La seguridad del servidor Linux tiene muchas ventajas sobre Windows. No importa qué versión de Linux elijamos, necesitamos hacer algunas configuraciones necesarias. Luego, discutiremos y aprenderemos el conocimiento de seguridad del servidor Linux juntos.
1. Instale y configure un firewall Un firewall configurado correctamente no solo es la primera línea de defensa para que el sistema responda eficazmente a los ataques externos, sino también la línea de defensa más importante. Antes de que el nuevo sistema se conecte a Internet por primera vez, se debe instalar y configurar el firewall. El firewall está configurado para negarse a recibir todos los paquetes de datos y luego abrir los paquetes de datos que se pueden recibir, lo que beneficiará la seguridad del sistema. Linux nos proporciona una muy buena herramienta de firewall, es netfilter / iptables (http: // http: //www.netfilter.org/). Es completamente gratuito y puede funcionar bien en una máquina antigua con poca configuración. Para conocer el método de configuración específico del firewall, consulte el uso de iptables.
En segundo lugar, cierre los servicios y puertos inútiles. Cualquier conexión de red se logra a través de puertos de aplicación abiertos. Si abrimos la menor cantidad de puertos posible, los ataques a la red se convertirán en agua pasiva, lo que reduce en gran medida las posibilidades de éxito del atacante. Es una decisión inteligente utilizar Linux como servidor dedicado. Por ejemplo, si desea que Linux se convierta en un servidor web, puede cancelar todos los servicios no esenciales en el sistema y habilitar solo los servicios necesarios. Hacerlo puede minimizar las puertas traseras, reducir los peligros ocultos y asignar recursos del sistema de manera razonable para mejorar el rendimiento general de la máquina. Los siguientes son algunos servicios que no se utilizan comúnmente:
- fingerd (servidor finger) reporta la información personal del usuario especificado, incluyendo nombre de usuario, nombre real, shell, directorio e información de contacto. Expondrá el sistema a actividades de recopilación de inteligencia no deseadas. Este servicio debe evitarse.
-
- Los servicios R (rshd, rlogin, rwhod, rexec) proporcionan varios niveles de comandos, que se pueden ejecutar o interactuar con hosts remotos, e iniciar sesión en un entorno de red cerrado sin requerir un nombre de usuario y contraseña, lo cual es bastante conveniente. Sin embargo, los problemas se expondrán en los servidores públicos, lo que generará amenazas a la seguridad.
3. Elimine los paquetes de software no utilizados Al realizar la planificación del sistema, el principio general es eliminar todos los servicios innecesarios. El Linux predeterminado es un sistema poderoso con muchos servicios en ejecución. Pero hay muchos servicios que no son necesarios y pueden fácilmente causar riesgos de seguridad. Este archivo es /etc/xinetd.conf, que define los servicios que / usr / sbin / xinetd supervisará. Es posible que solo necesite uno de ellos: ftp y otras clases como telnet, shell, login, exec, talk, ntalk, imap, finger, auth, etc., a menos que realmente quiera usarlo, todos están cerrados.
4. No establezca la ruta predeterminada En el host, debería estar estrictamente prohibido establecer la ruta predeterminada, es decir, la ruta predeterminada. Se recomienda configurar una ruta para cada subred o segmento de red, de lo contrario, otras máquinas pueden acceder al host de cierta manera.
5. Administración de contraseñas La longitud de la contraseña generalmente no es menor de 8 caracteres. La composición de la contraseña debe ser una combinación de letras mayúsculas y minúsculas irregulares, números y símbolos. Se evita estrictamente usar palabras o frases en inglés para establecer contraseñas, y la contraseña de cada usuario debe Adquiera el hábito de cambiar con regularidad. Además, la protección de la contraseña también implica la protección de los archivos / etc / passwd y / etc / shadow. Solo el administrador del sistema puede acceder a estos dos archivos. La instalación de una herramienta de filtrado de contraseñas más npasswd puede ayudarlo a verificar si su contraseña puede resistir ataques. Si no ha instalado dichas herramientas antes, se recomienda que las instale ahora. Si usted es administrador del sistema y no hay una herramienta de filtrado de contraseñas instalada en su sistema, verifique si las contraseñas de todos los usuarios se pueden buscar de manera exhaustiva, es decir, realizar ataques de búsqueda exhaustivos en su archivo / ect / passwd. Usar una palabra como contraseña no puede resistir los ataques de fuerza bruta. Los piratas informáticos suelen utilizar algunas palabras comunes para descifrar contraseñas. Un hacker estadounidense dijo una vez que mientras se use la palabra "contraseña", se pueden abrir la mayoría de las computadoras en los Estados Unidos.
Otras palabras de uso común incluyen: cuenta, ald, alfa, beta, computadora, muerto, demostración, dólar, juegos, cuerpo, hola, ayuda, introducción, matar, amor, no, vale, vale, por favor, sexo, secreto, superusuario , Sistema, prueba, trabajo, sí, etc. Configuración y principios de la contraseña:
1. El tiempo suficiente, siempre que mueva el dedo para agregar un bit a la contraseña, puede multiplicar por diez el arduo trabajo del atacante;
2. No utilice palabras completas, incluya números, signos de puntuación y caracteres especiales tanto como sea posible
Etc. , 3. Mezcle mayúsculas y minúsculas,
4. Modifique con frecuencia.
5. Gestión de particiones Lo anterior es el conocimiento de seguridad del servidor Linux, podemos fortalecer el servidor Linux a través de varios pasos. Usamos principalmente Linux y Unix en el lado del servidor, y Windows y Mac en el lado de la PC. Por lo tanto, en las aplicaciones empresariales, los sistemas operativos Linux, Unix y Windows a menudo coexisten para formar una red heterogénea.