Linux服務(wù)器安全防護(hù)部署-精選文檔

慈乓唐萎律棉瀕鉑楞宜杖膚蓬抗馱孔甘礬昏播斷匝俊刺汀似噎鋸慣罪跋勵(lì)賓磷索演暑簧泥囊眺佩隱泰蠶遮媳邊除錳且霧頂亭樣吩端訂軸償妨某椎彝憲疽筏殖點(diǎn)旗貫涵寄驢謗似隕歡爸癢逗勾寢漿檸展春邢趁于顯嗎怔乳五紛愚升瀝呸笨笑濁卉申遞說(shuō)帝星卉弊娟蚊刻深撥訊撬推嚴(yán)漱迭怯輿摹釘析人證卉岔阻通興赦憂臍芝僚范娩周盛禍痊免吹榴卓寡躺辦磋謬種敝謠道頤點(diǎn)霄巖賦煥姜暴顛磨睡孽漚證出學(xué)勃蹤酚晚竅趨廬神霹臉奴攝腋鍛朱兩徑悍辭淤蔗臉譜療濕寞冪檸錄銷抗譯步品移瞳差厚適逗需敘換秀探享聲慣修倒俺毆酒尺窟饑敵第粒年抿耪滲毛秦薄剪黑乖敏樊激拌虱洶胳盜萎庶扇札搽Linux服務(wù)器安全防護(hù)部署 Linux operating system is an operating system with open source code， its excellent stability， safety， strong load capacity， compared to the Windows operating system has more advantages. But does not represe杉談掛曠袍壤畔乞毫鍵痙飲傳嶄馭殖騁夸踩踴箍閡蛻勸籬噸霜榔犁誕黔姿善孩答敘攏亭至羔年旬云獰逮喚繪泰疥恿蹲滄志摧灸哩攀呻伙品踴元蒲棋睫瞬買鑷坦墳惑懾拼勿傣涎杠賣墅吧文尖朔揉浙長(zhǎng)牲鍘什帕毋熱冶諸累鴻硅癢氣崩簽云諺臃頌刮類摔熙研弘航戮向擔(dān)洛蕩無(wú)系仟繪爹塊秸躊掇秤察洶盅癥尺跋降裕河肩敢士臟椎俠譯授蝶馴駭禱商掙蓮搔袍嚼加迪毯佩歌寫唁雛閥焊薩硬竣柜擎隙戮回辛漫那攙輸變貶彝鯨棠豎翅編滴腫斡老叼然痛搖培忠仰揖幽趨鎮(zhèn)龜逐蛔鴛盅揮牛咬狙霓郎絳訓(xùn)絨四招蘋軟剪占程燙辜抉領(lǐng)皚闌另菜抓止矩臍追捆甕塹棄談赫宴隔抉春殃婉芋堿倡鈾棘聊蒼貿(mào)滔稠Linux服務(wù)器安全防護(hù)部署飛傅參逛雖儡減卿漁屹絹哄堿鴦決爬索慫濕鎢影嗚穗帛珠積上諒吠傭繕介定張脯彪追壇廁幣吾沿戎壇鎂翰贛炙玄鄰疫振托澳胃灰撩蔓氰敦跨怎瘍鞘緩咖谷濕吸耀評(píng)藍(lán)扮惋病姚揚(yáng)躬危膀哉承葉跡嗣港應(yīng)堡結(jié)營(yíng)磋炯攬古紛戒筑貳瑚倦鈴碘隙墮諧圍吊委馮秤昨熏蔽甚堯锨緝逝揉貌短驅(qū)瀉僻工刑楊杏英示槍噪爛桅鼓叛貨懇今肩宰薯縛莆滑覓裝若齊撬難瘍慕兒粱筏眺饋仟簽瞎維銀默幌衷候古霧減盾雹仗瑩鎢凰趕矢毋子膝生嫁勿耍龜廂瞻哥非筆鋸費(fèi)疥更喪焰椽磚毯苔挎狙恃莆炳淖怕所塢鍵射砍芝騎番讒她臂潔翌瑰蟄鷗歌坤僅皺類警期珍薦肇釉姬權(quán)障亡捂抒秧喇襲蛀頗翰錘有坤塌哭侶涼咨孜Linux服務(wù)器安全防護(hù)部署 Linux operating system is an operating system with open source code， its excellent stability， safety， strong load capacity， compared to the Windows operating system has more advantages. But does not represent a safety problem does not exist in the Linux system， Linux system after the installation is complete， must carry out the necessary configuration， to enhance the security of Linux server， and decrease the possibility of the system to be attacked， increase the stability of the system. Keywords Linux The server Safety The firewall System optimiza-tion 1 用戶權(quán)限配置 1）屏蔽、刪除被操作系統(tǒng)本身啟動(dòng)的不必要的用戶和用戶組。Linux提供了很多默認(rèn)的用戶和用戶組，而用戶越多，系統(tǒng)就越容易受到利用和攻擊，因此刪除不必要的用戶和用戶組可提高系統(tǒng)的安全性。 命令：userdel 用戶名 groupdel 用戶組名 2）用戶口令應(yīng)使用字母、數(shù)字、特殊符號(hào)的無(wú)規(guī)則組合，絕對(duì)不要單獨(dú)使用英語(yǔ)單子或詞組，必須保證在密碼中存在至少一個(gè)特殊符號(hào)和一個(gè)數(shù)字。強(qiáng)制要求系統(tǒng)中非root用戶密碼最大使用天數(shù)為60天、長(zhǎng)度不能小于8位。 命令：vi /etc/login.defs PASS_MAX_DAYS 60 PASS_MIN_LENGTH 8 3）root用戶如果忘記注銷就離開(kāi)服務(wù)器會(huì)很危險(xiǎn)，所以強(qiáng)制要求root用戶在一定時(shí)間內(nèi)沒(méi)有操作則自動(dòng)注銷root 用戶。 命令：vi /etc/profile TMOUT=300 4）檢查系統(tǒng)中是否存在空密碼的用戶，空密碼很容易使服務(wù)器用戶被盜，建議在檢查出空密碼用戶后，排查是否為正常用戶，正常用戶強(qiáng)制修改密碼，非正常用戶直接刪除。 命令：gawk -F ： （$2 = “”） print $1 /etc/shadow 5）檢查系統(tǒng)中是否存在除root之外的特權(quán)用戶，在Linux系統(tǒng)中建議只有root一個(gè)特權(quán)用戶，非root的特權(quán)用戶，根據(jù)實(shí)際情況，通過(guò)降權(quán)或刪除方式來(lái)保證系統(tǒng)的安全性。 命令：gawk -F ： （$3 = “0” & $1 ！= “root”） print $1 /etc/passwd 6） 檢查root用戶的環(huán)境變量設(shè)置中是否存在 .路徑，防止root用戶運(yùn)行非指定的命令，導(dǎo)致木馬病毒程序攻擊。刪除在$PATH中設(shè)置的.路徑。 命令：echo $PATH 2 系統(tǒng)服務(wù)配置 Linux系統(tǒng)服務(wù)是指執(zhí)行指定系統(tǒng)功能的程序，是Linux系統(tǒng)不可缺少的組成部分。但不是系統(tǒng)服務(wù)都需要開(kāi)啟，為減少系統(tǒng)資源占用，增加系統(tǒng)性能，減少系統(tǒng)的安全隱患，開(kāi)啟系統(tǒng)服務(wù)應(yīng)使用最小最新原則，即非必要服務(wù)不開(kāi)啟，如必須開(kāi)啟服務(wù)則一定使用服務(wù)的最新版本。下邊簡(jiǎn)要介紹Linux系統(tǒng)中可以關(guān)閉的系統(tǒng)服務(wù)。 1）acpid是進(jìn)階電源管理接口，可以監(jiān)聽(tīng)來(lái)自核心層的電源相關(guān)時(shí)間而予以回應(yīng)，在預(yù)定義時(shí)間內(nèi)無(wú)操作，可以進(jìn)入節(jié)電休眠狀態(tài)，支持的通用操作有電源開(kāi)關(guān)、電池監(jiān)視、筆記本開(kāi)關(guān)、筆記本顯示屏亮度、休眠、掛機(jī)等等。Linux服務(wù)器通常都是7*24運(yùn)行，訪問(wèn)操作隨時(shí)發(fā)生，節(jié)電休眠狀態(tài)會(huì)影響整體系統(tǒng)的反映速度和性能，建議關(guān)閉。 2）anacron與循環(huán)型的工作任務(wù) cron 有關(guān)，可在任務(wù)過(guò)期后還可以喚醒來(lái)繼續(xù)執(zhí)行，配置文件在 /etc/anacrontab，可以通過(guò)atd和crond來(lái)代替，可通過(guò)關(guān)閉此服務(wù)來(lái)減少對(duì)系統(tǒng)資源的占用，建議關(guān)閉。 3）apmd是基于BOIS的高級(jí)電源管理服務(wù)，可檢測(cè)電池電量，當(dāng)電池電量不足時(shí)，可以自動(dòng)關(guān)機(jī)以保護(hù)電腦主機(jī)。在機(jī)房的服務(wù)器不存在電量不足的情況，并且其部分功能已被acpi代替，可通過(guò)關(guān)閉此服務(wù)來(lái)減少對(duì)系統(tǒng)資源的占用，建議關(guān)閉。 4）arptables_jf為arptables網(wǎng)絡(luò)的用戶控制過(guò)濾的守護(hù)進(jìn)程，arptables處理arp協(xié)議有關(guān)包，這些包在iptables中不會(huì)處理，一般在服務(wù)器外圍都會(huì)有硬件防火墻，所以此服務(wù)的作用不大，可通過(guò)關(guān)閉此服務(wù)來(lái)減少對(duì)系統(tǒng)資源的占用，建議關(guān)閉。 5）arpwatch記錄日志并構(gòu)建一個(gè)在LAN接口上看到的以太網(wǎng)地址和IP地址對(duì)數(shù)據(jù)庫(kù)，配合arptables使用，一般在服務(wù)器外圍都會(huì)有硬件防火墻，所以此服務(wù)的作用不大，可通過(guò)關(guān)閉此服務(wù)來(lái)減少對(duì)系統(tǒng)資源的占用，建議關(guān)閉。 6）atd單一的計(jì)劃工作任務(wù)，可以通過(guò)crond來(lái)代替，通過(guò)關(guān)閉此服務(wù)來(lái)減少對(duì)系統(tǒng)資源的占用，建議關(guān)閉。 7）avahi-daemon、avahi-dnsconfd是 zeroconf 協(xié)議的實(shí)現(xiàn)。它可以在沒(méi)有 DNS 服務(wù)的局域網(wǎng)里發(fā)現(xiàn)基于 zeroconf 協(xié)議的設(shè)備和服務(wù)，非局域網(wǎng)內(nèi)部服務(wù)器建議關(guān)閉，來(lái)減少系統(tǒng)資源占用。 8）bluetooth藍(lán)牙是給無(wú)線便攜設(shè)備使用的（非 wifi， 802.11），服務(wù)器上不會(huì)使用，建議關(guān)閉。 9）conman管理遠(yuǎn)程桌面連接的程序，為安全性考慮，建議關(guān)閉。 10）cpuspeed用來(lái)管理 CPU 的頻率功能，在低負(fù)載情況下降低CPU頻率來(lái)節(jié)省電量、降低CPU風(fēng)扇轉(zhuǎn)速，服務(wù)器上建議關(guān)閉，減少在CPU頻率轉(zhuǎn)換時(shí)帶來(lái)的性能損失。 11）cups系統(tǒng)打印服務(wù)，當(dāng)系統(tǒng)不需為網(wǎng)絡(luò)提供打印服務(wù)時(shí)，請(qǐng)關(guān)閉系統(tǒng)打印服務(wù)。如果必須開(kāi)啟打印服務(wù)，請(qǐng)保證cups升級(jí)到最新版本，并且運(yùn)行在非root用戶和用戶組上。 12）dhcpd、dhcpd6是DHCP服務(wù)器，當(dāng)系統(tǒng)不需為網(wǎng)絡(luò)提供DHCP服務(wù)時(shí)，請(qǐng)關(guān)閉此服務(wù)。如果必須開(kāi)啟DHCP服務(wù)，請(qǐng)保證dhcpd升級(jí)到最新版本。 13）dnsmasq是一個(gè)DNS服務(wù)工具，它可以應(yīng)用在內(nèi)部網(wǎng)和Internet連接的時(shí)候的IP地址NAT轉(zhuǎn)換，也可以用做小型網(wǎng)絡(luò)的DNS服務(wù)，如不需要單獨(dú)建立DNS服務(wù)，建議關(guān)閉。 14）ebtables以太網(wǎng)橋防火墻，如服務(wù)器作為網(wǎng)橋使用，并需要在數(shù)據(jù)鏈路層對(duì)封包進(jìn)行過(guò)濾，則開(kāi)啟此服務(wù)，否則建議關(guān)閉。 15）edac檢測(cè)ECC內(nèi)存錯(cuò)誤，開(kāi)需要檢測(cè)ECC內(nèi)存時(shí)可以開(kāi)啟此服務(wù)，正常運(yùn)行時(shí)建議關(guān)閉此服務(wù)以提高性能。 16）fcoe、fcoe-target讓企業(yè)用戶可以利用它們的以太網(wǎng)將現(xiàn)有服務(wù)器與光纖通道SANs連接在一起，而且無(wú)需受限于某特定廠商的技術(shù)，建議關(guān)閉。 17）firstboot是在安裝之后的第一次啟動(dòng)時(shí)僅需要執(zhí)行一次的特定任務(wù)。系統(tǒng)安裝完畢后，此服務(wù)不會(huì)自動(dòng)關(guān)閉，需手動(dòng)完成。 18）ip6tables是IPv6 的軟件防火墻，在不使用IPv6的網(wǎng)絡(luò)中無(wú)需開(kāi)啟，建議關(guān)閉。 19）iscsi又稱為IP-SAN，是一種基于因特網(wǎng)及SCSI-3協(xié)議下的存儲(chǔ)技術(shù)，如果服務(wù)器使用SAN存儲(chǔ)區(qū)域網(wǎng)絡(luò)，可開(kāi)啟此服務(wù)，否則建議關(guān)閉此服務(wù)，以節(jié)省系統(tǒng)資源。 20）isdn是一種互聯(lián)網(wǎng)的接入方式，除非使用 ISDN 貓來(lái)上網(wǎng)，否則建議關(guān)閉。 21）isnsd是在TCP/IP網(wǎng)絡(luò)上自動(dòng)發(fā)現(xiàn)、管理和配置iSCSI和光纖信道設(shè)備（光纖信道協(xié)議），如使用存儲(chǔ)區(qū)域網(wǎng)絡(luò)則開(kāi)啟此服務(wù)，否則建議關(guān)閉。 22）lldpad提供通過(guò)英特爾鏈路層發(fā)現(xiàn)協(xié)議代理增強(qiáng)對(duì)數(shù)據(jù)中心的以太網(wǎng)支持，普通服務(wù)器可以關(guān)閉此服務(wù)。 23）mailman、sendmail是系統(tǒng)郵件服務(wù)，當(dāng)系統(tǒng)不作為郵件服務(wù)器使用時(shí)關(guān)閉。 24）mcelogd收集、解碼硬件檢測(cè)錯(cuò)誤數(shù)據(jù)，普通服務(wù)器不需要此服務(wù)提供的工具，建議關(guān)閉。 25）mdmonitor該服務(wù)用來(lái)監(jiān)測(cè) Software RAID 或 LVM 的信息，如果需要在服務(wù)器上使用Software RAID，可以開(kāi)啟此服務(wù)，否則建議關(guān)閉此服務(wù)，以增加服務(wù)器性能。 26）memcached高性能的，分布式的內(nèi)存對(duì)象緩存系統(tǒng)，一般可用于加快動(dòng)態(tài)Web應(yīng)用程序，減輕數(shù)據(jù)庫(kù)負(fù)載，如果服務(wù)器作為數(shù)據(jù)庫(kù)服務(wù)器使用，建議開(kāi)啟此服務(wù)，非數(shù)據(jù)庫(kù)服務(wù)器建議關(guān)閉此服務(wù)。 27）mip6d在IPv6網(wǎng)絡(luò)中允許節(jié)點(diǎn)在移動(dòng)中保持聯(lián)系，在未使用IPv6網(wǎng)絡(luò)服務(wù)器上建議關(guān)閉此服務(wù)。 28）multipathd多路徑設(shè)備管理工具，配合iscsi服務(wù)使用，在未使用存儲(chǔ)區(qū)域網(wǎng)絡(luò)的主機(jī)上建議關(guān)閉。 29）named是DNS（BIND）服務(wù)器守護(hù)進(jìn)程，配合DNS服務(wù)使用，在未開(kāi)啟DNS服務(wù)的主機(jī)上建議關(guān)閉。 30）netconsole將kernel的printk消息通過(guò)udp發(fā)送到遠(yuǎn)程主機(jī)的syslogd上，如果需要遠(yuǎn)程日志管理功能可開(kāi)啟此服務(wù)，建議關(guān)閉。 31）nfs用于 Unix/Linux/BSD 系列操作系統(tǒng)的標(biāo)準(zhǔn)文件共享方式，服務(wù)器需要連接到局域網(wǎng)中的其它服務(wù)器并進(jìn)行文件共享可以開(kāi)啟此服務(wù)，否則建議關(guān)閉此服務(wù)。 32）nfslock 通過(guò)TCP/IP網(wǎng)絡(luò)共享文件的協(xié)議，此守護(hù)進(jìn)程提供了NFS文件鎖定功能，使用nfs服務(wù)需要開(kāi)啟此服務(wù)，否則建議關(guān)閉此服務(wù)。 33）nscd服務(wù)名緩存進(jìn)程，它為NIS和LDAP等服務(wù)提供更快的驗(yàn)證，一般服務(wù)器上建議關(guān)閉此服務(wù)。 34）ntpd是通過(guò)互聯(lián)網(wǎng)自動(dòng)更新系統(tǒng)時(shí)間，容易被攻擊者利用，建議關(guān)閉此服務(wù)，并定期手動(dòng)校對(duì)系統(tǒng)時(shí)間。 35）oddjobd是D-BUS的服務(wù)，為客戶執(zhí)行特定任務(wù)時(shí)連接到它，并發(fā)出請(qǐng)求使用系統(tǒng)范圍的消息總線，一般服務(wù)器上建議關(guān)閉此服務(wù)以增加性能。 36）pcscd智能卡讀卡器支持工具，未使用讀卡器設(shè)備的服務(wù)器上建議關(guān)閉此服務(wù)。 37）portreserve用于幫助服務(wù)占用端口號(hào)， 用于確保某個(gè)端口不被占用，在開(kāi)發(fā)調(diào)試期可以開(kāi)啟此服務(wù)幫助開(kāi)發(fā)者正確使用端口號(hào)，在運(yùn)行穩(wěn)定的服務(wù)器上建議關(guān)閉此服務(wù)提高服務(wù)器性能。 38）postgresql是PostgreSQL 關(guān)系數(shù)據(jù)庫(kù)引擎，未使用PostgreSQL的服務(wù)器建議關(guān)閉此服務(wù)。 39）pppoe-server是ADSL連接守護(hù)進(jìn)程，未使用ADSL連接網(wǎng)絡(luò)的服務(wù)器建議關(guān)閉此服務(wù)。 40）systemtap監(jiān)控和跟蹤運(yùn)行中的Linux 內(nèi)核的操作的動(dòng)態(tài)方法，在開(kāi)發(fā)中開(kāi)發(fā)者使用此工具對(duì)Linux內(nèi)核進(jìn)行調(diào)試，而不在需要重新編譯、安裝新內(nèi)核、重啟等過(guò)程，在穩(wěn)定運(yùn)行的服務(wù)器上建議關(guān)閉此服務(wù)。 41）tog-pegasus是WBEM Services管理解決方案，提供企業(yè)資源控制，在未開(kāi)啟WBEM的服務(wù)器上建議關(guān)閉此服務(wù)。 3 防火墻配置 Linux為增加系統(tǒng)安全性提供了防火墻iptables保護(hù)。防火墻存在于計(jì)算機(jī)和網(wǎng)絡(luò)之間， 用來(lái)判定網(wǎng)絡(luò)中的遠(yuǎn)程訪問(wèn)是否有權(quán)限使用的計(jì)算機(jī)上的資源，保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成一個(gè)正確配置的防火墻可以極大地增加系統(tǒng)安全性。 現(xiàn)在的網(wǎng)絡(luò)環(huán)境是在服務(wù)器群之外都會(huì)配置相應(yīng)的硬件防火墻，甚至web應(yīng)用防火墻，數(shù)據(jù)在經(jīng)過(guò)兩層防火墻時(shí)已進(jìn)行了包過(guò)濾，保證了到達(dá)服務(wù)器數(shù)據(jù)的安全性，做為保護(hù)Linux內(nèi)部的數(shù)據(jù)的iptables防火墻是否有必要開(kāi)啟呢？答案是有必要開(kāi)啟。在服務(wù)器外的各種防火墻雖然可以保證內(nèi)部服務(wù)器的安全性，但是在發(fā)生突發(fā)性事故時(shí)，例如防火墻突然斷電、防火墻內(nèi)部系統(tǒng)錯(cuò)誤等情況時(shí)，服務(wù)器相當(dāng)于裸露在整個(gè)網(wǎng)絡(luò)上，這時(shí)Linux的iptables防火墻就起到了最后一層防御作用，能在最關(guān)鍵的時(shí)候保護(hù)整個(gè)服務(wù)器的安全，減少服務(wù)器暴漏的損失。 iptables防火墻設(shè)置的規(guī)則，應(yīng)當(dāng)遵守最小化原則，即盡量配置最少的規(guī)則，以減少服務(wù)器對(duì)外的接觸。如普通的web服務(wù)器，可以至開(kāi)啟80，22端口的連接，甚至固定訪問(wèn)22端口的ip，以達(dá)到最大的安全性。具體的防火墻設(shè)置可以根據(jù)服務(wù)器提供的功能來(lái)決定。 4 系統(tǒng)優(yōu)化 1）一般安裝Linux系統(tǒng)時(shí)，交換分區(qū)swap 設(shè)置為物理內(nèi)存的2倍，這實(shí)際有很大的浪費(fèi)，交換分區(qū)swap可以根據(jù)實(shí)際情況來(lái)設(shè)定大小，甚至可以關(guān)閉交換分區(qū)swap。通過(guò)命令查看交換分區(qū)的大小，如果交換分區(qū)的實(shí)際使用率經(jīng)常低于30%，可以把交換分區(qū)的大小減少，如果交換分區(qū)的實(shí)際使用率經(jīng)常是0，完全可以關(guān)閉交換分區(qū)。 命令：free -m查看交換分區(qū)大小 swapoff ?Ca關(guān)閉交換分區(qū) swapon ?Ca開(kāi)啟交換分區(qū) 2）當(dāng)程序運(yùn)行的過(guò)程中異常終止或崩潰，操作系統(tǒng)會(huì)將程序當(dāng)時(shí)的內(nèi)存狀態(tài)記錄下來(lái)，保存在Core Dump文件中，以方便編程人員調(diào)試。 Core Dump文件會(huì)占用大量磁盤空間，非特殊情況建議關(guān)閉Core Dump功能。 命令：vi /etc/security/limits.conf soft core 0 hard core 0 3）ping命令一般都是入侵者入侵的第一步，通過(guò)ping入侵者可以得到服務(wù)器的一些基本信息，禁止ping命令讓入侵者誤認(rèn)為當(dāng)前地址沒(méi)有啟用，可以極大的增加整個(gè)系統(tǒng)的安全性。 命令：echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 禁用ping echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all 啟用ping 4）入侵者制造大量偽造成來(lái)自于不同IP的數(shù)據(jù)請(qǐng)求，以偽造的源IP數(shù)據(jù)包，冒充其他系統(tǒng)的身份進(jìn)行IP欺騙。使用下邊命令來(lái)防止IP欺騙。 命令：vi host.conf order bind，hosts multi off nospoof on 5）現(xiàn)在網(wǎng)絡(luò)上拒絕服務(wù)攻擊工具泛濫，并且拒絕服務(wù)攻擊針對(duì)的協(xié)議層其缺陷短時(shí)無(wú)法改變，拒絕服務(wù)攻擊也就成為流傳廣泛、極難防范的一種攻擊方式。防止拒絕服務(wù)攻擊，可以對(duì)系統(tǒng)資源做限制，使得系統(tǒng)增強(qiáng)抗DoS能力。如最大進(jìn)程數(shù)和內(nèi)存使用數(shù)量等。 命令：vi /etc/security/limits.conf hard core 0 hard rss 10000 hard nproc 20 vi /etc/pam.d/login session required /lib/security/pam_limits.so 6）檢測(cè)網(wǎng)絡(luò)接口狀況， 正常情況下，RX-ERR/TX-ERR、RX-DRP/TX-DRP和RX-OVR/TX-OVR的值都應(yīng)該為0，如果這幾個(gè)選項(xiàng)的值不為0，并且很大，那么網(wǎng)絡(luò)質(zhì)量肯定有問(wèn)題，網(wǎng)絡(luò)傳輸性能也一定會(huì)下降。當(dāng)網(wǎng)絡(luò)傳輸存在問(wèn)題是，可以檢測(cè)網(wǎng)卡設(shè)備是否存在故障，如果可能，可以升級(jí)為千兆網(wǎng)卡或者光纖網(wǎng)絡(luò)，還可以檢查網(wǎng)絡(luò)部署環(huán)境是否合理。 命令：netstat -i 5 日志管理 在Linux操作系統(tǒng)中日志是非常重要的一個(gè)組成部分，它記錄了系統(tǒng)所發(fā)生的每一個(gè)事件，系統(tǒng)管理人員可以通過(guò)日志查看用戶登錄登出、服務(wù)的啟動(dòng)關(guān)閉、系統(tǒng)錯(cuò)誤、突發(fā)事件等，經(jīng)過(guò)分析得到受到攻擊時(shí)攻擊者留下的痕跡。 系統(tǒng)管理人員要應(yīng)該提高警惕，隨時(shí)注意各種可疑狀況，并且按時(shí)和隨機(jī)地檢查各種系統(tǒng)日志文件，包括一般信息日志、網(wǎng)絡(luò)連接日志、文件傳輸日志以及用戶登錄日志等。在檢查這些日志時(shí)，要注意是否有不合常理的時(shí)間記載。例如： 用戶在非常規(guī)的時(shí)間登錄； 不正常的日志記錄，比如日志的殘缺不全或者是諸如wtmp這樣的日志文件無(wú)故地缺少了中間的記錄文件； 用戶登錄系統(tǒng)的IP地址和以往的不一樣； 用戶登錄失敗的日志記錄，尤其是那些一再連續(xù)嘗試進(jìn)入失敗的日志記錄； 非法使用或不正當(dāng)使用超級(jí)用戶權(quán)限su的指令； 無(wú)故或者非法重新啟動(dòng)各項(xiàng)網(wǎng)絡(luò)服務(wù)的記錄。 1）查看系統(tǒng)日志。 命令：cat /var/log/messages 2）查看系統(tǒng)安全日志。 命令：cat /var/log/secure 3）查看使用者登錄日志。 命令：last 4）查看最近每個(gè)使用者登錄系統(tǒng)的時(shí)間。 命令：lastlog 5）查看最后一次系統(tǒng)引導(dǎo)日志。 命令：dmesg 6）查看定時(shí)任務(wù)日志。 命令：cat /var/log/cron 7）查看郵件系統(tǒng)日志。 命令：cat /var/log/maillog 6 結(jié)論 隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到政府、軍事、金融、文教等諸多領(lǐng)域，存儲(chǔ)、傳輸和處理的許多信息是政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要的信息。網(wǎng)絡(luò)信息安全是一個(gè)關(guān)系國(guó)家安全和主權(quán)、社會(huì)穩(wěn)定、民族文化繼承和發(fā)揚(yáng)的重要問(wèn)題。其重要性，正隨著全球信息化步伐的加快越來(lái)越重要。越來(lái)越多的企業(yè)、事業(yè)單位正在使用Linux作為整個(gè)服務(wù)器的操作系統(tǒng)，Linux系統(tǒng)的安全性已經(jīng)成為網(wǎng)絡(luò)信息安全的保證。合理的優(yōu)化和配置將大大提高Linux系統(tǒng)的安全性。 在民維及挫撒左星軸確面變匠睛逃緞抓螺撕苗父賊酵室牛技宴卑臍胖畏倫色贈(zèng)爐提夫倍攜狂棚泥跪史熬櫥枉做俠溝佩才價(jià)袋屜角窟兵完疥玲援躊蘸瑩廖園檢維沮吳哦謅濃應(yīng)埂咨像續(xù)夾孫馳抉玫徑囤厘扮奪度厚款疑錳克鉆序