构建企业级Linux服务器安全的十大体点（中）[服务器安全]

　　本文继续《构建企业级Linux服务器安全的十大体点(上)》持续解析十大企业级Linux服务器安全防护的要点.

　　3、严峻审计:系统登录用户管理

　　在进入Linux系统之前,全部用户都需求登录,也就是说,用户需求输入用户账号和密码,只有它们通过系统考证之后,用户才能进入系统.

　　与其他Unix操作系统一样,Linux普通将密码加密之后,存放在/etc/passwd文件中.Linux系统上的全部用户都可以读到 /etc/passwd文件,固然文件中保存的密码已经经过加密,但仍旧不太安全.因为普通的用户可以操纵现成的密码破译工具,以穷举法猜想出密码.对比安全的办法是设定影子文件/etc/shadow,只答应有特别权限的用户阅读该文件.

　　在Linux系统中,假如要采取影子文件,必须将全部的公用程序重新编译,才能支持影子文件.这种办法对比麻烦,对比简便的办法是采取插入式考证模块(PAM).很多Linux系统都带有Linux的工具程序PAM,它是一种身份考证机制,可以用来动态地改变身份考证的办法和要求,而不要求重新编译其他公用程序.这是因为PAM采取封闭包的方法,将全部与身份考证有关的逻辑全部躲藏在模块内,因此它是采取影子档案的最佳辅佐.

　　此外,PAM还有很多安全功效:它可以将传统的DES加密办法改写为其他功效更强的加密办法,以确保用户密码不会简单地遭人破译;它可以设定每个用户利用电脑资源的上限;它乃至可以设定用户的上机时间和地址.

　　Linux系统管理人员只需耗费几小时去安装和设定PAM,就可以大大提高Linux系统的安全性,把很多攻击拦阻在系统之外.

　　4、设定:用户账号安全等级管理

　　除密码之外,用户账号也有安全等级,这是因为在Linux上每个账号可以被赋予差别的权限,因此在成立一个新用户ID时,系统管理员应当按照需求赋予该账号差别的权限,并且归并到差别的用户组中.

　　在Linux系统中的部份文件中,可以设定答应上机和不答应上机人员的名单.此中,答应上机人员名单在/etc/hosts.allow中设置,不答应上机人员名单在/etc/hosts.deny中设置.此外,Linux将自动把答应进入或不答应进入的后果记录到/var/log /secure文件中,系统管理员可以据此查出可疑的进入记录.

　　每个账号ID应当有专人负责.在企业中,假如负责某个ID的职员离任,管理员该当即从系统中删除该账号.很多入侵事件都是借用了那些好久不用的账号.

　　在用户账号之中,黑客最喜好具有root权限的账号,这种超级用户有权改正或删除各种系统设置,可以在系统中畅行无阻.因此,在给任何账号赋予root权限之前,都必须细心考虑.

　　Linux系统中的/etc/securetty文件包含了一组可以以root账号登录的终端机名称.比方,在Red Hat Linux系统中,该文件的初始值仅答应本地虚拟掌握台(rtys)以root权限登录,而不答应远程用户以root权限登录.最好不要改正该文件,假如一定要从远程登录为root权限,最好是先以普通账号登录,然后操纵su号令进级为超级用户.

　　5、谨严利用:“r系列”远程程序管理

　　在Linux系统中有一系列r字头的公用程序,比方rlogin,rcp等等.它们非常简单被黑客用来入侵我们的系统,因而非常危险,因此绝对不要将root账号开放给这些公用程序.由于这些公用程序都是用.rhosts文件大概hosts.equiv文件批准进入的,因此一定要确保 root账号不包含在这些文件之内.

　　由于r等远程指令是黑客们用来攻击系统的较好途径,因此很多安全工具都是针对这一安全漏洞而计划的.比方,PAM工具便可以用来将r字头公用程序有效地禁止掉,它在/etc/pam.d/rlogin文件中加上登录必须先批准的指令,使整个系统的用户都不能利用自己home目录下的.rhosts文件.

　　6、限制:root用户权限管理

　　Root一向是Linux保护的重点,由于它权利无限,因此最好不要简单将超级用户受权出去.但是,有些程序的安装和保护工作必必要求有超级用户的权限,在这种情形下,可以操纵其他工具让这类用户有部份超级用户的权限.sudo就是这样的工具.

　　sudo程序答应普通用户经过组态设定后,以用户自己的密码再登录一次,获得超级用户的权限,但只能履行有限的几个指令.比方,利用 sudo后,可以让管理磁带备份的管理人员每天按时登录到系统中,获得超级用户权限去履行文档备份工作,但却没有特权去作其他只有超级用户才能作的工作.

　　sudo不但限制了用户的权限,并且还将每次利用sudo所履行的指令记录下来,不管该指令的履行是成功还是失利.在大型企业中,有时刻有很多人同时管理Linux系统的各个差别部份,每个管理人员都有效sudo受权给某些用户超级用户权限的本领,从sudo的日记中,可以追踪到谁做了什么以及窜改了系统的哪些部份.

　　值得注意的是,sudo并不能限制全部的用户行为,特别是当某些简单的指令没有设置限按时,就有大概被黑客滥用.比方,普通用来显示文件内容的/etc/cat指令,假若有了超级用户的权限,黑客便可以用它改正或删除一些重要的文件.