Linux服務(wù)器基礎(chǔ)防護知識

現(xiàn)在許多生產(chǎn)服務(wù)器都是放置在IDC機房里的，有的并沒有專業(yè)的硬件防火墻保護，我們應(yīng)該如何做好其基礎(chǔ)的安全措施呢?個人覺得應(yīng)該從如下幾個方面著手。

·首先要保證自己的Linux服務(wù)器的密碼絕對安全，筆者一般將root密碼設(shè)置在28位以上，而且某些重要的服務(wù)器必須只有幾個人知道root密碼，這將根據(jù)公司管理層的權(quán)限來設(shè)置，如果有系統(tǒng)管理員離職，root密碼一定要更改?，F(xiàn)在我們的做法一般是禁止root遠程登錄，只分配一個具有sudo權(quán)限的用戶。

服務(wù)器的賬號管理一定要嚴格，服務(wù)器上除了root賬號外，系統(tǒng)用戶越少越好，如果非要添加用戶來作為應(yīng)用程序的執(zhí)行者，請將他的登錄Shell設(shè)為nologin，即此用戶是沒有權(quán)利登錄服務(wù)器的。終止未授權(quán)用戶，定期檢查系統(tǒng)有無多余的用戶都是很有必要的工作。

另外，像vsftpd、samba及MySQL的賬號也要嚴格控制，盡可能只分配給他們滿足基本工作需求的權(quán)限，而像MySQL等的賬號，不要給任何用戶grant權(quán)限。

·防止SSH暴力破解是一個老生常談的問題，解決這個問題有許多種方法：有的朋友喜歡用iptables的recent模塊來限制單位時間內(nèi)SSH的連接數(shù)，有的用DenyHosts防SSH暴力破解工具，應(yīng)盡可能采用部署服務(wù)器密鑰登錄的方式，這樣就算對外開放SSH端口，暴力破解也完全沒有用武之地。

·分析系統(tǒng)的日志文件，尋找入侵者曾經(jīng)試圖入侵系統(tǒng)的蛛絲馬跡。last命令是另外一個可以用來查找非授權(quán)用戶登錄事件的工具。last命令輸入的信息來自于/var/log/wtmp。這個文件詳細地記錄著每個系統(tǒng)用戶的訪問活動。

有經(jīng)驗的入侵者往往會刪掉/var/log/wtmp以清除自己非法行為的證據(jù)，但是這種清除行為還是會露出蛛絲馬跡：

在日志文件里留下一個沒有退出的操作和與之對應(yīng)的登錄操作(雖然在刪除wtmp的時候登錄記錄沒有了，但是待其登出的時候，系統(tǒng)還是會把它記錄下來)，不過高明的入侵者會用at或Crontab等自己登出之后再刪文件。

·建議不定期用grep error/var/log/messages檢查自己的服務(wù)器是否存在著硬件損壞的情況，由于服務(wù)器長年擱置在機房中，最容易損壞的就是硬盤和風扇，因此在進行這些方面的日常維護時要格外注意，最好是定期巡視我們的IDC托管機房。

·建議不定期使用Chkrootkit應(yīng)用程序?qū)ootkit的蹤跡和特征進行查找，從它的報告中我們可以分析服務(wù)器否已經(jīng)感染木馬。

·停掉一些系統(tǒng)不必要的服務(wù)，強化內(nèi)核。多關(guān)注一下服務(wù)器的內(nèi)核漏洞，現(xiàn)在Linux的很多攻擊都是針對內(nèi)核的，應(yīng)盡量保證內(nèi)核版本是最新的。