<em id="pn7p8"><acronym id="pn7p8"><u id="pn7p8"></u></acronym></em>

    <th id="pn7p8"></th>

    <button id="pn7p8"></button>

      <dd id="pn7p8"></dd>
      <progress id="pn7p8"><track id="pn7p8"></track></progress>

      Linux培訓
      達內IT學院

      400-111-8989

      運維加固Linux工作站的6個方法

      • 發布:Linux培訓
      • 來源:Linux教程
      • 時間:2021-02-18 14:31

      對每個運維管理員來說,以下是應該采取的一些必要步驟:

      1、一律禁用Firewire和Thunderbolt模塊。

      2、檢查防火墻,確保所有入站端口已被過濾。

      3、確保root郵件轉發到你核查的帳戶。

      4、設立操作系統自動更新時間表,或者更新提醒內容。

      此外,你還應該考慮其中一些最好采取的步驟,進一步加固系統:

      1、核查以確保sshd服務在默認情況下已被禁用。

      2、設置屏幕保護程序,在閑置一段時間后自動鎖定。

      3、安裝logwatch。

      4、安裝和使用rkhunter

      5、安裝入侵檢測系統

      一、把相關模塊列入黑名單

      想把Firewire和Thunderbolt模塊列入黑名單,將下列幾行添加到/etc/modprobe.d/blacklist-dma.conf中的文件:

      blacklist firewire-core

      blacklist thunderbolt

      一旦系統重啟,上述模塊就會被列入黑名單。即便你沒有這些端口,這么做也沒有什么危害。

      二、root郵件

      默認情況下,root郵件完全保存在系統上,往往從不被讀取。確保你設置了/etc/aliases,將root郵件轉發到你實際讀取的郵箱,不然就有可能錯過重要的系統通知和報告:

      # Person who should get root’s mail

      root: bob@example.com

      這番編輯后運行newaliases,對它測試一番,確保郵件確實已送達,因為一些電子郵件提供商會拒絕從根本不存在的域名或無法路由的域名發來的電子郵件。如果是這種情況,你需要調整郵件轉發配置,直到這確實可行。

      三、防火墻、sshd和偵聽守護進程

      默認的防火墻設置將依賴你的發行版,但是許多允許入站sshd端口。除非你有一個充足而正當的理由允許入站ssh,否則應該將這個過濾掉,禁用sshd守護進程。

      systemctl disable sshd.service

      systemctl stop sshd.service

      如果你需要使用它,總是可以暫時啟動它。

      通常來說,你的系統除了響應ping外,應該沒有任何偵聽端口。這將有助于你防范網絡層面的零日漏洞。

      四、自動更新或通知

      建議開啟自動更新,除非你有非常充足的理由不這么做,比如擔心自動更新會導致你的系統無法使用(這種事之前發生過,所以這種擔心并非毫無根據)。起碼,你應該啟用自動通知可用更新的機制。大多數發行版已經讓這項服務自動為你運行,所以你很可能沒必要進行任何操作。查閱發行版的說明文檔,了解更多內容。

      五、查看日志

      你應該密切關注系統上發生的所有活動。由于這個原因,應該安裝logwatch,并對它進行配置,以便每晚發送活動報告,表明系統上發生的一切活動。這防止不了全身心投入的攻擊者,卻是一項很好的安全網功能,有必要部署。

      請注意:許多systemd發行版不再自動安裝logwatch需要的syslog服務器(那是由于systemd依賴自己的日志),所以你需要安裝和啟用rsyslog,確保/var/log在logwatch具有任何用途之前不是空的。

      六、rkhunter和IDS

      除非你切實了解工作原理,并且采取了必要的步驟進行合理的設置(比如將數據庫放在外部介質上,從可信任的環境運行檢查,執行系統更新和配置變更后記得更新哈希數據庫,等等),否則安裝rkhunter以及aide或tripwire之類的入侵檢測系統(IDS)不是很有用。如果你不愿意采取這些步驟、調整在自己的工作站上執行任務的方式,這些工具只會帶來麻煩,沒有任何實際的安全好處。

      我們確實建議你應當安裝rkhunter、在晚上運行它。它學習和使用起來相當容易;雖然它發現不了狡猾的攻擊者,但是可幫助你發現自己的錯誤。

      免責聲明:內容來源于公開網絡,若涉及侵權聯系盡快刪除!

      預約申請免費試聽課

      填寫下面表單即可預約申請免費試聽!怕錢不夠?可就業掙錢后再付學費! 怕學不會?助教全程陪讀,隨時解惑!擔心就業?一地學習,可全國推薦就業!

      上一篇:運維工程師如何快速防止網絡攻擊?
      下一篇:Linux應掌握的10個基本命令

      2021年Linux云計算全套免費視頻教程

      2021年網絡運維全套免費視頻教程在哪里?

      Linux學習路線圖

      Linux內核學習路線圖,該怎么學習

      • 掃碼領取資料

        回復關鍵字:視頻資料

        免費領取 達內課程視頻學習資料

      • 視頻學習QQ群

        添加QQ群:1143617948

        免費領取達內課程視頻學習資料

      Copyright ? 2021 Tedu.cn All Rights Reserved 京ICP備08000853號-56 京公網安備 11010802029508號 達內時代科技集團有限公司 版權所有

      選擇城市和中心
      黑龍江省

      吉林省

      河北省

      湖南省

      貴州省

      云南省

      廣西省

      海南省

      高清特黄a大片,日本真人真做爰,特级做人爱C级,免费a级毛片 百度 好搜 搜狗
      <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>