你所要知道的Linux服務器安全策略問題

常見的服務器攻擊類型

1 密碼暴力破解攻擊

密碼暴力破解攻擊的目的是破解用戶的密碼，從而進入服務器獲取系統資源或者是進行破壞。

2 拒絕服務攻擊

拒絕服務攻擊基本原理就是利用合理的服務請求來佔用過多的服務資源，從而使網絡阻塞或者服務器死機，致使Linux服務器沒法爲正經常使用戶提供服務。常見的服務攻擊有拒絕服務攻擊（Dos）和分佈式拒絕服務攻擊（DDos）。

3 應用程序漏洞攻擊

主要是由軟件漏洞所引發的，黑客首先利用網絡掃描工具掃描目標主機的漏洞，而後根據掃描出的漏洞進行有針對性的實施攻擊。

防範攻擊策略

1 網絡安全流程

客戶端請求數據首先經歷「網絡傳輸安全」部分進入操做系統，接着進入操做系統安所有分，操做系統徹底驗證完成以後，進入到服務器內的應用軟件安所有分，最後經過應用軟件從服務器獲取資源。

2 防範措施

2-1網絡傳輸安全

網絡傳輸安全通常有網絡安全設備構成，主要有防火牆、網絡入侵檢測、路由器和交換機。

IDS（網絡入侵檢測）按照必定的安全策略，對網絡、系統的運行情況進行監控，儘量的發現各類攻擊企圖、攻擊行爲或者是攻擊結果，以保證網絡資源的機密性、完整性和可用性。

2-2操做系統安全

操做系統安全是在服務器的本省進行一系列的安全設置和優化。咱們能夠對咱們的系統內核按期升級和保持最新，系統自帶軟件保持最新，配置系統軟件級別防火牆iptables防範策略，配置殺毒軟件防範病毒、關閉無關的服務和端口，密碼安全管理等。

2-3應用軟件安全

應用軟件安全是對服務器上運行的應用軟件才程序自己進行的安全策略配置和優化。

端口與服務

在Linux系統下，系統總共定義了65536個可用端口，這些端口有分爲兩個部分，以1024做爲分割點，分別是隻有root用戶纔可以使用的端口和客戶端的端口。

在linux系統下，對於0---1023端口，都須要以root用戶身份纔可以啓用，這些端口主要用於常見的通訊服務中，例如21端口是給ftp服務的，23端口是預留給telnet服務的，25是留給mail服務的，80端口是預留給www服務的。

咱們能夠查看在linux下 的/etc/services文件，獲得端口與服務的對應列表。大於1024的端口主要是給客戶端使用的，這些端口都是軟件隨機分配的。大於1024的端口是不受root用戶控制的，對於常常使用的mysql端口，默認的是3306端口，只有Mysql用戶啓動的，1521這個端口是由Oracle使用的。

查看端口狀態（netstat -tunl）,以下圖所示

說明：Local Address 表示服務器內部聯機啓動的端口，Foreign Address 表示客戶端聯機啓用的端口。