如何让Linux更安全？Linux是一个领先的操作系统，运行着世界上最快的10台超级计算机。Linux操作系统包不仅包括完整的Linux操作系统，还包括文本编辑器、高级语言编译器等应用软件。那么，有哪些Linux服务器安全提示呢？

1. 物理系统安全

配置BIOS，禁止从CD/DVD、外部设备和软驱启动。接下来，为GRUB启用BIOS密码和密码保护，这将限制对系统的物理访问。

该任务指导管理员通过设置GRUB密码来保护Linux服务器的安全

2. 磁盘分区

重要的是要使用不同的分区，以确保更高的数据安全性，防止可能发生的灾难。通过将数据划分到不同的分区，可以对数据进行分组和隔离。当事故发生时，只有故障分区的数据被损坏；其他分区的数据可以保留。您最好将下列分区和第三方程序安装在单独的文件系统/opt上。

/

/boot

/usr

/var

/home

/tmp

/opt

3、最小的包安装，漏洞最少

你真的需要安装所有的服务吗？请不要安装不必要的软件包，以免这些软件包造成漏洞。这样可以最大限度地降低风险，因为一个服务中的漏洞可能危及另一个服务。查找并删除或停止未使用的服务，以最大限度地减少系统漏洞。使用'chkconfig'命令列出运行级别为3的所有服务。

#/sbin/chkconfig——list | grep '3: on'当您在运行时发现一个不需要的服务时，使用以下命令停止服务。

# chkconfig serviceName off使用YUM或apt-get等RPM包管理器列出所有已安装的包并使用以下命令卸载。

# yum -y remove package-name# sudo apt-get remove package-name5 chkconfig Command Examples

20 Practical Examples of RPM Commands

20 Linux YUM Commands for Linux Package Management

25 APT-GET and APT-CACHE Commands to Manage Package Management

4. 检查网络监听端口

在网络命令“netstat”的帮助下，您将能够看到所有开放的端口和相关程序。使用上面提到的“chkconfig”命令关闭系统上不需要的网络服务。

# netstat -tulpnLinux网络管理中的20个netstat命令

5. 使用SSH(Secure Shell)

Telnet和rlogin协议只能以明文形式使用，不能以加密形式使用，存在安全漏洞。SSH是一种安全协议，在客户端与服务器通信时使用加密。

除非必要，不要直接登录到root帐户。执行sudo命令。sudo由/etc/sudoers文件指定，也可以使用“visudo”工具编辑，该工具通过VI编辑器打开配置文件。

建议将SSH默认的“22”端口号修改为更高的端口号。打开主SSH配置文件并进行以下更改以限制用户访问。

# vi /etc/ssh/sshd_config关闭root登录

PermitRootLogin no指定用户通过

AllowUsers用户名使用SSH版本2

协议2维护SSH服务器安全的五个最佳实践

6. 让你的系统保持最新

始终确保您的系统包含最新的补丁、安全修复程序和可用的内核。

# yum updates

# yum check-update

7. 锁定Cron任务

Cron有自己的内置特性，允许它定义谁可以运行任务，谁不能运行任务。它由两个文件/etc/cron.控制Allow和/etc/cron.deny要锁定一个cron用户，只需将他的名字写入con .deny，并允许该用户运行cron，将他的名字添加到cron.allow。如果你想禁止所有用户使用corn，在cron.deny中添加" ALL "作为一行。

# echo /etc/cron.deny11 linux Cron调度实例

8. 禁止使用USB探针

在许多情况下，我们希望限制USB的使用，以保护系统安全和数据泄漏。创建一个文件“/etc/modprobe”。d/no-usb'，并使用以下命令禁用探测USB存储。

install usb-storage /bin/true

9. 开放的SELinux

SELinux(Security Enhanced linux)是linux内核提供的一种强制性访问控制安全机制。禁用SELinux意味着系统将失去其安全机制。在删除SELinux之前请仔细考虑。如果您的系统需要发布到Web并从公共网络访问，则需要更加小心。

SELinux提供了三种基本的操作模式，它们是：

强制：这是用于启用和强制SELinux安全措施的默认模式。

许可模式：在此模式下，SELinux不执行安全措施，只执行警告和日志记录。此模式在排除与selinux相关的问题时非常有用。

关闭模式：关闭SELinux。

您可以使用'system-config-selinux'， 'getenforce'或'sestatus'命令行查看当前SEliux状态。

如果您处于关闭模式，请使用以下命令启用SELinux

你也可以通过使用配置文件'/etc/SELinux /config'来强制SELinux。

10. 删除KDE或GNOME桌面

不需要在专用的LAMP服务器(如KDE和GNOME)上运行X Window桌面。您可以删除或关闭它们，以提高系统安全性和性能。这些桌面可以通过打开/etc/inittab并将运行级别更改为3来关闭。如果要将其从系统中完全删除，请使用以下命令：

# yum groupremove 'X Window System'

11. 禁用IPv6

如果您不使用IPv6，您应该关闭它，因为大多数应用程序和策略不使用IPv6，并且服务器目前不需要它。您可以通过在网络配置文件中添加以下几行来关闭它。

# vi /etc/sysconfig/networkNETWORKING_IPV6=no

IPV6INIT=no

12. 限制旧密码

如果您不希望用户继续使用旧密码，这很有用。旧密码文件位于/etc/security. passwd中。您可以使用PAM模块来做到这一点。

打开/etc/pam。RHEL/CentOS/Fedora的“/system-auth”文件。

# vi /etc/pam。d/system-authUbuntu/Debian/Linux Mint打开“/etc/pam. d”文件。d/common-password”文件。

# vi /etc/pam。D /common-password将以下行添加到'auth'块。

授权足够的pam_unix。因此，likeauth nullok将以下行添加到'password'块中，以防止用户重复使用过去使用的最后五个密码。

密码足够pam_unix。所以nullok use_authtok md5 shadow remember=5服务器只记录最后五个密码。如果您尝试使用最近使用的五个旧密码中的任何一个，您将看到以下错误消息。

Password has been already used. Choose another.

13. 如何检查用户密码是否已过期

在Linux中，用户的密码以加密形式存储在'/etc/shadow'文件中。要检查用户密码是否过期，需要使用' change '命令。它显示密码的最后更改日期和密码寿命的详细信息。这些细节是系统如何确定用户是否必须更改其密码。

使用实例查看现有用户的老化信息，如过期日期、持续时间等。

# change -l username修改任意用户的密码老化。

#chage -M 60 username

# change -M 60 -M 7 - w7 userName参数

-M最大天数

-m最小天数

-W指定天数

14. 手动锁定或解锁用户

锁解锁功能非常有用。用户可以锁定一个星期或一个月，而不能删除该用户。可以使用以下命令锁定指定用户。

# passwd -l accountName提示：被锁定的用户仍然只有root用户可见。此锁是通过用(!)替换加密的密码来完成的。才能实现。如果用户尝试使用此帐户访问系统，他将得到类似于下面的错误消息。

# su - accountName

此帐户目前不可用。当需要解锁被锁定的帐号时，使用此命令。该命令将被(!)请重新修改密码。

# passwd -u accountName

15. 加强密码

相当数量的用户使用的密码非常弱，以至于可以通过字典攻击或暴力破解攻击来破解。'pam_cracklib'模块存储在PAM中，可以强制用户设置复杂的密码。通过编辑器打开以下文件。

# vi /etc/pam。d/system-auth使用身份验证参数(lcredit、uccredit、dcredit或ocredit用于小写、大写、数字和其他字符)向文件添加一行。

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

16. 使Iptable(防火墙)

强烈建议开启linux防火墙，防止非授权程序访问。iptable规则用于过滤入、出、转发的报文。我们可以授予和拒绝访问特定的udp/tcp端口的源和目的地址。

17. 禁用“Ctrl+Alt+Delete”重新启动

在大多数linux发行版中，按“CTRL-ALT-DELETE”将导致系统重新启动。在生产服务器上这样说不是个好做法，因为这会导致误操作。

这个配置在'/etc/inittab'文件中。如果打开这个文件，可以看到下面类似的段落。默认行已被注释掉。我们必须评论他。这个按钮将重新启动系统。

# Trap CTRL-ALT-DELETE

#ca:ctrlaltdel:/sbin/shutdown -t3 -r now

18. 检查空密码帐户

任何带有空密码的帐户都意味着它可以被Web上的任何未经授权的用户访问，这对linux服务器是一种安全威胁。因此，请确保所有用户都有一个复杂的密码，并且没有特权用户。空密码帐号是很容易克服的安全隐患。可以使用以下命令查看是否存在空密码帐户。

# cat /etc/shadow | awk -F: '($2=='')'

19. 登录前会弹出SSH提示符

在使用ssh身份验证时，最好使用法律和安全警报。

20.监控用户行为

如果您有大量用户，那么收集有关每个用户的行为及其流程成本的信息非常重要。用户分析可以在稍后处理一些性能优化和安全问题时进行。但是如何监控和收集有关用户行为的信息呢？

有两个有用的工具“psacct”和“acct”可用于监控系统中的用户行为和进度。这些工具在系统后台执行，不断记录每个用户的行为和每个服务的资源消耗情况，如Apache、MySQL、SSH、FTP等。

21. 定期查看日志

将日志移动到专用的日志服务器可以防止入侵者轻易更改本地日志。以下是常见的linux默认日志文件及其用途：

/var/log/message -记录系统日志或当前活动日志。

/var/log/Kernel .log -内核日志。

/var/log/cron.log - cron日志(cron任务)。

/var/log/maillog -邮件服务器日志。

/var/log/boot.log—系统启动日志。

/var/log/mysqld.log - MySQL数据库服务器日志。

/var/log/secure—鉴权日志。

/var/log/utmp或/var/log/wtmp:登录日志。

/var/log/yum.log: Yum日志。

22. 备份重要文件

在生产环境里，为了灾难恢复，有必要将重要文件备份并保存在安全的远程磁带保险库、远程站点或异地硬盘。

23、NIC 绑定

有两种类型的NIC绑定模式，需要在绑定接口用得到。

mode=0 循环赛模式

mode=1 激活和备份模式

NIC绑定可以帮助我们避免单点失败。在NIC绑定中，我们把两个或者更多的网卡绑定到一起，提供一个虚拟的接口，这个接口设置ip地址，并且和其他服务器会话。这样在一个NIC卡down掉或者由于其他原因不能使用的时候，我们的网络将能保持可用。

24、保持/boot 只读

linux内核和他的相关的文件都保存在/boot目下，默认情况下是可以读写的。把它设为了只读可以减少一些由于非法修改重要boot文件而导致的风险。

# vi /etc/fstab在文件最后增加下面的行，并且保存

LABEL=/boot /boot ext2 defaults,ro 1 2如果你今后需要升级内核的话，你需要修回到读写模式。

25、屏蔽ICMP和Broadcast请求

在/etc/sysctl.conf中添加下面几行，屏蔽掉ping和broadcast请求。

Ignore ICMP request:

net.ipv4.icmp_echo_ignore_all=1

Ignore Broadcast request:

net.ipv4.icmp_echo_ignore_broadcasts=1运行下面这一行加载修改或更新：

#sysctl -p