18. 检查空密码帐号任何空密码的账户意味这可以让Web上任何无授权的用户访问,这是linux服务器的一个安全威胁。所以,确定所有的用户拥有一个复杂的密码并且不存在特权用户。空密码帐号是安全风险,可以被轻易的攻克。可以利用下面的命令来检查是否有空密码账户存在。 # cat /etc/shadow | awk -F: '($2==""){print $1}'19. 登录前显示SSH提示在ssh认证时候,使用一个法律和安全警示是很好的建议。关于SSH警示可以看下面的文章。 20. 监视用户行为如果你有很多的用户,去收集每一个用户的行为和和他们的进程消耗的信息非常重要。可以随后和一些性能优化和安全问题处理时进行用户分析。但是如果监视和搜集用户行为信息呢 ? 有两个很有用的工具‘psacct‘ 和 ‘acct‘可以用来监视系统中用户的行为和进程。这些工具在系统后台执行并且不断记录系统中每一个用户的行为和各个服务比如Apache, MySQL, SSH, FTP, 等的资源消耗。对这些工具更多的安装配置和使用信息,请访问下面的网址: 21. 定期查看日志将日志移动到专用的日志服务器里,这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处:
22. 重要文件备份在生产环境里,为了灾难恢复,有必要将重要文件备份并保存在安全的远程磁带保险库、远程站点或异地硬盘。 23. NIC 绑定有两种类型的NIC绑定模式,需要在绑定接口用得到。
NIC绑定可以帮助我们避免单点失败。在NIC绑定中,我们把两个或者更多的网卡绑定到一起,提供一个虚拟的接口,这个接口设置ip地址,并且和其他服务器会话。这样在一个NIC卡down掉或者由于其他原因不能使用的时候,我们的网络将能保持可用。 相关阅读 : Create NIC Channel Bonding in Linux 24. 保持 /boot 只读linux内核和他的相关的文件都保存在/boot目下,默认情况下是可以读写的。把它设为了只读可以减少一些由于非法修改重要boot文件而导致的风险。 # vi /etc/fstab 在文件最后增加下面的行,并且保存 LABEL=/boot /boot ext2 defaults,ro 1 2 如果你今后需要升级内核的话,你需要修回到读写模式。 25.不鸟ICMP和Broadcast请求在/etc/sysctl.conf中添加下面几行,屏蔽掉ping和broadcast请求。 Ignore ICMP request: net.ipv4.icmp_echo_ignore_all = 1 Ignore Broadcast request: net.ipv4.icmp_echo_ignore_broadcasts = 1 运行下面这一行加载修改或更新 #sysctl -p 如果你觉得了上述安全小贴士很好用,或还有什么其它需要补充进去,请在下面的评论框里写写,不断追求进步的TecMint一如既往地愿意听到您的评论、建议以及讨论。 英文原文:25 Hardening Security Tips for Linux Servers参与翻译(4人): |
