文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

怎么让Linux工作站变得更加牢固

2023-06-27 11:40

关注

这篇文章主要为大家展示了“怎么让Linux工作站变得更加牢固”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“怎么让Linux工作站变得更加牢固”这篇文章吧。

对每个系统管理员来说,以下是应该采取的一些必要步骤:

  • 1.一律禁用Firewire和Thunderbolt模块。
  • 2.检查防火墙,确保所有入站端口已被过滤。
  • 3.确保root邮件转发到你核查的帐户。
  • 4.设立操作系统自动更新时间表,或者更新提醒内容。

此外,你还应该考虑其中一些最好采取的步骤,进一步加固系统:

  • 1.核查以确保sshd服务在默认情况下已被禁用。
  • 2.设置屏幕保护程序,在闲置一段时间后自动锁定。
  • 3.安装logwatch。
  • 4.安装和使用rkhunter
  • 5.安装入侵检测系统
怎么让Linux工作站变得更加牢固

1. 把相关模块列入黑名单

想把Firewire和Thunderbolt模块列入黑名单,将下列几行添加到/etc/modprobe.d/blacklist-dma.conf中的文件:

blacklist firewire-coreblacklist thunderbolt

一旦系统重启,上述模块就会被列入黑名单。即便你没有这些端口,这么做也没有什么危害。

2. root邮件

默认情况下,root邮件完全保存在系统上,往往从不被读取。确保你设置了/etc/aliases,将root邮件转发到你实际读取的邮箱,不然就有可能错过重要的系统通知和报告:

# Person who should get root’s mailroot:           bob@example.com

这番编辑后运行newaliases,对它测试一番,确保邮件确实已送达,因为一些电子邮件提供商会拒绝从根本不存在的域名或无法路由的域名发来的电子邮件。如果是这种情况,你需要调整邮件转发配置,直到这确实可行。

3. 防火墙、sshd和侦听守护进程

默认的防火墙设置将依赖你的发行版,但是许多允许入站sshd端口。除非你有一个充足而正当的理由允许入站ssh,否则应该将这个过滤掉,禁用sshd守护进程。

systemctl disable sshd.servicesystemctl stop sshd.service

如果你需要使用它,总是可以暂时启动它。

通常来说,你的系统除了响应ping外,应该没有任何侦听端口。这将有助于你防范网络层面的零日漏洞。

4. 自动更新或通知

建议开启自动更新,除非你有非常充足的理由不这么做,比如担心自动更新会导致你的系统无法使用(这种事之前发生过,所以这种担心并非毫无根据)。起码,你应该启用自动通知可用更新的机制。大多数发行版已经让这项服务自动为你运行,所以你很可能没必要进行任何操作。查阅发行版的说明文档,了解更多内容。

5. 查看日志

你应该密切关注系统上发生的所有活动。由于这个原因,应该安装logwatch,并对它进行配置,以便每晚发送活动报告,表明系统上发生的一切活动。这防止不了全身心投入的攻击者,却是一项很好的安全网功能,有必要部署。

请注意:许多systemd发行版不再自动安装logwatch需要的syslog服务器(那是由于systemd依赖自己的日志),所以你需要安装和启用rsyslog,确保/var/log在logwatch具有任何用途之前不是空的。

6. rkhunter和IDS

除非你切实了解工作原理,并且采取了必要的步骤进行合理的设置(比如将数据库放在外部介质上,从可信任的环境运行检查,执行系统更新和配置变更后记得更新哈希数据库,等等),否则安装rkhunter以及aide或tripwire之类的入侵检测系统(IDS)不是很有用。如果你不愿意采取这些步骤、调整在自己的工作站上执行任务的方式,这些工具只会带来麻烦,没有任何实际的安全好处。

我们确实建议你应当安装rkhunter、在晚上运行它。它学习和使用起来相当容易;虽然它发现不了狡猾的攻击者,但是可帮助你发现自己的错误。

以上是“怎么让Linux工作站变得更加牢固”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注编程网行业资讯频道!

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-人工智能
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯