確保 Linux 服務器安全小技巧有哪些

確保Linux服務器安全小技巧如下：

• 物理系統的安全性：配置BIOS，禁用從CD/DVD、外部設備、軟驅啟動。下一步，啟用BIOS密碼，同時啟用GRUB的密碼保護，這樣可以限制對系統的物理訪問。通過設置GRUB密碼來保護Linux服務器。

• 磁盤分區：使用不同的分區很重要，對于可能得災難，這可以保證更高的數據安全性。通過劃分不同的分區，數據可以進行分組并隔離開來。當意外發生時，只有出問題的分區的數據才會被破壞，其他分區的數據可以保留下來。

• 最小包安裝，最少漏洞：建議不要安裝無用的包，避免由這些包帶來的漏洞。這將最小化風險，因為一個服務的漏洞可能會危害到其他的服務。找到并去除或者停止不用的服務，把系統漏洞減少到最小。

• 檢查網絡監聽端口：在網絡命令netstat的幫助下，你將能夠看到所有開啟的端口，以及相關的程序。

• 使用 SSH(Secure Shell)：Telnet 和 rlogin 協議只能用于純文本，不能使用加密的格式，這或將導致安全漏洞的產生。SSH 是一種在客戶端與服務器端通訊時使用加密技術的安全協議。除非必要，永遠都不要直接登錄 root 賬戶。使用“sudo”執行命令。sudo 由 /etc/sudoers 文件制定，同時也可以使用“visudo”工具編輯，它將通過 VI 編輯器打開配置文件。同時，建議將默認的 SSH22端口號改為其他更高的端口號。打開主要的 SSH 配置文件并做如下修改，以限制用戶訪問。

• 保證系統是最新的：得一直保證系統包含了最新版本的補丁、安全修復和可用內核。

• 鎖定 Cron任務：Cron有它自己內建的特性，這特性允許定義哪些人能哪些人不能跑任務。這是通過兩個文件/etc/cron.allow 和/etc/cron.deny 控制的。要鎖定在用Cron的用戶時可以簡單的將其名字寫到corn.deny里，而要允許用戶跑cron時將其名字加到cron.allow即可。如果要禁止所有用戶使用corn，那么可以將“ALL”作為一行加到cron.deny里。

• 禁止USB探測：很多情況下我們想去限制用戶使用USB，來保障系統安全和數據的泄露。建立一個文件‘/etc/modprobe.d/no-usb‘并且利用下面的命令來禁止探測USB存儲。

• 打開SELinux：SELinux(安全增強linux)是linux內核提供的一個強制的訪問控制安全機制。禁用SELinux意味著系統丟掉了安全機制。要去除SELinux之前仔細考慮下，如果系統需要發布到網絡，并且要在公網訪問，就要更加注意一下。

• 移除KDE或GNOME桌面：沒必要在專用的LAMP服務器上運行X Window桌面比如KDE和GNOME。可以移掉或關閉它們，以提高系統安全性和性能。打開/etc/inittab然后將run level改成3就可以關閉這些桌面。

• 關閉IPv6：如果不用IPv6協議，那就應該關閉掉它，因為大部分的應用和策略都不會用到IPv6，而且當前它不是服務器必需的。

• 限制用戶使用舊密碼：如果你不希望用戶繼續使用老密碼，這一條很有用。老的密碼文件位于 /etc/security/opasswd。

• 手動鎖定或解鎖用戶賬號：鎖定和解鎖功能是非常有用的，可以鎖定一個賬號一周或一個月，而不是將這個賬號從系統中剔除。

• 增強密碼：有相當數量的用戶使用很弱智的密碼，他們的密碼都可以通過字典攻擊或者暴力攻擊攻破。‘pam_cracklib‘模塊存于在PAM 中，它可以強制用戶設置復雜的密碼。

• 啟用防火墻：高度推薦啟用linux防火墻來禁止非法程序訪問。使用iptable的規則來過濾入站、出站和轉發的包。我們可以針對來源和目的地址進行特定udp/tcp端口的準許和拒絕訪問。

• 禁止Ctrl+Alt+Delete重啟：在大多數的linux發行版中，按下‘CTRL-ALT-DELETE’將會讓你的系統重啟。只說生產服務器上這是不是一個很好的做法，這可能導致誤操作。這個配置是在‘ /etc/inittab‘文件，如果你打開這個文件默認的行已經被注釋掉了。必須注釋掉他。這個特定按鍵會讓系統重啟。

• 檢查空密碼帳號：任何空密碼的賬戶意味這可以讓Web上任何無授權的用戶訪問，這是linux服務器的一個安全威脅。所以，確定所有的用戶擁有一個復雜的密碼并且不存在特權用戶。空密碼帳號是安全風險，可以被輕易的攻克。

• 登錄前顯示SSH提示：在ssh認證時候，使用一個法律和安全警示是很好的建議。

• 監視用戶行為：如果你有很多的用戶，去收集每一個用戶的行為和和他們的進程消耗的信息非常重要。可以隨后和一些性能優化和安全問題處理時進行用戶分析。　有兩個很有用的工具‘psacct‘ 和‘acct‘可以用來監視系統中用戶的行為和進程。這些工具在系統后臺執行并且不斷記錄系統中每一個用戶的行為和各個服務比如Apache, MySQL, SSH, FTP, 等的資源消耗。

• 定期查看日志：將日志移動到專用的日志服務器里，這可避免入侵者輕易的改動本地日志。

• 重要文件備份：在生產環境里，為了災難恢復，有必要將重要文件備份并保存在安全的遠程磁帶保險庫、遠程站點或異地硬盤。

• NIC綁定：有兩種類型的NIC綁定模式，需要在綁定接口用得到。NIC綁定可以幫助我們避免單點失敗。在NIC綁定中，我們把兩個或者更多的網卡綁定到一起，提供一個虛擬的接口，這個接口設置ip地址，并且和其他服務器會話。這樣在一個NIC卡down掉或者由于其他原因不能使用的時候，我們的網絡將能保持可用。

• 保持 /boot只讀：linux內核和他的相關的文件都保存在/boot目下，默認情況下是可以讀寫的。把它設為了只讀可以減少一些由于非法修改重要boot文件而導致的風險。

回答所涉及的環境：聯想天逸510S、Windows 10。