簡單四步增強Linux系統安全

隨着Linux系統在服務器中的普遍應用，系統的安全問題也受到人們關注，特別是系統管理員；若是不作好系統的安全防禦，就會存在被非法用戶***的可能，下面分享在實際運維過程當中的幾點增強系統安全的方法。

文章目錄

• 1、帳號和口令

• 2、遠程登錄

• 3、開啓防火牆

• 4、使用sudo提高執行權限

1、帳號和口令

• 爲系統管理員創建普通權限的帳號，爲監控機創建監控帳號，分別用於平常系統維護和系統監控；

• 禁止沒必要要登錄的帳號使用shell權限；

例如專爲應用程序建立的用戶不須要登錄，可以使用以下命令建立

1	useradd mysql –M –s /sbin/nologin

• 強制使用高強度密碼，包含字母（大寫字母和小寫字母），數字和特殊符號;

這個是老生常談的問題，不少時候都是因爲管理員設置簡單密碼致使被破解；該怎樣設置一個不容易被破解又好記憶的密碼呢？請參考綠盟科技博客中另外一篇文章設置口令的一些小技巧

• 設置密碼修改頻率，通常三個月修改一次；

2、遠程登錄

• 禁止使用root帳號直接登錄，只容許使用普通帳號登錄；

• 更改默認端口；

• 禁止直接使用口令的方式驗證，採用密鑰登錄；

以上方法能夠經過修改sshd的配置文件（/etc/ssh/sshd_config）完成操做

3、開啓防火牆

Iptables防火牆是linux系統中強大的工具，能夠添加和去除規則來過濾訪問，這裏簡單介紹幾個經常使用的命令

1	iptables -A INPUT -p tcp --dport 80 -j ACCEPT

增長一條規則到INPUT規則鏈中，容許全部目的端口爲80的數據包流入；

1	iptables -D INPUT -p tcp --dport 80 -j ACCEPT

刪除一條規則

1	service iptables save

保存規則

4、使用sudo提高執行權限

上面提到給系統管理員創建普通用戶的權限，那麼須要使用root權限時怎麼辦呢？sudo命令解決了這個問題；sudo命令可以讓普通用戶以root的身份執行命令，只須要預先在/etc/sudoers配置文件中配置受權，而該用戶不需知道root用戶的密碼，可是須要先輸入本身的密碼。

系統爲此功能提供visudo命令進行編輯，使用該命令能夠進行有限的語法檢查，visudo不會保存帶有語法錯誤的配置文件，它會提示你出現的問題。

編輯時遵循下面的格式便可：

1	foobar ALL=(ALL)    ALL

以上是增強Linux系統安全防禦的基本操做，能夠減小被***的概率。

文章分類：   安全分享  
文章關鍵詞：   Iptables,   Linux,   sudo,   系統安全,   防火牆  
轉載請註明：「轉自綠盟科技博客」：   原文連接.