistema Linux detallados
Cómo obtener la información de entorno del sistema Linux T-swap
Programación de procesos Linux
Linux ve el tamaño del directorio y el tamaño del disco duro
El puerto del servidor FTP Gene6 y la resolución de conflictos del puerto IIS
¿Cómo eliminar el cuadro de búsqueda por encima de IE? (1)
El método de entrada de Win7 cambia la solución de falla de accesos directos
Win10 Preview 14251 Servicio y política de grupo Solución en blanco
IE9 está obsoleto. Capturas de pantalla de Windows 8M3 IE10
Inventario de características ocultas de las 10 mejores funciones principales de Windows 10
Win10 10041 no puede utilizar Microsoft Xiaona cómo hacerlo?
Use el comando awk para encontrar superusuarios y contraseñas ocultas en el sistema.
¿Cómo hacer después de Win7 actualización Win10 búsqueda no válida