沈立翔

(國網(wǎng)福建省電力有限公司福州供電公司，福建 福州 350000)

淺談Linux服務(wù)器安全防護(hù)部署

沈立翔

(國網(wǎng)福建省電力有限公司福州供電公司，福建 福州 350000)

對Linux系統(tǒng)進(jìn)行簡要介紹，并對其服務(wù)器安全防護(hù)部署提出具體可操作的解決措施。主要體現(xiàn)在用戶權(quán)限配置、系統(tǒng)服務(wù)配置、防火墻配置、系統(tǒng)優(yōu)化和日志管理五個(gè)方面。在用戶權(quán)限配置方面，對用戶、密碼、注銷、權(quán)限提出命令策略；在系統(tǒng)服務(wù)配置方面，對主板、藍(lán)牙、網(wǎng)絡(luò)接口、存儲(chǔ)方面提出解決措施；并提出防火墻應(yīng)盡量保持開啟；以及在系統(tǒng)優(yōu)化配置方面，對交換分區(qū)，網(wǎng)絡(luò)接口優(yōu)化管理，IP標(biāo)識提出優(yōu)化管理策略；并對日志管理提出具體連串的命令。希望本文提出的Linux服務(wù)器安全防護(hù)部署能對實(shí)際運(yùn)用操作提供參考和借鑒價(jià)值。

Linux服務(wù)器；安全；防火墻；系統(tǒng)優(yōu)化

1 引言

Linux是一款相對來講比較開放的源代碼操作系統(tǒng)，它與Windows系統(tǒng)、Mac系統(tǒng)稱為三大操作系統(tǒng)。其中，相比另兩款操作系統(tǒng)，Linux系統(tǒng)具有自身獨(dú)特的特征和功能，它的穩(wěn)定性、開源性、安全性和強(qiáng)大的負(fù)載能力使得它具有明顯不同于Windows系統(tǒng)和Mac系統(tǒng)的特點(diǎn)，而受到強(qiáng)大的用戶群體支持。然而，Linux系統(tǒng)雖然安全，但是也存在著自身的安全漏洞，需要針對其服務(wù)器進(jìn)行必要的安全防護(hù)配置，來增強(qiáng)Linux服務(wù)器的安全性，減少被病毒和黑客攻擊的可能性。具體的安全防護(hù)部署配置體現(xiàn)在用戶權(quán)限配置、系統(tǒng)服務(wù)配置、防火墻配置、系統(tǒng)優(yōu)化和日志管理五個(gè)方面。

2 用戶權(quán)限配置

用戶權(quán)限配置主要是通過一些具體的設(shè)置來提升或者降低用戶進(jìn)入系統(tǒng)的權(quán)限。具體可以從以下六個(gè)方面來進(jìn)行配置。

（1）如果Linux系統(tǒng)存在很多用戶，就要針對不同的用戶進(jìn)行分類和分組，當(dāng)一些用戶經(jīng)常不在使用或者對系統(tǒng)本身構(gòu)成危害時(shí)，就要考慮對這些用戶進(jìn)行刪除和屏蔽操作。較多的用戶對Linux系統(tǒng)本身就構(gòu)成了不安全的因素，所以有必要通過刪除和屏蔽用戶來提升系統(tǒng)安全性。

命令：userdel用戶名

Groupdel用戶組名

（2）用戶登錄Linux系統(tǒng)時(shí)，為了提升系統(tǒng)安全性，常常需要在登錄系統(tǒng)的時(shí)候輸入密碼，而有些用戶設(shè)置的密碼過于簡單，或者是用自己的生日和身份證號作為密碼，往往很容易被破解。所以為了提升系統(tǒng)的安全性，可以在Linux系統(tǒng)中強(qiáng)制要求用戶密碼的長度必須不能小于8位，且必須是數(shù)字，小寫字母和大寫字母的組合。

命令：vi.etc.login.defs

PASS_MAX_DAYS 60

PASS_MIN_LENGTH 8

（3）用戶在使用系統(tǒng)時(shí)，往往會(huì)因?yàn)橛惺露型倦x開一會(huì)，有的會(huì)忘記注銷，而在這段時(shí)間就容易遭到系統(tǒng)侵入，從而對用戶系統(tǒng)產(chǎn)生威脅，所以有必要在系統(tǒng)中設(shè)置用戶在一段時(shí)間沒有操作就采用強(qiáng)制注銷的命令，通過強(qiáng)制注銷來保證用戶自身的數(shù)據(jù)和資料的安全和保障隱私。

命令：vi.etc.profile

TMOUT=300

（4）有些用戶為了自己方面，沒有設(shè)置密碼，這大大增加用戶系統(tǒng)被侵犯和盜取信息的可能性。所以，系統(tǒng)應(yīng)當(dāng)定時(shí)檢測是否存在空密碼的用戶，如果存在的話強(qiáng)行給予更改密碼，對不正常的黑名單用戶將給予直接刪除。

命令：gawk-F‘：’（S=2）{print s1}.etc.shadow

（5）系統(tǒng)中往往存在著root特權(quán)用戶，能對系統(tǒng)直接更改權(quán)限，要定期檢測除了特權(quán)用戶之外是否還有別的用戶，一般來說，一個(gè)Linux系統(tǒng)建議只有一個(gè)root特權(quán)用戶，如果還存在別的特權(quán)用戶的話，需要給予降權(quán)或刪除的方式來保證系統(tǒng)的安全性。

命令：gawk-F‘：’（S=3&&S1！=“root”）{print s1}.etc. password

（6）‘.’路徑在Linux系統(tǒng)中存在安全隱患，黑客往往通過侵入‘.’的方式來侵害系統(tǒng)。所以，要定期刪除系統(tǒng)中設(shè)置的‘.’路徑，而且刪除‘.’路徑對系統(tǒng)的正常運(yùn)行不會(huì)產(chǎn)生影響。

命令：echo PATH

3 系統(tǒng)服務(wù)配置

Linux系統(tǒng)中存在著一系列的服務(wù)進(jìn)程，是Linux中不可缺少的組成部分，這些進(jìn)程支持Linux系統(tǒng)的正常運(yùn)行，但是在實(shí)際運(yùn)行的過程中這些服務(wù)進(jìn)程并不是每一個(gè)都要開啟的，這不僅會(huì)拖慢系統(tǒng)運(yùn)行的速度，而且也會(huì)增大系統(tǒng)資源占用，加大系統(tǒng)的安全隱患。所以在具體運(yùn)行中，一些服務(wù)進(jìn)程可以關(guān)閉，以下介紹可以關(guān)閉的系統(tǒng)服務(wù)：

（1）apmd是在BIOS主板中的高級電源管理服務(wù)，可以用來自動(dòng)檢測電池電量，當(dāng)電池出現(xiàn)電量較低的問題時(shí)，可以通過自動(dòng)關(guān)機(jī)來保護(hù)電腦的數(shù)據(jù)和主機(jī)硬件。但是對于機(jī)房的電腦來說，一般不存在電量不足的問題，所以對于這個(gè)功能可以關(guān)閉服務(wù)，從而減少對系統(tǒng)資源的占用。

（2）Bluetooth是系統(tǒng)中的藍(lán)牙設(shè)備，一般是針對筆記本設(shè)備來連接平板電腦和手機(jī)的，但是一般在服務(wù)器的機(jī)房中是不會(huì)用到這個(gè)功能，所以可以直接關(guān)閉。

（3）arpwatch記錄日志是通過構(gòu)建一個(gè)在LAN接口看到的以太網(wǎng)地址和IP地址，然后建立在數(shù)據(jù)庫的基礎(chǔ)上，配合arptables使用，就可以起到保護(hù)系統(tǒng)的作用。但是在機(jī)房的電腦中，服務(wù)器的外圍一般都會(huì)有設(shè)立硬件防火墻來保障整個(gè)機(jī)房和服務(wù)器的安全，所以此程序用處不大，建議關(guān)閉。

（4）memcached是高性能的緩存裝載系統(tǒng)，開啟后可以加快動(dòng)態(tài)web應(yīng)用程序，減輕數(shù)據(jù)庫的負(fù)載。如果服務(wù)器中有數(shù)據(jù)庫服務(wù)器作為緩存，那么強(qiáng)烈建議開啟此服務(wù)，如果沒有數(shù)據(jù)庫服務(wù)器，那就沒有必要開啟。

4 防火墻配置

防火墻是保護(hù)系統(tǒng)最直接有效的配置，Linux系統(tǒng)也不例外。在Linux系統(tǒng)中，防火墻為iptables保護(hù)程序，存在于計(jì)算器和網(wǎng)絡(luò)之間，通過判斷網(wǎng)絡(luò)中的遠(yuǎn)程訪問途徑是否使用和侵犯了計(jì)算機(jī)中的資源，來判斷是否給予攔截。防火墻一般由驗(yàn)證工具、服務(wù)器訪問規(guī)則、包過濾和應(yīng)用網(wǎng)關(guān)四個(gè)部分構(gòu)成。

現(xiàn)在的網(wǎng)絡(luò)環(huán)境安全性能較高，一般是在服務(wù)器群之外都會(huì)配置相應(yīng)的硬件防護(hù)防火墻，甚至有的還配置Web防火墻，也就是數(shù)據(jù)在經(jīng)過兩層防火墻的時(shí)候已經(jīng)經(jīng)過了雙重過濾，一般來說這樣的數(shù)據(jù)對系統(tǒng)已經(jīng)基本構(gòu)不成威脅。但是，為預(yù)防突發(fā)性事故的發(fā)生，防火墻iptables程序的開啟是有其必要性的。例如服務(wù)器群組外的硬件防火墻突然斷電、防火墻內(nèi)部的系統(tǒng)出現(xiàn)錯(cuò)誤，系統(tǒng)崩潰等一系列問題，在這種情況下，Linux系統(tǒng)中的iptables防火墻就起到了應(yīng)有的作用，能夠在其他防火墻功能都缺失的情況下，采取最后一道防線來保護(hù)系統(tǒng)，在最重要和關(guān)鍵的時(shí)候保護(hù)整個(gè)服務(wù)器的安全，減少服務(wù)器不必要的數(shù)據(jù)損失。

5 系統(tǒng)優(yōu)化

在裝好Linux系統(tǒng)時(shí)，有必要對系統(tǒng)進(jìn)行優(yōu)化和瘦身，從而保證系統(tǒng)的效率運(yùn)行。可以從以下六個(gè)方面來對系統(tǒng)進(jìn)行優(yōu)化。

（1）交換分區(qū)是Linux系統(tǒng)中一個(gè)重要的功能，其初衷是為了通過設(shè)置物理內(nèi)存和虛擬內(nèi)存的容量，來提高系統(tǒng)運(yùn)行的效率，往往是通過將交換分區(qū)swap設(shè)置為物理內(nèi)存的1.5-2倍，但是在實(shí)際使用過程中，往往用不到那么多的內(nèi)存，這不僅會(huì)產(chǎn)生很大的浪費(fèi)，還會(huì)拖慢系統(tǒng)運(yùn)行速度，增大系統(tǒng)的能耗。所以，在實(shí)際使用中，要觀察系統(tǒng)實(shí)際的使用率，如果實(shí)際使用率低于35%，就可以將swap設(shè)置關(guān)閉，從而提高系統(tǒng)的運(yùn)行效率。

命令：free–m查看交換分區(qū)情況

swapoff-a關(guān)閉交換分區(qū)

swapon-a開啟交換分區(qū)

（2）網(wǎng)絡(luò)接口優(yōu)化管理。正常情況下，網(wǎng)絡(luò)接口會(huì)通過RX-ERR,TX-ERR,RX-DRP.TX-DRP,TX-OVR和RX-OVR等端口來優(yōu)化，其端口值一般為0，如果在使用中發(fā)現(xiàn)這幾個(gè)選項(xiàng)不是0值，且數(shù)值變動(dòng)相差很大，那么就可以斷定網(wǎng)絡(luò)質(zhì)量存在問題，網(wǎng)絡(luò)性能有可能下降，有必要對網(wǎng)絡(luò)接口進(jìn)行檢查?？梢允紫葯z查硬件設(shè)備，例如網(wǎng)絡(luò)接口是否連接良好，網(wǎng)卡驅(qū)動(dòng)是否正常，如果網(wǎng)絡(luò)硬件沒有問題，就要進(jìn)一步檢查軟件，檢查網(wǎng)絡(luò)部署內(nèi)部和外部環(huán)境是否合理。

命令：netstat

（3）緩存內(nèi)存處理與保存。Linux系統(tǒng)雖然較為穩(wěn)定，但是在運(yùn)行過程中依然會(huì)出現(xiàn)突然崩潰、假死和重啟的情況，這時(shí)操作系統(tǒng)就會(huì)自動(dòng)緩存程序當(dāng)前運(yùn)行的臨時(shí)數(shù)據(jù)，保存在系統(tǒng)的Core Dump文件中，方便用戶再次重啟系統(tǒng)時(shí)保存尚未儲(chǔ)存的數(shù)據(jù)?？墒荂ore Dump文件會(huì)占用大量的存儲(chǔ)空間，拖慢系統(tǒng)的速度，所以，在系統(tǒng)正常的時(shí)候，可以將Core Dump文件關(guān)閉。

命令：vi.Etc.security.limuts.conf

Soft core 0

Hard core 0

（4）電腦的IP是電腦的身份標(biāo)識，黑客和入侵者往往會(huì)偽造成用戶電腦的IP來侵入用戶的系統(tǒng)，同時(shí)為了防止被用戶發(fā)現(xiàn)，偽造大量的源IP數(shù)據(jù)包，再通過侵入用戶的系統(tǒng)對其他用戶的系統(tǒng)進(jìn)行進(jìn)一步的IP詐騙。因此，用戶需要在系統(tǒng)中采取措施防止IP詐騙。

命令：vi host.Conf

Order bind,hosts

Multi off

Nospoof on

6 日志管理

在Linux操作系統(tǒng)中，日志是非常重要的一個(gè)組成部分，它記錄了系統(tǒng)發(fā)生的每一個(gè)事件，在系統(tǒng)發(fā)生問題的時(shí)候，管理人員可以通過查看日志來了解系統(tǒng)的每一個(gè)程序記錄，通過分析這些記錄進(jìn)一步了解系統(tǒng)是怎樣被入侵的，以及系統(tǒng)該采取怎樣的措施進(jìn)行防御。

命令：cat.war.log.messages查看系統(tǒng)日志

cat.war.log.secure查看系統(tǒng)安全日志

last查看使用者登錄日志

lastlog查看最近每個(gè)使用者登錄系統(tǒng)的時(shí)間

dmesg查看最后一次系統(tǒng)引導(dǎo)日志

cat.var log.cron查看定時(shí)任務(wù)日志

cat.var.log.maillog查看郵件系統(tǒng)日志

7 結(jié)語

當(dāng)今社會(huì)是信息技術(shù)高速發(fā)展的社會(huì)，信息對各行各業(yè)乃至整個(gè)國家的發(fā)展至關(guān)重要。完善的信息基礎(chǔ)設(shè)施和信息網(wǎng)絡(luò)，是社會(huì)發(fā)展的重要保證。而信息網(wǎng)絡(luò)則是需要完善穩(wěn)定的系統(tǒng)作為支撐，Linux系統(tǒng)具有自身獨(dú)特的穩(wěn)定性與安全性，越來越多的企業(yè)、單位和個(gè)人都開始使用Linux系統(tǒng)。在Linux系統(tǒng)正常運(yùn)行的時(shí)候，通過采取多種措施進(jìn)行安全防護(hù)部署，可以有效提升系統(tǒng)的安全性。希望本文提出的諸多安全措施能夠?qū)inux服務(wù)器實(shí)際操作起到參考和借鑒作用。

[1]蔡德明．鳥哥的Li n u x私房菜服務(wù)器篇[M]．3版．北京：人民郵電出版社，2 0 10．

[2]黃楓．Li n u x服務(wù)器安全配置策略[J]．華南金融電，2 0 0 6(12)：15-18．

[3]A r o nH s i a o．Li n u x系統(tǒng)安全基礎(chǔ)[M]．北京：人民郵電出版社，2 0 0 8．

[4]黃楓．Li n u x網(wǎng)絡(luò)安全問題的探討及其解決策略[J]．北京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2 0 0 4(3)：2 5-2 8．

The Security of Linux Server Deployment

Shen Lixiang
(Fuzhou Power Supply Company,State Grid Fujian Electric Power Co.Ltd.,Fuzhou 350000,Fujian)

This paper briefly introduces the Linux system,and puts forward some specific measures to solve the security of the server.It includes five aspects:user rights configuration,system service configuration,firewall configuration,system optimization and log management.In the user configuration,the order strategies of user,password,logout and permissions are proposed;in the service configuration,the solutions of the motherboard,Bluetooth,network interface and storage are put forward;it is proposed that the firewall should be kept open;in the system optimization,the optimization strategies of the swap partition,management interface network and IP logo are proposed;it puts forward a series of commands in the log management.It is hoped that the Linux server security and deployment discussed in this paper can provide reference for practical operation.

Linux server;security;firewall;system optimization

TP393.08；TP316.81

A

1008-6609(2016)11-0050-03

沈立翔（19 8 9-），男，福建長泰人，研究生，中級工程師，研究方向?yàn)樾畔⒐こ?、信息技術(shù)。