インターネットITの専門家のために、より多くの仕事は徐々にそれが開発、運用、保守であるかどうか、であるLinuxシステムの最上位にシフトされ、テストが十分に理解されるべきです。それは調査報告書を公表2018年11月における技術的な調査サイトW3Techsがなされてきたが、報告書は、最大37.2パーセント、システムのWebサーバでのLinuxの使用状況を示し、データはまた、Linuxシステムが広く使用されている、ことを示しています。実際には、アプリケーションのウェブサイトのサーバーに加えて、LinuxシステムでもDNSの名前解決サーバ、メールサーバ、いくつかのオープンソース・ソフトウェア・アプリケーション(ビッグデータ・アプリケーションのために使用されている:Linux Foundationの研究によると、企業の86%がすでに、Linuxの動作を使用してクラウド・コンピューティング・システム、上記のデータに大きな構築プラットフォーム)サーバー。
ほとんどのユーザーは、Linuxはデフォルトでは安全で、そして時にはこの引数は確かに物議トピックであることに同意します。Linuxは組み込みのデフォルトのセキュリティモデルを持っています。あなたはそれを開いて、より安全なシステムを取得するようにカスタマイズする必要があります。Linuxの多くの管理が難しく、また、対応する、より柔軟な、より多くの設定オプション。
システム管理者のために、ハッカーやハッカーの攻撃から製品をより安全なシステムを作る、課題となっています。また、Linux用近年ではそのため、安全な堅牢かつセキュアなLinuxシステムを構築する方法が話題の探査されている、多くの例を攻撃しました。今日、私は彼らの毎日の仕事、または強化のLinuxシステムのセキュリティで構築する方法をあなたと共有するためのシステムのすべてのレベルからの出稼ぎ労働者の弟、。私は任意のヘルプ場合は、コロンビアの労働者の支援に加え、ポイントを共有するために楽しみにしててください、コードワードが容易ではない、これらのメソッドはあなたを助ける願っています。
1、物理的なセキュリティ
これは、サーバーのセキュリティ保護のための最初のステップと言うべきです。
すべてのプロの人の最初のサーバーハードウェアには、専門的なメンテナンスを行います。第二は、その上にこれらのCD / DVDの側面からソフトスタートモードを閉じることです。しかし、また、BIOSパスワードを設定し、各種制御処理で制限されたアクセスポリシーを持つことができます。
また、セキュリティ上の目的を達成するために、USBデバイスを無効にすることができます。
vim /etc/modprobe.d/stopusb
install usb-storage /bin/trueまたはUSBドライバを削除するには、次のコマンドを使用します。
[root@rs-server ~]# mv /lib/modules/3.10.0-693.el7.x86_64/kernel/drivers/usb/storage/usb-storage.ko.xz
システムの日付を確保するために2、
いくつかの脆弱性がタイムリーに修理する必要がある。これは、他のシステムの脆弱性は、例えば、存在しないことを保証することを意味します。システムは、パッチ、セキュリティ修正、および利用可能なコアの最新バージョンが含まれていることを確認してください。
yum updates
yum check-update管理者は、定期的に自宅で注目を集め、海外だけでなく、情報システムの脆弱性パッチの最新リリースを必要とします。
2018年の前半を想起:ネットワークセキュリティの脅威がトップ5に直面!
nginxのは、DoS攻撃に超える1400万サーバの爆発安全性が脆弱な原因になっています
3、最小化の原則
また、抜け穴の可能性を削減しながら、最小インストール:あなたがシステム、または一般的に使用されるソフトウェアをインストールしているかどうかは、この原則を遵守しなければなりません。
いくつかの不要なシステムサービス、ポート、提案閉鎖のため。
[root@rs-server ~]# chkconfig --list |grep "3:on"
network 0:off 1:off 2:on 3:on 4:on 5:on 6:offそして、シャットダウンするには、次のコマンドを使用します。
chkconfig service-name off
4、ログオンおよび接続
Linuxサーバの場合は、通常、リモートログイン(SSH)接続を介して、操作をログに記録します。したがって:
最初のステップ:rootとしてログイン排除するために非必要に加えて、須藤が動作し、その後に/ etc / sudoersファイル(変更するユーザーの許可なしにrootユーザを除く)ファイルロックにシステム・コマンドを使用する権利を提供するために使用することができます。
第二段階:SSHの設定ファイルは、ように、rootのパスワード(いくつかの自分の部屋でもSSHプロトコルを経由してrootユーザのログインを無効にすることができます)とを禁止し、そのようなデフォルトのポート番号22などの変更を提案しました。
[root@rs-server ~]# vim /etc/ssh/sshd_config
#Port 22
可修改成其它端口号,民工哥常用IP+22混合使用
#PermitRootLogin yes
将yes改成No
#PermitEmptyPasswords no
打开注释即可
#AllowUsers username
指定特定的用户通过SSH协议进行远程连接本番サーバのために、我々はまた、要塞の制限を接続するためにマシンを使用することができます。
Jumpserver、サーバーのセキュリティの護衛を構築するためにあなたを教えるために0から手!
5、ユーザー管理
Linuxは、並列のマルチユーザ・オペレーティング・システムであり、従って、システムのユーザはまたに分かれている:一般ユーザとスーパーユーザ。二つの異なる権限、そのため、ユーザー管理は非常に重要なステップであるので、異なる行うことができます。
ユーザーパスワードを設定します。
このコマンドは、システムのpasswdによって設定することができ、強度は一般に、同じシステムと、各ユーザが(管理するために日常的に使用マネージャ)は、異なるパスワードを使用して、より複雑なパスワードを使用することが推奨されます。
[root@rs-server ~]# passwd mingongge
Changing password for user mingongge.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
一時的なユーザー管理:
カジュアルなユーザーは、この必要性を管理するために、通常、使用後に削除することができ、また、一定期間の後に再び開く次の時間にログインする必要がありする権限をその再ログインを防ぐためにロックすることができます。
ユーザーを削除するには、削除したユーザー名-rシステムコマンドのuserdelのを使用することができ、非常に簡単です。
ユーザが実際にユーザー属性を変更しているロック:
[root@rs-server ~]# usermod -L mingongge私たちは、見にログオンするために、端末の試みを開きます。
その後、接続がちょうど構成が正しいことを示し、正常にログインすることができなかったが見つかりました。次の必要がログインするまでは、ロックを解除するには、次のコマンドを使用することができます。
[root@rs-server ~]# usermod -U mingongge
#-L lock
#-U unlock
6、ファイル管理
ここでは、ファイルの管理が重要に保存されたファイルは、ユーザ情報を参照します:/ etc / passwdファイルは、/ etc /これら二つの文書をシャドウ。
[root@rs-server ~]# stat /etc/passwd
File: ‘/etc/passwd’
Size: 945 Blocks: 8 IO Block: 4096 regular file
Device: fd00h/64768d Inode: 17135889 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2019-08-06 01:14:37.439994172 +0800
Modify: 2019-08-06 01:14:37.440994172 +0800
Change: 2019-08-06 01:14:37.442994172 +0800
Birth: -
[root@rs-server ~]# stat /etc/shadow
File: ‘/etc/shadow’
Size: 741 Blocks: 8 IO Block: 4096 regular file
Device: fd00h/64768d Inode: 17135890 Links: 1
Access: (0000/----------) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2019-08-06 01:14:37.445994172 +0800
Modify: 2019-08-06 01:14:37.445994172 +0800
Change: 2019-08-06 01:14:37.447994172 +0800
Birth: -上記ファイル属性の一部から一般的には、一般的に2つのファイルを変更するためのアクセス権を持つrootユーザに加えて、許可なしに、このロックは、ユーザーことをお勧めし、これらの文書には、改ざん経験していない見て、そうすることができます。
7、ファイアウォールを有効にします
攻撃を防ぐための良い戦略である駅にしてからのトラフィックをフィルタリングするために、システムのファイアウォールを使用して、システムのファイアウォールルールは一つ一つを設定することができ、非常に強い、強い勧告オープンクラック。
Linuxシステムのセキュリティ設定は、サービスの紹介をiptablesの
8、パッケージ管理
ソフトウェアのインストールシステムのために、我々はアンロードする場合、それらを削除し、ソフトウェアをリストするにyumやapt-getコマンドを使用して、管理するためにRPMパッケージマネージャを使用して、次のコマンドを使用してください:
yum -y remove software-package-name
sudo apt-get remove software-package-name
9、無効化、再起動もしくはCtrl + Alt + Delキー
あなたはもしくはCtrl + Alt + Delキーキーの組み合わせを押した後、これはオンラインサーバーのために絶対に非友好的な安全係数で、サーバを再起動するために使用されるほとんどのサーバーは、そうでない場合は誤動作が大きな影響を引き起こします、無効にする必要があります。
#CentOS6 禁用Ctrl+Alt+Del重启功能
#方法一:
vi /etc/init/control-alt-delete.conf
#start on control-alt-delete #注释此行
#方法二:
mv /etc/init/control-alt-delete.conf /etc/init/control-alt-delete.conf.bak
#注:两种方法都无需重启系统即可生效CentOS7のために、方法が異なります。
[root@rs-server ~]# cat /etc/inittab
# inittab is no longer used when using systemd.
#
# ADDING CONFIGURATION HERE WILL HAVE NO EFFECT ON YOUR SYSTEM.
#
# Ctrl-Alt-Delete is handled by /usr/lib/systemd/system/ctrl-alt-del.target
#
# systemd uses 'targets' instead of runlevels. By default, there are two main targets:
#
# multi-user.target: analogous to runlevel 3
# graphical.target: analogous to runlevel 5
#
# To view current default target, run:
# systemctl get-default
#
# To set a default target, run:
# systemctl set-default TARGET.target
#この文書では、導入に関連して記載されています。
上記の設定ファイルの後に、コメントしている場合、テストした後、再起動のコマンドが有効になりません。
[root@rs-server ~]# ll /usr/lib/systemd/system/ctrl-alt-del.target
lrwxrwxrwx. 1 root root 13 Mar 14 17:27 /usr/lib/systemd/system/ctrl-alt-del.target -> reboot.targetこのctrl-alt-del.targetこれはreboot.targetソフトリンクがあります。だから、最終的には正しい方法は次のとおりです。私たちは、この機能が必要な場合のみ、ソフトウェアのリンクを追加する必要があります、別のディレクトリにこのファイルの外に移動した後、有効にするために他を使用して設定ファイルを再読み込みします。
10、モニタユーザーの行動
お使いのシステムは、多くのユーザーを持つ各ユーザの行動や情報を収集し、そのプロセスは非常に重要な消費する場合。その後、ユーザーは、処理中に分析し、パフォーマンスの最適化とセキュリティの問題の数をすることができます。しかし、監視する場合、ユーザーの行動情報にそれを集めますか?2つの非常に便利なツール「psacct」と「ACCT」システムやプロセスにおけるユーザーの行動を監視するために使用することができますがあります。
[root@rs-server ~]# yum install psacct -y次のように使用します。
ac 统计用户连接时间
ac #显示所有用户连接总时间
ac -p #显示每个用户连接时间
ac -d #显示每天所有用户连接总时间
ac silence #显示指定用户连接时间
ac -d silence #显示指定用户每天连接时间
sa 输出用户活动信息
sa #显示所有用户执行命令情况
sa -u #按用户显示执行命令情况
sa -m #按进程显示执行命令情况
sa -p #按使用率显示执行命令情况
lastcomm 输出最近执行命令信息
lastcomm #显示所有执行命令
lastcomm silence #显示指定用户执行命令
lastcomm ls #显示指定命令执行情况
其他
last #查看最近用户登录成功列表
last -x #显示系统关机、重新开启等信息
last -a #将IP显示在最后一列
last -d #对IP进行域名解析
last -R #不显示IP列
last -n 3 #显示最近3条
lastb #查看最近用户登录失败的列表使用の具体的な例:
[root@rs-server ~]# ac -p
root 71.88
total 71.88
[root@rs-server ~]# sa -u
root 0.00 cpu 1043k mem 0 io accton
root 0.00 cpu 3842k mem 0 io systemd-tty-ask
root 0.03 cpu 72576k mem 0 io pkttyagent
root 0.00 cpu 32112k mem 0 io systemctl
root 0.00 cpu 2674k mem 0 io systemd-cgroups
root 0.07 cpu 37760k mem 0 io ps
root 0.00 cpu 28160k mem 0 io grep
root 0.00 cpu 1080k mem 0 io ac
root 0.14 cpu 0k mem 0 io kworker/u256:0 *
root 0.10 cpu 0k mem 0 io kworker/0:0 *
root 0.02 cpu 0k mem 0 io kworker/0:2 *
[root@rs-server ~]# lastcomm sa
sa root pts/0 0.00 secs Tue Aug 6 02:15
[root@rs-server ~]# last -x
root pts/0 192.168.1.14 Tue Aug 6 00:48 still logged in
root tty1 Tue Aug 6 00:48 still logged in
[root@rs-server ~]# lastb
mingongg ssh:notty 192.168.1.14 Tue Aug 6 01:11 - 01:11 (00:00)
mingongg ssh:notty 192.168.1.14 Tue Aug 6 01:11 - 01:11 (00:00)
btmp begins Tue Aug 6 01:11:27 2019
11、定期的にログをチェックします
システムとその重要なログは、次のように共通ログファイルですので、ログ分析を通じてシステムやアプリケーションに侵入するハッカーを避け、プロのログサーバの領域外に格納さ:
12、データのバックアップ
これはすべて知っている言うまでもない、非常に重要であり、特に重要な生産データは、ローカル、リモート、バックアップ可能と異なるメディアを保存するために、だけでなく、定期的にデータの整合性と可用性を確認する必要があります。
Xtrabackupを達成するために、データをバックアップと復元
高力グリッドエンタープライズクラスのMySQLデータベースのバックアッププログラムは、そうであることが判明....
誤った後のデータ復旧を削除:誤って実行するのrm -f、足の上に急いではありません!
13、セキュリティツール
システムでは、一般的なセキュリティスキャンツールは不可欠であり、例えば:nmapの開いているポートをスキャン。また、ここで多くの人が(私の宣伝費を与えていない)を導入していないされているIBM AppScanの、SQL地図など、商用製品の同じ種類:システムのWebアプリケーションの、あなたはいくつかのオープンソースツールを使用することができます。
ファイルのためのいくつかの侵入検知システムのために、脆弱性スキャンツールは、オープンソースまたは商用のかどうか、全てが実際のニーズとビジネスコストに応じたツールを使用するかを決定するために使用することができ、ファイル暗号化ツールを持っています。
14、管理
安全管理のために、優れたマネジメントシステムのプロセスとも必見です、そうでない場合は、午前13時の基本的な動作が0である、方法があり、方法の床の実施を可能にするシステムは存在しません!!
だから、中小企業、大企業、プロセス、マネジメントシステムのかどうかは、常にすべての処理方法の前に先行してきました。タレントは、世界で最も手に負えないの要因であります!!
ピットに余裕がない、ないバック鍋!オープンソースのサーバーのセキュリティ管理の実践の中で最も完全な履歴
私は任意のヘルプ場合は、コロンビアの労働者の支援に加え、ポイントを共有するために楽しみにしててください、コードワードが容易ではない、これらのメソッドはあなたを助ける願っています。上記が不完全であるか、または一緒に使用すると、システムのセキュリティを強化するためにさまざまな理解やメソッドを持っている場合は、記事のコメントが出て共有することが、後に、私たちは探求してくださいません正しい場所、交流を持つことが、個人的な経験のいくつかの出稼ぎ労働者の弟の組み合わせをまとめたものです、より多くの、堅牢で安全で信頼性の高いLinuxシステム環境を構築するために一緒に働きます。
時計の技術の道路の労働者の弟マイクロチャネルパブリック番号を、バックグラウンドキーワードに返信:1024 ドライ最新の仕上げ技術のコピーを入手することができます