自從90年代初發(fā)行以來，Linux由于其穩(wěn)定性，多功能性，可定制性以及一個(gè)大型開放源代碼開發(fā)人員社區(qū)而贏得了技術(shù)界的欽佩，他們?nèi)旌蚬ぷ?，為操作系統(tǒng)提供錯(cuò)誤的修復(fù)和改進(jìn)?？傮w而言，Linux是公共云，服務(wù)器和超級(jí)計(jì)算機(jī)的首選操作系統(tǒng)，并且近75％的面向Internet生產(chǎn)服務(wù)器在Linux上運(yùn)行。

除了為互聯(lián)網(wǎng)提供動(dòng)力外，Linux還找到了通往數(shù)字世界的方式，從那以后就沒有減弱。它為包括Android智能手機(jī)，平板電腦，智能手表，智能顯示器等的各種智能小工具提供動(dòng)力。

Linux是安全的嗎？

Linux以其頂級(jí)安全性而聞名，這是在企業(yè)環(huán)境中做出最喜歡選擇的原因之一。但這是一個(gè)事實(shí)，沒有操作系統(tǒng)100％安全。許多用戶認(rèn)為L(zhǎng)inux是一個(gè)萬無一失的操作系統(tǒng)，這是一個(gè)錯(cuò)誤的假設(shè)。實(shí)際上，任何具有Internet連接的操作系統(tǒng)都容易受到潛在的漏洞和惡意軟件攻擊的影響。

在其早期，Linux的人群中以技術(shù)為中心，遭受惡意軟件攻擊的風(fēng)險(xiǎn)很遙遠(yuǎn)。如今，Linux為互聯(lián)網(wǎng)提供了很大一部分，這推動(dòng)了威脅格局的發(fā)展。惡意軟件攻擊的威脅比以往任何時(shí)候都更加真實(shí)。

對(duì)Linux系統(tǒng)的惡意軟件攻擊的一個(gè)完美示例是Erebus Ransomware ，這是一種文件加密的惡意軟件，影響了接近韓國網(wǎng)絡(luò)托管公司Nayana的153個(gè)Linux服務(wù)器。

因此，要進(jìn)一步加強(qiáng)操作系統(tǒng)以提供備受期待的安全性以保護(hù)您的數(shù)據(jù)是謹(jǐn)慎的。

Linux服務(wù)器硬化提示

確保Linux服務(wù)器并不像您想象的那么復(fù)雜。我們已經(jīng)編制了您需要實(shí)施的最佳安全策略列表，以加強(qiáng)系統(tǒng)的安全性并維護(hù)數(shù)據(jù)完整性。

1。定期更新軟件包

在Equifax漏洞的初始階段，黑客在Equifax的客戶投訴Web門戶網(wǎng)站上利用了廣為人知的漏洞 - Apache Struts 。

Apache Struts是一個(gè)開源框架，用于創(chuàng)建由Apache Foundation開發(fā)的現(xiàn)代而優(yōu)雅的Java Web應(yīng)用程序。該基金會(huì)于2017年3月7日發(fā)布了一個(gè)補(bǔ)丁，以修復(fù)該漏洞，并發(fā)表了該效果的聲明。

Equifax被告知漏洞，并建議對(duì)其應(yīng)用進(jìn)行修補(bǔ)，但可悲的是，直到同年7月，漏洞一直沒有援助，為時(shí)已晚。攻擊者能夠從數(shù)據(jù)庫中訪問公司的網(wǎng)絡(luò)和數(shù)百萬個(gè)機(jī)密客戶記錄。到Equifax迎來發(fā)生的事情時(shí)，已經(jīng)過去了兩個(gè)月。

那么，我們可以從中學(xué)到什么？

惡意用戶或黑客將始終探究您的服務(wù)器是否可能會(huì)利用這些軟件漏洞來泄露您的系統(tǒng)。為了安全起見，請(qǐng)始終將軟件更新到當(dāng)前版本，以將補(bǔ)丁程序應(yīng)用于任何現(xiàn)有漏洞。

如果您正在運(yùn)行Ubuntu或基于Debian的系統(tǒng)，則第一步通常是更新您的軟件包列表或存儲(chǔ)庫，如圖所示。

 $ sudo apt更新

要檢查所有包含可用更新的軟件包，請(qǐng)運(yùn)行命令：

 $ sudo apt列表 - 可升級(jí)

您的軟件應(yīng)用程序升級(jí)到其當(dāng)前版本，如圖所示：

 $ sudo apt升級(jí)

如圖所示，您可以將這兩個(gè)命令串聯(lián)。

 $ sudo apt更新&& sudo apt升級(jí)

對(duì)于Rhel ＆ CentOS，通過運(yùn)行命令來升級(jí)您的應(yīng)用程序：

 $ SUDO DNF更新（Centos 8 / RHEL 8）
$ sudo yum更新（Rhel＆CentOS的較早版本）

另一個(gè)可行的選項(xiàng)是為Ubuntu啟用自動(dòng)安全更新，并為CentOS / RHEL設(shè)置自動(dòng)更新。

2。刪除舊的通信服務(wù)/協(xié)議

盡管它支持了無數(shù)遠(yuǎn)程協(xié)議，但Rlogin，Telnet，TFTP和FTP等舊服務(wù)仍會(huì)為您的系統(tǒng)構(gòu)成巨大的安全問題。這些是舊的，過時(shí)的和不安全的協(xié)議，其中數(shù)據(jù)以純文本發(fā)送。如果存在這些，請(qǐng)考慮如圖所示將其刪除。

對(duì)于基于Ubuntu / Debian的系統(tǒng)，請(qǐng)執(zhí)行：

 $ sudo apt吹掃telnetd tftpd tftpd-hpa xinetd rsh-server rsh-rsh-rsh-server

對(duì)于基于RHEL / CENTOS的系統(tǒng)，請(qǐng)執(zhí)行：

 $ sudo yum擦除xinetd tftp-server telnet-server rsh-server ypserv

3。在防火墻上關(guān)閉未使用的港口

刪除了所有不安全的服務(wù)后，重要的是要掃描服務(wù)器以找到開放端口，并關(guān)閉可能會(huì)被黑客使用的任何未使用端口。

假設(shè)您想在UFW防火墻上阻止端口7070 。這樣的命令將是：

 $ SUDO UFW否認(rèn)7070/TCP

然后重新加載防火墻以進(jìn)行更改。

 $ sudo ufw重新加載

對(duì)于Firewalld，運(yùn)行命令：

 $ sudo firewall-cmd-remove-port = 7070/tcp-permanent

并記住要重新加載防火墻。

 $ sudo firewall-cmd-重新加載

然后仔細(xì)檢查防火墻規(guī)則，如下所示：

 $ sudo firewall-cmd- list-all

4。安全SSH協(xié)議

SSH協(xié)議是一個(gè)遠(yuǎn)程協(xié)議，可讓您安全地連接到網(wǎng)絡(luò)上的設(shè)備。盡管它被認(rèn)為是安全的，但默認(rèn)設(shè)置還不夠，需要進(jìn)行一些額外的調(diào)整以進(jìn)一步阻止惡意用戶違反系統(tǒng)。

我們有有關(guān)如何硬化SSH協(xié)議的綜合指南。這是主要亮點(diǎn)。

• 配置無密碼的SSH登錄并啟用私人/公鑰身份驗(yàn)證。
• 禁用SSH遠(yuǎn)程根登錄。
• 通過空密碼從用戶禁用SSH登錄。
• 完全禁用密碼身份驗(yàn)證，并堅(jiān)持使用SSH私有/公共密鑰身份驗(yàn)證。
• 限制訪問特定的SSH用戶。
• 為密碼嘗試配置限制。

5。安裝并啟用fail2ban

Fail2ban是一種開源侵入預(yù)防系統(tǒng)，可保護(hù)您的服務(wù)器免受Bruteforce攻擊的影響。它通過禁止指示惡意活動(dòng)的IP來保護(hù)您的Linux系統(tǒng)，例如登錄嘗試過多。開箱即用，它帶有過濾器，用于流行服務(wù)，例如Apache Weberver，VSFTPD和SSH。

我們?yōu)槿绾闻渲肍ail2BAN提供了指南，以進(jìn)一步加強(qiáng)SSH協(xié)議。

6。使用PAM模塊執(zhí)行密碼強(qiáng)度

重復(fù)使用密碼或使用弱和簡(jiǎn)單密碼會(huì)大大破壞系統(tǒng)的安全性。您執(zhí)行密碼策略，使用pam_cracklib設(shè)置或配置密碼強(qiáng)度要求。

使用PAM模塊，您可以通過編輯/etc/pam.d/system-auth文件來定義密碼強(qiáng)度。例如，您可以設(shè)置密碼復(fù)雜性并防止密碼的重復(fù)使用。

7。安裝SSL/TLS證書

如果您正在運(yùn)行網(wǎng)站，請(qǐng)始終確保使用SSL/ TLS證書確保域，以加密在用戶瀏覽器和Web服務(wù)器之間交換的數(shù)據(jù)。

8。禁用弱加密協(xié)議和密碼密鑰

一旦加密站點(diǎn)，也請(qǐng)考慮禁用弱加密協(xié)議。在撰寫本指南時(shí)，最新的協(xié)議是TLS 1.3 ，它是最常用和廣泛使用的協(xié)議。較早的版本（例如TLS 1.0，TLS 1.2和SSLV1至SSLV3）與已知漏洞有關(guān)。

[您可能還喜歡：如何在Apache和Nginx中啟用TLS 1.3]

總結(jié)

這是您可以采取的一些步驟來確保Linux系統(tǒng)的數(shù)據(jù)安全性和隱私。

以上是LFCA - 保護(hù)數(shù)據(jù)和Linux的有用技巧 - 第18部分的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！