系统安全:Linux服务器安全隐患以及防范对策
如果你的Linux服务器被非受权用户接触到(如服务器放在公用机房内、公用办公室内),那么它的安全就会存在严重的隐患。
使用单用户模式进入系统
Linux启动后出现boot:提示时,使用一个特殊的命令,如linuxsingle或linux 1,就能进入单用户模式(Single-User mode)。这个命令非常有用,比如忘记超级用户(root)密码。重启系统,在boot:提示下输入linux single(或linux 1),以超级用户进入系统后,编辑Passwd文件,去掉root一行中的x即可。
防范对策:
以超级用户(root)进入系统,编辑/etc/inittab文件,改变id:3:initdefault的设置,在其中额外加入一行(如下),让系统重新启动进入单用户模式的时候,提示输入超级用户密码:
~~:S:walt:/sbin/sulogin
然后执行命令:/sbin/init q,使这一设置起效。
在系统启动时向核心传递危险参数
在Linux下最常用的引导装载(boot loader)工具是LILO,它负责管理启动系统(可以加入别的分区及操作系统)。但是一些非法用户可能随便启动Linux或者在系统启动时向核心传递危险参数,这也是相当危险的。
防范对策:
编辑文件/etc/lilo.conf,在其中加入restricted参数,这一参数必须同下面一个要讲的password参数一起使用,表明在boot:提示下,传递给Linux内核一些参数时,需要你输入密码。
password参数可以同restricted一起使用,也可以单独使用,下面将分别说明。
同restricted一起使用:只有在启动时需要传递给内核参数时,才会要求输入密码,而在正常(缺省)模式下,是不需要密码的,这一点一定要注意。
单独使用(没有同restricted一起使用):表示不管用什么启动模式,Linux总会要求输入密码;如果没有密码,就没有办法启动Linux,在这种情况下的安全程度更高,相当于外围又加入一层防御措施。当然也有坏处——你不能远程重启系统,除非你加上restricted参数。
由于密码是明文没有加密,所以/etc/lilo.conf文件一定要设置成只有超级用户可读,可使用下面的命令进行设置:
chmod 600 /ietc/lilo.conf
然后执行命令:/sbin/lilo -V,将其写入boot sector,并使这一改动生效。
为了加强/etc/liIo.conf文件的安全,你还可以设置这个文件为不可改变的属性,可使用命令:
chattr 十i/etc/lilo.conf
如果日后你要修改/etc/liIo.conf文件,用chattr -i/etc/lilo.conf命令去掉这个属性即可。
使用“Ctrl+Alt+Del”组合键重新启动
对于这一点,非常重要,也非常容易忽略,如果非法用户能接触到服务器的键盘,他就可以用组合键“Ctrl+AIt+Del”使你的服务器重启。
防范对策:
编辑/etc/inittab文件,给ca::ctrlaltdel:/sbin/shutdown-t3 -r now加上注释###ca::ctrlaltdeI:/sbin/shutdown-t3 -r now。
然后执行命令:/sbin/init q,使这一改动生效。
相关推荐
-
系统安全:Linux服务器安全隐患以及防范对策
如果你的Linux服务器被非受权用户接触到(如服务器放在公用机房内.公用办公室内),那么它的安全就会存在严重的隐患. 使用单用户模式进入系统 Linux启动后出现boot:提示时,使用一个特殊的命令,如linuxsingle或linux 1,就能进入单用户模式(Single-User mode).这个命令非常有用,比如忘记超级用户(root)密码.重启系统,在boot:提示下输入linux single(或linux 1),以超级用户进入系统后,编辑Passwd文件,去掉root一行中的x即可.
-
确保Linux服务器安全 防范四种级别攻击
随着Linux企业应用的不断扩展. 有大量的网络服务器都在使用Linux操作系统.Linux服务器的安全性能受到越来越多的关注. 这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案. 随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统.Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案. 对Linux服务器攻击的定义是:攻击是一种旨在妨碍.损害.削弱.破坏Linux服务器安全的未授权
-
linux服务器用centos还是ubuntu系统
linux服务器系统多使用CentOS.uBuntu.Gentoo.FreeBSD.Debian. 服务器操作系统应该选择 Debian/Ubuntu 还是 CentOS ,CENTOS现在市场占有率第一了 [小议]centos与ubuntu的区别 CentOS(Community ENTerprise Operating System)是Linux发行版之一,它是来自于Red Hat Enterprise Linux依照开放源代码规定释出的源代码所编译而成.由于出自同样的源代码,因此有些要求高
-
linux服务器系统CentOS、uBuntu、Gentoo、FreeBSD、Debian的比较
官网:http://www.centos.org/ CentOS其实是Redhat的内核,感觉是会成熟稳定一点,相比旧Redhat,他多了一个yum的命令,学Debian一样自动安装软件:但我感觉CentOS的可以Yum的东西相比Debian或Ubuntu,实在太少了:CentOS游走在年轻与成熟之间,它比Ubuntu更注重安全性,你看他的CentOS5.0默认一装好就自带并打开防火墙就知道:而且有一个叫SELinux的东东在里面,让不同的程序之间权限有所限制,这也是我装CentOS一些软件经常
-
在Linux服务器和windows系统之间上传与下载文件的方法
背景:Linux服务器文件上传下载. XShell+Xftp安装包(解压即用)百度网盘链接: https://pan.baidu.com/s/1rT_oXxbIjWgiHy9JHiWakw 提取码: cqrt 方式一.通过Shell First. 开启本地虚拟机,在Shell中连接本地Linux服务器,其中主机填Linux的IP地址.用户名和密码是Linux的登陆名和密码.其它的保留默认值,确定,然后接受并保存即可. Second sz命令发送文件到本地 # sz filename rz命令本地
-
在IDEA中配置SFTP远程Linux服务器系统的实现
在IDEA中我们可以直接访问并对Linux系统上的文件进行操作,最重要的是可以直接在IDEA中打开Linux系统上的文本等文件进行删改,删改后可以直接更新到Linux系统上,无需通过第三方软件进行上传,非常方便.操作如下: 第一步,在IDEA窗口的菜单条上选择Tools菜单,然后选择Deployment,接着选择Configuration...菜单项进行打开配置窗口. 第二步,点击+号添加配置,选择Server Group创建服务器分组. 接着点击Add new server在该分组下创建服务器
-
探讨如何减少Linux服务器TIME_WAIT过多的问题
TIME_WAIT状态的意义: 客户端与服务器端建立TCP/IP连接后关闭SOCKET后,服务器端连接的端口状态为TIME_WAIT是不是所有执行主动关闭的socket都会进入TIME_WAIT状态呢?有没有什么情况使主动关闭的socket直接进入CLOSED状态呢?主动关闭的一方在发送最后一个 ack 后就会进入 TIME_WAIT 状态 停留2MSL(max segment lifetime)时间,这个是TCP/IP必不可少的,也就是"解决"不了的.也就是TCP/IP设计者本来是这
-
Linux 服务器安全配置
第一部分:RedHat Linux篇 1.概述 Linux服务器版本:RedHat Linux AS 对于开放式的操作系统---Linux,系统的安全设定包括系统服务最小化.限制远程存取.隐藏重要资料.修补安全漏洞.采用安全工具以及经常性的安全检查等.本文主要从用户设置.如何开放服务.系统优化等方面进行系统的安全配置,以到达使Linux服务器更安全.稳定. 2.用户管理 在 Linux系统中,用户帐号是用户的身份标志,它由用户名和用户口令组成.系统将输入的用户名存放在/etc/passwd文件中
-
linux服务器的攻防安全介绍
随着Linux企业应用的扩展,有大量的网络服务器使用Linux操作系统.Linux服务器的安全性能受到越来越多的关注,这里根据Linux服务器受到攻击的深度以级别形式列出,并提出不同的解决方案. 对Linux服务器攻击的定义是:攻击是一种旨在妨碍.损害.削弱.破坏Linux服务器安全的未授权行为.攻击的范围可以从服务拒绝直至完全危害和破坏Linux服务器.对Linux服务器攻击有许多种类,本文从攻击深度的角度说明,我们把攻击分为四级. 攻击级别一:服务拒绝攻击(DoS) 由于DoS攻击工具
-
linux服务器基本安全配置手册
假如你想要搭建一个Linux服务器,并且希望可以长期维护的话,就需要考虑安全性能与速度等众多因素.一份正确的linux基本安全配置手册就显得格外重要.在我本文中就向大家介绍在edhat/centos 4,5下的Linux服务器基本安全配置手册. 安装注意 1.删除系统特殊的的用户帐号: 禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击. #为删除你系统上的