<th id="ik4gr"><pre id="ik4gr"></pre></th>
<rp id="ik4gr"></rp>
    <dd id="ik4gr"></dd>

  1. <rp id="ik4gr"><object id="ik4gr"><blockquote id="ik4gr"></blockquote></object></rp>
      <rp id="ik4gr"></rp>
        <button id="ik4gr"><acronym id="ik4gr"></acronym></button>
      1. <rp id="ik4gr"><object id="ik4gr"><input id="ik4gr"></input></object></rp>
        1. 杭州嵌入式培訓
          達內杭州嵌入式培訓中心

          13175137725

          加固Linux工作站的方法有哪些

          • 時間:2019-07-09 09:49
          • 發布:轉載
          • 來源:https://yq.aliyun.com/articles/119575?spm=5176.100239.bloglist.5.Ez6vAx

          加固Linux工作站的方法有哪些?對每個運維管理員來說,以下是應該采取的一些必要步驟:

          · 1.一律禁用Firewire和Thunderbolt模塊。

          · 2.檢查防火墻,確保所有入站端口已被過濾。

          · 3.確保root郵件轉發到你核查的帳戶。

          · 4.設立操作系統自動更新時間表,或者更新提醒內容。

          此外,你還應該考慮其中一些最好采取的步驟,進一步加固系統:

          · 1.核查以確保sshd服務在默認情況下已被禁用。

          · 2.設置屏幕保護程序,在閑置一段時間后自動鎖定。

          · 3.安裝logwatch。

          · 4.安裝和使用rkhunter

          · 5.安裝入侵檢測系統

          1. 把相關模塊列入黑名單

          想把Firewire和Thunderbolt模塊列入黑名單,將下列幾行添加到/etc/modprobe.d/blacklist-dma.conf中的文件:

          blacklist firewire-core

          blacklist thunderbolt

          一旦系統重啟,上述模塊就會被列入黑名單。即便你沒有這些端口,這么做也沒有什么危害。

          2. root郵件

          默認情況下,root郵件完全保存在系統上,往往從不被讀取。確保你設置了/etc/aliases,將root郵件轉發到你實際讀取的郵箱,不然就有可能錯過重要的系統通知和報告:

          # Person who should get root’s mail

          root: bob@example.com

          這番編輯后運行newaliases,對它測試一番,確保郵件確實已送達,因為一些電子郵件提供商會拒絕從根本不存在的域名或無法路由的域名發來的電子郵件。如果是這種情況,你需要調整郵件轉發配置,直到這確實可行。

          3. 防火墻、sshd和偵聽守護進程

          默認的防火墻設置將依賴你的發行版,但是許多允許入站sshd端口。除非你有一個充足而正當的理由允許入站ssh,否則應該將這個過濾掉,禁用sshd守護進程。

          systemctl disable sshd.service

          systemctl stop sshd.service

          如果你需要使用它,總是可以暫時啟動它。

          通常來說,你的系統除了響應ping外,應該沒有任何偵聽端口。這將有助于你防范網絡層面的零日漏洞。

          4. 自動更新或通知

          建議開啟自動更新,除非你有非常充足的理由不這么做,比如擔心自動更新會導致你的系統無法使用(這種事之前發生過,所以這種擔心并非毫無根據)。起碼,你應該啟用自動通知可用更新的機制。大多數發行版已經讓這項服務自動為你運行,所以你很可能沒必要進行任何操作。查閱發行版的說明文檔,了解更多內容。

          5. 查看日志

          你應該密切關注系統上發生的所有活動。由于這個原因,應該安裝logwatch,并對它進行配置,以便每晚發送活動報告,表明系統上發生的一切活動。這防止不了全身心投入的攻擊者,卻是一項很好的安全網功能,有必要部署。

          請注意:許多systemd發行版不再自動安裝logwatch需要的syslog服務器(那是由于systemd依賴自己的日志),所以你需要安裝和啟用rsyslog,確保/var/log在logwatch具有任何用途之前不是空的。

          6. rkhunter和IDS

          除非你切實了解工作原理,并且采取了必要的步驟進行合理的設置(比如將數據庫放在外部介質上,從可信任的環境運行檢查,執行系統更新和配置變更后記得更新哈希數據庫,等等),否則安裝rkhunter以及aide或tripwire之類的入侵檢測系統(IDS)不是很有用。如果你不愿意采取這些步驟、調整在自己的工作站上執行任務的方式,這些工具只會帶來麻煩,沒有任何實際的安全好處。

          我們確實建議你應當安裝rkhunter、在晚上運行它。它學習和使用起來相當容易;雖然它發現不了狡猾的攻擊者,但是可幫助你發現自己的錯誤。

          以上就是本文為大家分享的加固Linux工作站的方法有哪些的文章,希望對linux的小伙伴有所幫助。

          預約申請免費試聽課

          怕錢不夠?就業掙錢后再付學費!    怕學不會?從入學起,達內定制課程!     擔心就業?達內多家實踐企業供你挑選!

          上一篇:大牛嵌入式工程師都會什么?
          下一篇:產品經理、項目經理、開發經理之間有什么區別

          初學者如何能學好編程?

          B端信息錄入:輸入框基礎設計細節解析(二)

          B端信息錄入:輸入框基礎設計細節解析(一)

          B端產品全局導航樣式與分析

          • 掃碼領取資料

            回復關鍵字:視頻資料

            免費領取 達內課程視頻學習資料

          • 視頻學習QQ群

            添加QQ群:1143617948

            免費領取達內課程視頻學習資料

          Copyright ? 2018 Tedu.cn All Rights Reserved 京ICP備08000853號-56 京公網安備 11010802029508號 達內時代科技集團有限公司 版權所有

          選擇城市和中心
          江西省

          貴州省

          廣西省

          海南省

          香蕉视频在线一级a做爰片免费观看视频 欧美成年性色生活片 百度 好搜 搜狗
          <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>