最小(少)原則,是安全的重要原則。最小的權限,最小的用戶,最少的服務,最少的進程,是最安全的。vim
系統安全包括:文件系統保護、用戶管理安全、進程的保護以及日誌的管理。安全
服務越少,漏洞越少,越不容易被攻擊,越安全。服務器自己越封閉越安全。bash
毫不安裝多餘的軟件,須要什麼安裝什麼。在安裝系統的時候就使用最小安裝
。不要圖形界面,不要其餘服務。服務器
即便作了最小安裝,仍是有不少可能用不到的服務,建議也是關閉,除非真的有用。app
# 查看哪些服務在運行 /sbin/chkconfig --list |grep 3:on # 沒有使用的服務均可以考慮刪除。 chkconfig ip6tables off # ipv6 chkconfig auditd off #用戶空間監控程序 chkconfig autofs off #光盤軟盤硬盤等自動加載服務 ...
[root@tp /]# vi /etc/rc.d/rc.local echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
特別是關機和重啓的命令,太危險了。運維
rm -rf /etc/security/console.apps/
[root@tp /]# vi /etc/securetty ... #咱們註釋掉 tty1 # tty2 # tty3 # tty4 # tty5 # tty6 #只留下tty1,這時,root僅可在tty1終端登陸
防止帳號被攻破後丟失更多的信息。ssh
[root@tp /]# vim ~/.bash_logout # 在裏面添加命令 rm -rf ~/.bash_history
使用的用戶權限越小越安全。特別是有些軟件的漏洞能夠直接獲取帳號執行權限。一旦使用root啓動,就至關於服務器的root直接被破解。
!千萬不要用root啓動軟件。工具
當咱們登陸到Linux服務器上操做完之後,應該退出當前用戶,不然可能會出現安全問題,特別是root用戶,一旦被盜用極可能形成不可挽回的損失測試
[root@tp /]# vim /etc/profile # 在裏面添加 export TMOUT=300
(受權完修改密碼會有影響嗎???這個須要測試)
按期修改密碼日誌
# 一個是在/etc/login.defs文件,裏面幾個選項 PASS_MAX_DAYS 90 #密碼最長過時天數 PASS_MIN_DAYS 80 #密碼最小過時天數 PASS_MIN_LEN 10 #密碼最小長度 PASS_WARN_AGE 7 #密碼過時警告天數
在想是否是註釋掉,仍是直接刪除
# 須要刪除的用戶包括: userdel lp userdel sync userdel shutdown userdel halt userdel news userdel operator userdel games userdel ftp userdel rpc userdel rpcuser userdel gopher userdel nscd # 須要刪除的組包括: groupdel lp groupdel news
[root@tp /]# /etc/sudoers # 在 root ALL=(ALL) ALL 下面添加一行 username ALL=(ALL) ALL # 若是不想每次都輸入密碼能夠用這一行 username ALL=(ALL) NOPASSWD:ALL exit
原則:原則上不給任何權限,只有須要的時候才添加權限。能不給寫和執行的權限,堅定不能給!!拒絕777的行爲。
賦權限的類型:
建議作法:重裝系統,update,而後測試業務是否正常。不建議寫成定時去更新,容易引起軟件的衝突,致使業務不可用。
若是是線上的業務,能夠經過集羣和配置管理的方式,把部分服務器更新。可是要作好計劃,不能盲目更新。
人才是系統安全最大的隱患。
Tripwire
John the Ripper
。固然原則上經過防火牆來隔離更好,不容許其餘網段ssh。Lynis
是針對Unix/Linux的安全檢查工具,能夠發現潛在的安全威脅。這個工具覆蓋可疑文件監測、漏洞、惡意程序掃描、配置錯誤等。