众所周知,Linux系统相对于windows来说是相当安全的,但是只是相对而言。作为一款操作系统,即便是Linux系统也不能保证安全就是百分之百的,只要连接到网络上,那么就意味着它需要采取安全措施。
因此,我们需要注意下面的内容。本文就给出了五项关键的安全要诀。
1:密切关注密钥环
很多人认为,这项操作是非常烦琐的。在登录到计算机上,并请求一条到网络(或轻量级目录访问协议(LDAP) 服务器 之类)上的链接后,必须输入你的密钥环密码。禁用该功能给用户带来了非常大的诱惑,你只要使用内容为空的密码并忽视警告信息即可,这样的话,就可以传输未加密的信息(包括密码在内)。这可不是一个好主意。尽管你可能认为这项功能是一项麻烦的事情,但它的存在是有原因的,可以对通过网络传输的密码进行加密,防止泄露。
2:强制更新用户密码
当你在运行一个多用户环境(Linux系统用户习惯这样做)时,应该确保每位用户都经常更新自己的密码。为了达到这一目的,你需要用到chage命令。利用sudo chage -l 用户名(这里的用户名指的是你希望进行检查的用户名称)命令,你可以了解用户密码是否到期的情况。举例来说,你希望设定用户的密码已经到期,需要他在下次登录时更新。为了做到这一点,你可以输入命令sudo chage -E EXPLICIT_EXPIRATION_DATE -m MINIMUM_AGE -M MAXIMUM_AGE -I INACTIVITY_PERIOD -W DAYS_BEFORE_EXPIRATION(命令中所有大写部分都是用户定义的)。如果你希望了解关于该命令更详细信息的话,可以参阅手册页。
3:不要盲目禁用安全增强Linux系统子系统
类似密钥环,安全增强Linux系统子系统的存在也是有原因的。SE代表了增强安全性,它提供了可以对应用访问进行控制的机制。我已经读过大量涉及禁用安全增强Linux系统子系统导致问题的”解决方案”。但从真正解决方案的角度来看,这样做只会导致更多更严重的问题出现。如果某应用不能正常运行,我们要做的应该是调整安全增强Linux系统子系统的策略,以满足需求,而不是禁用安全增强Linux系统子系统。如果你不希望通过命令行进行操作的话,可以选择叫做polgengui的图形界面工具。
4:不要以root身份登录
看起来我经常因为合乎情理的理由违反这条规则。我不能不强调Linux系统用户不应该以root身份登录的重要性。如果你需要对系统进行管理的话,利用普通用户登录,使用su命令,这样比利用root用户使用sudo命令更合理。当你以root用户的身份登录时,就会给安全带来重大的隐患,并且可以访问在普通用户身份登录的情况下通常不会访问的系统和子系统。因此,我不建议这样做。最好的选择是利用经常使用的帐户登录
5:及时进行安全更新
Linux系统和Windows在更新处理方式上有着巨大的差别。对于Windows系统来说,通常情况下,习惯于少量的大规模更新,而使用Linux系统就意味着经常进行较小范围的更新。忽视这些更新没有将安全补丁正确地安装到系统中可能导致灾难性的后果。你必须牢牢记住,这些更新中的一部分实际上是安全补丁,需要立即启用。永远不要忽略表示更新发布情况的图标。如果你使用的是简化无图形界面(GUI-Less)服务器,请确保已经设置了一条计划任务,来检查更新情况,或者每天或每星期手动进行检查。保持最新更新,这样才可以让系统变得更安全。
小提示
现在,你觉得自己的Linux系统变得更安全了么?你应该有这样的感觉,这五条要诀可以让系统安全性上升到一个更高的新水平上。请注意,这不是一份内容完整的列表。这仅仅是一项工作的开始,连接到网络上的计算机的安全状况是处于持续和不断变化的过程中的。但在这些要诀的帮助下,你可以更好地迎接这一挑战。
【编辑推荐】
如何保障linux系统的临时文件安全?
在一个典型的Linux系统中,至少有两个目录或分区保持着临时文件。 其中之一是/tmp目录,再者是/var/tmp。 在更新的Linux内核的系统中,还可能有/dev/shm,它是用tmpfs文件系统装载的。 存储临时文件的目录存在着一个问题,即这些目录可以成为损害系统安全的僵尸和rootkit的温床。 这是因为在多数情况下,任何人(或任何过程)都可以向这些目录写入东西,还有不安全的许可问题。 我们知道都sticky bit,该位可以理解为防删除位。 如果希望用户能够添加文件但同时不能删除文件, 则可以对文件使用sticky bit位。 设置该位后, 就算用户对目录具有写权限, 也不能删除该文件。 多数Linux发行版本在临时目录上设置sticky位,这意味着用户A不能清除属于用户B的一个文件,反之亦然。 但是,根据文件自身的许可,用户A有可能查看并修改那个文件的内容。 一个典型的Linux安装将/tmp设置为mode 1777,这意味着它设置了sticky位,并且可被所有的用户读取、写入、执行。 多数情况下,这如同其设置的安全一样,主要是因为/tmp目录仅仅是一个目录,而不是一个自己的文件系统。 /tmp目录依赖于/分区,这样一来它也就必须遵循其装载选项。 一个更加安全的解决方案可能是将/tmp设置在其自己的分区上,这样一来它就可以独立于/分区装载,并且可以拥有更多的限制选项。 /tmp分区的/etc/fstab项目的一个例子看起来是这样的:/dev/sda7 /tmp ext3 nosuid,noexec,nodev,rw 0 0这就设置了nosuid、noexec、nodev选项,意味着不允许任何suid程序,从这个分区不能执行任何内容,并且不存在设备文件。 你可以清除/var/tmp目录,并创建一个symlink指向/tmp目录,如此一来,/var/tmp中的临时文件就可以利用这些限制性的装载选项。 /dev/shm虚拟文件系统也需要保障其安全,这可以通过改变/etc/fstab而实现。 典型情况下,/dev/shm通过defaults选项加载,对保证其安全性是很不够的。 就像/tmp的fstab一样,它应当具备限制性更强的加载选项:none /dev/shm tmpfs defaults,nosuid,noexec,rw 0 0最后,如果你没有能力在现有的驱动器上创建一个最新的/tmp分区,你可以通过创建一个loopback文件系统来利用Linux内核的loopback特性,这个文件系统可被装载为/tmp,并可以使用相同的限制加载选项。 要创建一个1GB的loopback文件系统,需要执行:# dd if=/dev/zero of=/ bs=1024 count=# mke2fs -j /# cp -av /tmp /# mount -o loop,noexec,nosuid,rw / /tmp# chmod 1777 /tmp# mv -f //* /tmp/# rmdir /一旦完成,需要编辑/etc/fstab,以便于在启动时自动加载loopback文件系统:/ /tmp ext3 loop,nosuid,noexec,rw 0 0保障恰当的许可和使用限制性加裁选项等方法能够防止对系统的许多损害。 如果一个僵尸在一个不能执行的文件系统上安了家,那么它从本质上讲也是不值得担心的。
从哪几方面优化LINUX系统
说起优化,其实最好的优化就是提升硬件的配置,例如提高cpu的运算能力,提高内存的容量,个人认为如果你考虑升级硬件的话,建议优先提高内存的容量,因为一般服务器应用,对内存的消耗使用要求是最高的。
linux的ext2格式跟ext3格式有啥区别
Linux ext2/ext3文件系统使用索引节点来记录文件信息,作用像windows的文件分配表。 索引节点是一个结构,它包含了一个文件的长度、创建及修改时间、权限、所属关系、磁盘中的位置等信息。 一个文件系统维护了一个索引节点的数组,每个文件或目录都与索引节点数组中的唯一一个元素对应。 系统给每个索引节点分配了一个号码,也就是该节点在数组中的索引号,称为索引节点号。 linux文件系统将文件索引节点号和文件名同时保存在目录中。 所以,目录只是将文件的名称和它的索引节点号结合在一起的一张表,目录中每一对文件名称和索引节点号称为一个连接。 对于一个文件来说有唯一的索引节点号与之对应,对于一个索引节点号,却可以有多个文件名与之对应。 因此,在磁盘上的同一个文件可以通过不同的路径去访问它。 Linux缺省情况下使用的文件系统为Ext2,ext2文件系统的确高效稳定。 但是,随着Linux系统在关键业务中的应用,Linux文件系统的弱点也渐渐显露出来了:其中系统缺省使用的ext2文件系统是非日志文件系统。 这在关键行业的应用是一个致命的弱点。 本文向各位介绍Linux下使用ext3日志文件系统应用。 Ext3文件系统是直接从Ext2文件系统发展而来,目前ext3文件系统已经非常稳定可靠。 它完全兼容ext2文件系统。 用户可以平滑地过渡到一个日志功能健全的文件系统中来。 这实际上了也是ext3日志文件系统初始设计的初衷。 Ext3日志文件系统的特点 1、高可用性 系统使用了ext3文件系统后,即使在非正常关机后,系统也不需要检查文件系统。 宕机发生后,恢复ext3文件系统的时间只要数十秒钟。 2、数据的完整性: ext3文件系统能够极大地提高文件系统的完整性,避免了意外宕机对文件系统的破坏。 在保证数据完整性方面,ext3文件系统有2种模式可供选择。 其中之一就是“同时保持文件系统及数据的一致性”模式。 采用这种方式,你永远不再会看到由于非正常关机而存储在磁盘上的垃圾文件。 3、文件系统的速度: 尽管使用ext3文件系统时,有时在存储数据时可能要多次写数据,但是,从总体上看来,ext3比ext2的性能还要好一些。 这是因为ext3的日志功能对磁盘的驱动器读写头进行了优化。 所以,文件系统的读写性能较之Ext2文件系统并来说,性能并没有降低。 4、数据转换由ext2文件系统转换成ext3文件系统非常容易,只要简单地键入两条命令即可完成整个转换过程,用户不用花时间备份、恢复、格式化分区等。 用一个ext3文件系统提供的小工具tune2fs,它可以将ext2文件系统轻松转换为ext3日志文件系统。 另外,ext3文件系统可以不经任何更改,而直接加载成为ext2文件系统。 5、多种日志模式Ext3有多种日志模式,一种工作模式是对所有的文件数据及metadata(定义文件系统中数据的数据,即数据的数据)进行日志记录(data=journal模式);另一种工作模式则是只对metadata记录日志,而不对数据进行日志记录,也即所谓data=ordered或者data=writeback模式。 系统管理人员可以根据系统的实际工作要求,在系统的工作速度与文件数据的一致性之间作出选择。 实际使用Ext3文件系统 创建新的ext3文件系统,例如要把磁盘上的hda8分区格式化ext3文件系统,并将日志记录在/dev/hda1分区,那么操作过程如下: [root@stationxx root]# mke2fs -j /dev/hda8 mke2fs 1.24a (02-Sep-2001) FileSystem label= OS type: Linux Block size=1024 (log=0) .. .. .. Creating journal (8192 blocks): done Writing superblocks and filesystem accounting information: done This filesystem will be automatically checked every 30 mounts or 180 days, whichever comes first. Use tune2fs -c or -i to override. 在创建新的文件系统时,可以看到,ext3文件系统执行自动检测的时间为180天或每第31次被mount时,实际上这个参数可以根据需要随意调节。 以下将新的文件系统mount到主分区/data目录下: [root@stionxx root]# mount -t ext3 /dev/hda8 /data 说明:以上将已格式化为ext3文件系统的/dev/hda8分区加载到/data目录下。 ext3 基于ext2 的代码,它的磁盘格式和 ext2 的相同;这意味着,一个干净卸装的 ext3 文件系统可以作为 ext2 文件系统重新挂装。 Ext3文件系统仍然能被加载成ext2文件系统来使用,你可以把一个文件系统在ext3和ext2自由切换。 这时在ext2文件系统上的ext3日志文件仍然存在,只是ext2不能认出日志而已。 将ext2文件系统转换为ext3文件系统 将linux系统的文件系统由ext2转至ext3,有以下几处优点:第一系统的可用性增强了,第二数据集成度提高,第三启动速度提高了,第四ext2与ext3文件系统之间相互转换容易。 以转换文件系统为例,将ext2文件系统转换为ext3文件系统,命令如下: [root@stationxx root]# tune2fs -j /dev/hda9 tune2fs 1.24a (02-Sep-2001) Creating journal inode: done This filesystem will be automatically checked every 31 mounts or 180 days, whichever comes first. Use tune2fs -c or -i to override. 这样,原来的ext2文件系统就转换成了ext3文件系统。 注意将ext2文件系统转换为ext3文件系统时,不必要将分区缷载下来转换。 转换完成后,不要忘记将/etc/fstab文件中所对应分区的文件系统由原来的ext2更改为ext3。 ext3日志的存放位置 可以将日志放置在另外一个存储设备上,例如存放到分区/dev/hda8。 例如要在/dev/hda8上创建一个ext3文件系统,并将日志存放在外部设备/dev/hda2上,则运行以下命令: [root @stationxx root]#mke2fs -J device=/dev/hda8 /dev/hda2 ext3文件系统修复 新的e2fsprogs中的e2fsck支持ext3文件系统。 当一个ext3文件系统被破坏时,先卸载该设备,在用e2fsck修复: [root @stationxx root] # umount /dev/hda8 [root @stationxx root] #e2fsck -fy /dev/hda8 总而言之,ext3日志文件系统是目前linux系统由ext2文件系统过度到日志文件系统最为简单的一种选择,实现方式也最为简洁。 由于是直接从ext2文件系统发展而来,系统由ext2文件系统过渡到ext3日志文件系统升级过程平滑,可以最大限度地保证系统数据的安全性。 目前linux系统要使用日志文件系统,最保险的方式就是选择ext3文件系统。
发表评论