linux 安全运维-蒲公英云

linux 安全运维

Linux 是一种类 Unix 的操作系统。从理论上讲，Unix 本身的设计并没有什么重大的安全缺陷。多年来，绝大多数在 Unix 操作系统上发现的安全问题主要存在于个别程序中，所以大部分 Unix 厂商都声称有能力解决这些问题，提供安全的 Unix 操作系统。但 Linux 有些不同，因为它不属于某一家厂商，没有厂商宣称对它提供安全保证，因此用户只有自己解决安全问题。

Linux 是一个开放式系统，可以在网络上找到许多现成的程序和工具，这既方便了用户，也方便了黑客，因为他们也能很容易地找到程序和工具来潜入 Linux 系统，或者盗取 Linux 系统上的重要信息。不过，只要我们仔细地设定 Linux 的各种系统功能，并且加上必要的安全措施，就能让黑客们无机可乘。

下面主要从账户安全、系统引导、登录控制的角度，优化Linux系统的安全性。

1）取消不必要的服务

早期的 Unix 版本中，每一个不同的网络服务都有一个服务程序在后台运行，后来的版本用统一的 /etc/inetd 服务器程序担此重任。 Inetd 是 Internetdaemon 的缩写，它同时监视多个网络端口，一旦接收到外界传来的连接信息，就执行相应的 TCP 或UDP 网络服务。

由于受 inetd 的统一指挥，因此 Linux 中的大部分 TCP 或 UDP 服务都是在 /etc/inetd.conf 文件中设定。所以取消不必要服务的第一步就是检查 /etc/inetd.conf 文件，在不必要的服务前面加上 # 号。

一般来说，除了http、smtp、telnet 和 ftp 之外，其他服务都应该取消，诸如简单文件传输协议 tftp、网络邮件存储及接收所用的 imap/ipop 传输协议、寻找和搜索资料用的 gopher 以及用于时间同步的 daytime 和 TIme 等。

还有一些报告系统状态的服务，如 finger、efinger、systat 和 netstat 等，虽然对系统查错和寻找用户非常有用，但也给黑客提供了方便之门。例如，黑客可以利用 finge 服务查找用户的电话、使用目录以及其他重要信息。因此，很多 Linux 系统将这些服务全部取消或部分取消，以增强系统的安全性。

Inetd 除了利用 /etc/inetd.conf 设置系统服务项之外，还利用 /etc/services 文件查找各项服务所使用的端口。因此，用户必须仔细检查该文件中各端口的设定，以免有安全上的漏洞。

在 Linux 中有两种不同的服务型态：一种是仅在有需要时才执行的服务，如 finger 服务；另一种是一直在执行的永不停顿的服务。这类服务在系统启动时就开始执行，因此不能靠修改 inetd 来停止其服务，而只能从修改 /etc/rc.d/rc[n].d/ 文件或用 Run　level editor 去修改它。提供文件服务的 NFS 服务器和提供 NNTP 新闻服务的 news 都属于这类服务，如果没有必要，最好取消这些服务。