现在市场上的肉鸡价格非常低,有时候就几毛钱,但是一旦被肉鸡,网站管理者那种痛苦是其他人体会不到的,所以如何为网站打造一个铜墙铁壁的后院是运营人员首先考虑的问题,因为你做的再多的需求,拉来再多的流量,突然在某个时刻网站被攻击并沦为肉鸡或靶子,那么这期间投入的成本基本就打水漂了,所以网站安全性在我心中始终是作为重要且紧急的事项来处理的。
linux作为很多网站的基本操作系统,redhat linux又是最流行的,并且度娘上有很多鱼目混杂的优化和安全性配置所谓的宝典,有的起作用,有的没作用,所以还是根据实际情况有选择的进行安全壁垒的构建,权衡利弊(更安全意味着操作更不方便)来实施。
一、用户管理
在 Linux系统中,用户帐号是用户的身份标志,它由用户名和用户口令组成。系统将输入的用户名存放在/etc/passwd文件中,而将输入的口令
以加密的形式存放在/etc/shadow文件中。在正常情况下,这些口令和其他信息由操作系统保护,能够对其进行访问的只能是超级用户(root)和
操作系统的一些应用程序。但是如果配置不当或在一些系统运行出错的情况下,这些信息可以被普通用户得到。进而,不怀好意的用户就可以
使用一类被称为“口令破解”的工具去得到加密前的口令。
默认情况下,linux系统在安装的时候会有一些默认账户,这些账户常被黑客利用来工具服务器,删除它们就相当于关闭通往后院的所有的门,至少可以起到最基本的防贼作用,减少受攻击的机会。
易被利用的默认账户:
userdel adm
userdel lp
userdel SYNc
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
易被利用的默认账户组:
groupdel admgroupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
二、密码设置
密码就向大门的要是,虽然第一步把大部分的门都关闭了,但是也不能一个门不留,否则自己也进不去了,那给自己留的门的密码就是至关重要的了,身边的同时多数以为设置的密码够长够复杂了,但是黑客利用工具软件破解却不需要太长的时间,所以密码的设置一定不要有规律可循,一定要包含各种数字字母及特殊字符的组合,一定要足够长,密码长度的限制、有效期及过期警告都可以在配置文件中(/etc/login.defs)设置:
vi /etc/login.defs
PASS_MAX_DAYS 99999 ##密码设置最长有效期(默认值)PASS_MIN_DAYS 0 ##密码设置最短有效期
PASS_MIN_LEN 8 ##设置密码最小长度
PASS_WARN_AGE 7 ##提前多少天警告用户密码即将过期。
三、自动注销账户
在Linux系统中root账户是具有最高特权的,如果系统管理员在离开系统之前忘记注销root账户,那将会带来很大的安全隐患,应该让系统会自动注销。通过修改账户中“TMOUT”参数,可以实现此功能。TMOUT按秒计算。编辑你的profile文件(vi /etc/profile),在"HISTSIZE="后面加入下面这行:
TMOUT=300 (5分钟)
然后通过命令source /etc/profile 使设置生效。
四、给密码存放文件加锁
假如黑客进入系统我们最怕的不是他把网址攻击瘫痪了,而是怕他把钥匙和锁给换了你再也进不去了。所以得想办法不让其把密码改掉。
chattr +i /etc/passwdchattr +i /etc/shadow
chattr +i /etc/gshadow
chattr +i /etc/group
以上命令是给所有和密码相关的文件加上了锁
chattr -i /etc/passwdchattr -i /etc/shadow
chattr -i /etc/gshadow
chattr -i /etc/group
附上解锁命令
chattr是改变文件属性的命令,参数i代表不得任意更动文件或目录,此处的i为不可修改位(immutable)。查看方法:lsattr /etc/passwd四、修改ssh连接端口
SSH默认的端口是22,很多新手都不该直接用默认,无形中给黑客可乘之机,大大减少破解的时间,那么如何修改ssh服务的登陆端口呢?
vi /etc/ssh/sshd_config将#Port 22的注释去掉,并改成你认为安全的端口,比如50400等,让后重启ssh服务/etc/init.d/sshd restrat使其生效
注意这块修改一定要谨慎,否则可能你自己也进不去了
未完待续……
- 上一篇: 如何培养独当一面的能力
- 下一篇: 某网站负载均衡实战
评论