Verbessern Sie umfassend die Sicherheit von Linux-Servern

Autor：Eve Cole Aktualisierungszeit：2009-06-04 17:16:50

Wie wir alle wissen, hat Linux in puncto Sicherheit mehr Vorteile gegenüber Windows. Unabhängig davon, für welche Linux-Distribution Sie sich entscheiden, sollten Sie jedoch nach Abschluss der Installation einige notwendige Konfigurationen vornehmen, um die Sicherheit zu erhöhen. Hier sind ein paar Schritte zum Absichern eines Linux-Servers. Derzeit aktualisieren oder aktualisieren viele kleine und mittlere Benutzer ihre Netzwerke aufgrund der Geschäftsentwicklung ständig, was zu großen Unterschieden in ihren eigenen Benutzerumgebungen führt. Die meisten Netzwerksystemplattformen sind auf der Serverseite uneinheitlich Windows und Mac auf der PC-Seite. Daher existieren in Unternehmensanwendungen häufig Linux-, Unix- und Windows-Betriebssysteme nebeneinander und bilden heterogene Netzwerke.

1. Installieren und konfigurieren Sie eine Firewall

Eine richtig konfigurierte Firewall ist nicht nur die erste Verteidigungslinie für das System, um effektiv auf Angriffe von außen reagieren zu können, sondern auch die wichtigste Verteidigungslinie. Bevor sich das neue System zum ersten Mal mit dem Internet verbindet, sollte die Firewall installiert und konfiguriert werden. Die Konfiguration der Firewall, die den Empfang aller Datenpakete verweigert und dann den Empfang von Datenpaketen ermöglicht, wirkt sich positiv auf die Sicherheit des Systems aus. Linux stellt uns ein sehr hervorragendes Firewall-Tool zur Verfügung, nämlich netfilter/iptables (http://www.netfilter.org/). Es ist völlig kostenlos und läuft problemlos auf einem alten Computer mit niedrigen Spezifikationen. Informationen zur spezifischen Einstellungsmethode der Firewall finden Sie in der Verwendung von iptables.

2. Schließen Sie nutzlose Dienste und Ports

Alle Netzwerkverbindungen werden über offene Anwendungsports hergestellt. Wenn wir so wenige Ports wie möglich öffnen, machen wir Netzwerkangriffe passiv und verringern so die Erfolgsaussichten des Angreifers erheblich. Die Verwendung von Linux als dedizierten Server ist ein kluger Schachzug. Wenn Sie beispielsweise möchten, dass Linux ein Webserver wird, können Sie alle nicht wesentlichen Dienste im System deaktivieren und nur wesentliche Dienste aktivieren. Dadurch können Hintertüren minimiert, versteckte Gefahren reduziert und Systemressourcen rational zugewiesen werden, um die Gesamtleistung der Maschine zu verbessern. Hier sind einige weniger häufig genutzte Dienste:

1. fingerd (Fingerserver) meldet die persönlichen Informationen des angegebenen Benutzers, einschließlich Benutzername, echter Name, Shell, Verzeichnis und Kontaktinformationen. Dadurch wird das System unerwünschten Aktivitäten zum Sammeln von Informationen ausgesetzt.

2. R-Dienste (rshd, rlogin, rwhod, rexec) bieten verschiedene Befehlsebenen. Sie können auf Remote-Hosts ausgeführt werden oder mit ihnen interagieren und sich in einer geschlossenen Netzwerkumgebung anmelden. Dies ist sehr praktisch. Auf öffentlichen Servern treten jedoch Probleme auf, die zu Sicherheitsrisiken führen.

3. Löschen Sie nicht verwendete Softwarepakete

Der allgemeine Grundsatz bei der Planung des Systems besteht darin, alle unnötigen Dienste zu entfernen. Das Standard-Linux ist ein leistungsstarkes System, auf dem viele Dienste ausgeführt werden. Es gibt jedoch viele Dienste, die nicht benötigt werden und leicht Sicherheitsrisiken verursachen können. Diese Datei heißt /etc/xinetd.conf und gibt die Dienste an, die /usr/sbin/xinetd überwachen soll. Möglicherweise benötigen Sie nur eine davon: ftp und andere Klassen wie Telnet, Shell, Login, Exec, Talk, Ntalk , IMAP, Finger, Auth usw., schalten Sie sie aus, es sei denn, Sie möchten sie wirklich verwenden.

4. Legen Sie keine Standardroute fest

Im Host sollte das Festlegen der Standardroute, also der Standardroute, strengstens verboten sein. Es wird empfohlen, für jedes Subnetz oder Netzwerksegment eine Route festzulegen, da andere Computer sonst möglicherweise über bestimmte Methoden auf den Host zugreifen.

5. Passwortverwaltung

Die Länge des Passworts sollte im Allgemeinen nicht weniger als 8 Zeichen betragen. Die Zusammensetzung des Passworts sollte aus einer Kombination aus unregelmäßigen Groß- und Kleinbuchstaben, Zahlen und Symbolen bestehen. Die Verwendung englischer Wörter oder Phrasen zum Festlegen von Passwörtern sollte unbedingt vermieden werden Gewohnheiten regelmäßig geändert werden. Darüber hinaus umfasst der Passwortschutz auch den Schutz der Dateien /etc/passwd und /etc/shadow. Auf diese beiden Dateien können nur Systemadministratoren zugreifen. Durch die Installation eines Passwortfiltertools und das Hinzufügen von npasswd können Sie überprüfen, ob Ihre Passwörter Angriffen standhalten. Wenn Sie ein solches Tool noch nicht installiert haben, wird empfohlen, es jetzt zu installieren. Wenn Sie Systemadministrator sind und in Ihrem System kein Passwortfilter-Tool installiert ist, prüfen Sie bitte sofort, ob die Passwörter aller Benutzer umfassend durchsucht werden können, d. h. führen Sie einen umfassenden Suchangriff auf Ihre Datei /ect/passwd durch. Die Verwendung von Wörtern als Passwörter hält Brute-Force-Angriffen nicht stand. Hacker verwenden häufig gebräuchliche Wörter, um Passwörter zu knacken. Ein amerikanischer Hacker sagte einmal, dass allein die Verwendung des Wortes „Passwort“ die meisten Computer in den Vereinigten Staaten öffnen könne. Andere häufig verwendete Wörter sind: Account, Ald, Alpha, Beta, Computer, Dead, Demo, Dollar, Games, Bod, Hello, Help, Intro, Kill, Love, No, Ok, Okay, Please, Sex, Secret, Superuser. System, Test, Arbeit, ja usw. Passworteinstellungen und Prinzipien:

1. Es ist lang genug, um dem Passwort eine Ziffer hinzuzufügen, was den Aufwand des Angreifers verzehnfachen kann.

2. Verwenden Sie möglichst keine vollständigen Wörter und schließen Sie möglichst keine Zahlen, Satzzeichen, Sonderzeichen usw. ein.

3. Mischen Sie Groß- und Kleinbuchstaben.

4. Überarbeiten Sie regelmäßig.

6.Partitionsverwaltung

[Seite ausschneiden]

Ein potenzieller Angriff wird zunächst einen Pufferüberlauf versuchen. In den letzten Jahren sind Sicherheitslücken vom Typ Pufferüberlauf zur häufigsten Form geworden. Noch schwerwiegender ist, dass die überwiegende Mehrheit der Remote-Netzwerkangriffe auf Schwachstellen durch Pufferüberlauf zurückzuführen sind. Diese Art von Angriff kann einem anonymen Internetbenutzer leicht die Möglichkeit geben, die teilweise oder vollständige Kontrolle über einen Host zu erlangen.

Um solche Angriffe zu verhindern, sollten wir bei der Installation des Systems darauf achten. Wenn Sie die Root-Partition zum Aufzeichnen von Daten wie Protokolldateien verwenden, kann es aufgrund von Denial-of-Service zu einer großen Anzahl von Protokollen oder Spam kommen, was zum Absturz des Systems führt. Daher wird empfohlen, eine separate Partition für /var zum Speichern von Protokollen und E-Mails zu erstellen, um ein Überlaufen der Root-Partition zu verhindern. Es ist am besten, eine separate Partition für spezielle Anwendungen zu erstellen, insbesondere für Programme, die eine große Menge an Protokollen generieren können. Es wird auch empfohlen, eine separate Partition für /home zu erstellen, damit diese die /-Partition nicht füllen können, wodurch einige Linux-Partitionen vermieden werden Überläufe. böswillige Angriffe.

Viele Linux-Desktop-Benutzer verwenden häufig Windows- und Linux-Dual-Systeme. Am besten verwenden Sie zwei Festplatten. Die Methode ist wie folgt: Entfernen Sie zuerst das Datenkabel der Hauptfestplatte, suchen Sie eine Festplatte mit etwa 10 GB, hängen Sie sie an den Computer, legen Sie die kleine Festplatte als Slave-Festplatte fest und installieren Sie die Linux-Serverversion entsprechend Bei den üblichen Vorgängen gibt es keinen weiteren Unterschied, außer dass das Start-Boot-Programm im MBR abgelegt wird. Nachdem die Installation abgeschlossen ist und das Debugging über den Desktop ausgeführt wird, fahren Sie den Computer herunter. Entfernen Sie das Datenkabel der kleinen Festplatte, installieren Sie die Originalfestplatte und legen Sie sie als Hauptfestplatte fest (so dass die Originalfestplatte und die kleine Festplatte gleichzeitig mit demselben Datenkabel verbunden sind). und installieren Sie dann die Windows-Software. Hängen Sie beide Festplatten an das Datenkabel, die IDE 0-Schnittstelle. Stellen Sie die Originalfestplatte als Masterfestplatte und die kleine Festplatte als Slavefestplatte ein. Wenn Sie von der Originalfestplatte booten möchten, stellen Sie die Bootreihenfolge im CMOS auf „C, D, CDROM“ oder „IDE0 (HDD-0)“ ein. Auf diese Weise gelangt der Computer beim Starten in die Windows-Oberfläche. Wenn Sie von einer kleinen Festplatte booten möchten, ändern Sie die Bootreihenfolge auf „D, C, CDROM“ oder „IDE1 (HDD-1)“. Nach dem Booten gelangen Sie in die Linux-Oberfläche. Normalerweise können die beiden Betriebssysteme nicht aufeinander zugreifen.

7. Netzwerk-Sniffing verhindern:

Die Sniffer-Technologie wird häufig in der Netzwerkwartung und -verwaltung eingesetzt. Sie funktioniert wie ein passives Sonar und empfängt stillschweigend verschiedene Informationen aus dem Netzwerk. Durch die Analyse dieser Daten können Netzwerkadministratoren ein detailliertes Verständnis des aktuellen Zustands des Netzwerks erlangen um Schwachstellen im Netzwerk zu identifizieren. Heutzutage, da die Netzwerksicherheit immer mehr Aufmerksamkeit erregt, müssen wir Sniffer nicht nur richtig einsetzen, sondern auch angemessen verhindern, dass Sniffer große Sicherheitsrisiken verursachen können, vor allem weil sie nicht leicht zu entdecken sind. Für ein Unternehmen mit strengen Sicherheitsanforderungen ist es notwendig, eine sichere Topologie, Sitzungsverschlüsselung und statische ARP-Adressen zu verwenden.

8. Vollständige Protokollverwaltung

Protokolldateien zeichnen für Sie jederzeit den Betriebszustand Ihres Systems auf. Wenn Hacker kommen, können sie den Augen der Protokolle nicht entkommen. Daher verändern Hacker bei Angriffen häufig Protokolldateien, um ihre Spuren zu verbergen. Daher müssen wir den Zugriff auf die Datei /var/log beschränken und Benutzern mit allgemeinen Berechtigungen das Anzeigen der Protokolldatei verbieten.

Verwenden Sie auch einen Protokollserver. Es empfiehlt sich, eine Kopie der Protokollinformationen des Clients aufzubewahren, einen Server speziell zum Speichern der Protokolldateien zu erstellen und die Protokolle auf Probleme zu überprüfen. Ändern Sie die Datei /etc/sysconfig/syslog, um die Remote-Protokollierung zu akzeptieren.

/etc/sysconfig/syslog

SYSLOGD_OPTIONS="-mr 0"

Sie sollten auch die Remote-Speicherung von Protokollen einrichten. Ändern Sie die Datei /etc/syslog.conf, um die Protokollservereinstellungen hinzuzufügen. Syslog speichert dann eine Kopie auf dem Protokollserver.

/etc/syslog.conf

*.* @log_server_IP

Es stehen farbige Protokollfilter zur Verfügung. Farbprotokoll-Lokfilter, die aktuelle Version ist 0.32. Verwenden Sie loco /var/log/messages |. more, um farbige Protokolle anzuzeigen und die Position von Root- und abnormalen Befehlen in den Protokollen deutlich zu kennzeichnen. Dies kann menschliche Unterlassungen bei der Protokollanalyse reduzieren. Darüber hinaus sind regelmäßige Kontrollen der Protokolle erforderlich. Red Hat Linux bietet das Logwatch-Tool, das Protokolle automatisch regelmäßig überprüft und E-Mails an das Postfach des Administrators sendet. Sie müssen die Datei /etc/log.d/conf/logwatch.conf ändern und die E-Mail-Adresse des Administrators nach dem Parameter MailTo = root hinzufügen. Logwatch überprüft regelmäßig Protokolle und filtert Informationen im Zusammenhang mit der Anmeldung über Root, Sudo, Telnet, FTP usw., um Administratoren bei der Analyse der täglichen Sicherheit zu unterstützen. Die vollständige Protokollverwaltung muss die Richtigkeit, Gültigkeit und Rechtmäßigkeit der Netzwerkdaten umfassen. Auch die Analyse von Logdateien kann Einbrüche verhindern. Wenn beispielsweise bei einem Benutzer innerhalb weniger Stunden 20 Registrierungsdatensätze fehlgeschlagen sind, ist es wahrscheinlich, dass der Eindringling versucht, das Passwort des Benutzers auszuprobieren.

[Seite ausschneiden]

9. Beenden Sie laufende Angriffe

Wenn Sie Protokolldateien überprüfen und einen Benutzer finden, der sich von einem Ihnen unbekannten Host aus anmeldet, und Sie sicher sind, dass dieser Benutzer kein Konto auf diesem Host hat, werden Sie möglicherweise angegriffen. Zuerst müssen Sie dieses Konto sofort sperren (fügen Sie in der Passwortdatei oder Schattendatei ein Ib oder andere Zeichen vor dem Passwort des Benutzers hinzu). Wenn ein Angreifer bereits mit dem System verbunden ist, sollten Sie den Host sofort physisch vom Netzwerk trennen. Wenn möglich, sollten Sie den Verlauf dieses Benutzers weiter überprüfen, um festzustellen, ob auch andere Benutzer imitiert wurden und ob der Angreifer über Root-Rechte verfügt. Beenden Sie alle Prozesse dieses Benutzers und fügen Sie die IP-Adressmaske dieses Hosts zur Datei hosts.deny hinzu.

10. Verwenden Sie Sicherheitstools und -software:

Linux verfügt bereits über einige Tools, um die Serversicherheit zu gewährleisten. Wie Bastille Linux und Selinux.

Bastille Linux ist eine sehr praktische Software für Benutzer, die mit den Linux-Sicherheitseinstellungen nicht vertraut sind. Der Zweck von Bastille Linux besteht darin, eine sichere Umgebung auf dem vorhandenen Linux-System aufzubauen.

Security Enhanced Linux (SELinux) ist ein Forschungs- und Entwicklungsprojekt des US-Sicherheitsministeriums. Sein Zweck besteht darin, den Linux-Kernel des entwickelten Codes zu verbessern, um stärkere Schutzmaßnahmen bereitzustellen, um zu verhindern, dass einige sicherheitsrelevante Anwendungen Umwege gehen und Malware einbringen Katastrophe. Die Sicherheit gewöhnlicher Linux-Systeme hängt vom Kernel ab, und diese Abhängigkeit wird über setuid/setgid generiert. Beim herkömmlichen Sicherheitsmechanismus werden einige Anwendungsautorisierungsprobleme, Konfigurationsprobleme oder Probleme bei der Prozessausführung offengelegt, was zu Sicherheitsproblemen für das gesamte System führt. Diese Probleme bestehen bei heutigen Betriebssystemen aufgrund ihrer Komplexität und Interoperabilität mit anderen Programmen. SELinux verlässt sich ausschließlich auf die Kernel- und Sicherheitskonfigurationsrichtlinien des Systems. Sobald Sie das System richtig konfiguriert haben, führen fehlerhafte Anwendungskonfigurationen oder Fehler nur zu Fehlern im Programm des Benutzers und seinen System-Daemons. Die Sicherheit anderer Benutzerprogramme und ihrer Hintergrundprogramme kann weiterhin normal ausgeführt werden und ihre Sicherheitssystemstruktur beibehalten. Vereinfacht ausgedrückt: Kein Programmkonfigurationsfehler kann zum Absturz des gesamten Systems führen. SELinux installieren Der SELinux-Kernel, die Tools, Programme/Toolkits und die Dokumentation können von der Enhanced Security Linux-Website heruntergeladen werden. Sie müssen über ein vorhandenes Linux-System verfügen, um Ihren neuen Kernel zu kompilieren, um auf das unveränderte System-Patch-Paket zugreifen zu können.

11. Reservierte IP-Adressen verwenden:

---- Der einfachste Weg, die Netzwerksicherheit aufrechtzuerhalten, besteht darin, sicherzustellen, dass die Hosts im Netzwerk nicht der Außenwelt ausgesetzt sind. Die einfachste Methode besteht darin, sich vom öffentlichen Netzwerk zu isolieren. Allerdings ist diese Sicherheitsstrategie durch Isolation in vielen Situationen inakzeptabel. Derzeit ist die Verwendung reservierter IP-Adressen eine einfache und praktikable Methode, die Benutzern den Zugriff auf das Internet ermöglicht und gleichzeitig ein gewisses Maß an Sicherheit gewährleistet. - RFC 1918 legt den Bereich von IP-Adressen fest, die von lokalen TCP/IP-Netzwerken verwendet werden können. Diese IP-Adressen werden nicht im Internet weitergeleitet, daher besteht keine Notwendigkeit, diese Adressen zu registrieren. Durch die Zuweisung von IP-Adressen in diesem Bereich wird der Netzwerkverkehr effektiv auf das lokale Netzwerk beschränkt. Dies ist eine schnelle und effektive Möglichkeit, den Zugriff auf externe Computer zu verweigern und gleichzeitig die Verbindung interner Computer zu ermöglichen. IP-Adressbereich reservieren:

---- 10.0.0 .0 - 10.255.255.255

---- 172.16.0.0 - 172.31.255.255

--- 192.168.0.0 - 192.168.255.255

Der Netzwerkverkehr von einer reservierten IP-Adresse wird nicht über einen Internet-Router geleitet, sodass auf Computer, denen eine reservierte IP-Adresse zugewiesen ist, von außerhalb des Netzwerks nicht zugegriffen werden kann. Dieser Ansatz ermöglicht Benutzern jedoch auch keinen Zugriff auf externe Netzwerke. IP-Masquerading kann dieses Problem lösen.

[Seite ausschneiden]

12. Wählen Sie sinnvoll eine Linux-Distribution:

Verwenden Sie für die vom Server verwendete Linux-Version weder die neueste Release-Version noch wählen Sie eine zu alte Version. Es sollte eine ausgereiftere Version verwendet werden: die letzte veröffentlichte Version des Vorgängerprodukts, z. B. RHEL 3.0 usw. Denn Sicherheit und Stabilität stehen bei Servern an erster Stelle.

13. Stellen Sie Linux-Antivirensoftware bereit

Das Linux-Betriebssystem galt schon immer als starker Konkurrent des Windows-Systems, da es nicht nur sicher, stabil und kostengünstig ist, sondern auch selten Viren verbreitet. Doch da immer mehr Server, Workstations und PCs Linux-Software verwenden, beginnen auch Computervirenersteller, das System anzugreifen. Die Sicherheit und Berechtigungskontrolle von Linux-Systemen, ob auf Servern oder Workstations, ist relativ leistungsfähig. Dies liegt vor allem an seinem hervorragenden technischen Design, das nicht nur einen Absturz des Betriebssystems erschwert, sondern auch einen Missbrauch erschwert. Nach mehr als 20 Jahren der Entwicklung und Verbesserung ist Unix sehr solide geworden und Linux hat im Grunde seine Vorteile geerbt. Wenn Sie unter Linux kein Superuser sind, wird es für Programme, die Systemdateien böswillig infizieren, schwierig sein, Erfolg zu haben. Obwohl Schadprogramme wie Slammer-, Blast-, Sobig-, Mimail- und Win32.Xorala-Viren den Linux-Server nicht beschädigen, verbreiten sie sich auf Personen, die auf Computer mit Windows-Systemplattform zugreifen.

[Seite ausschneiden]

Virenklassifizierung unter der Linux-Plattform:

1. Ausführbare Dateiviren: Ausführbare Dateiviren beziehen sich auf Viren, die in Dateien parasitieren und Dateien als Hauptinfektionsziele verwenden können. Unabhängig davon, welche Waffenvirenhersteller Assembler oder C verwenden, ist es einfach, ELF-Dateien zu infizieren. Zu den Viren in diesem Bereich gehört Lindose.

2. Wurm (Wurm)-Virus: Nach dem Ausbruch des Morris-Wurms im Jahr 1988 gab Eugene H. Spafford eine technische Definition des Wurms, um Würmer von Viren zu unterscheiden: „Computerwürmer können unabhängig voneinander laufen und alle Viren in sich tragen.“ „Die funktionale Version wird auf andere Computer verbreitet.“ und verursachte große Verluste.

3. Skriptviren: Derzeit gibt es mehr Viren, die in Shell-Skriptsprache geschrieben sind. Diese Art von Virus ist relativ einfach zu schreiben, aber seine Zerstörungskraft ist ebenso erstaunlich. Wir wissen, dass es im Linux-System viele Skriptdateien mit der Endung .sh gibt und ein Shell-Skript mit nur etwa zehn Zeilen in kurzer Zeit alle Skriptdateien auf der gesamten Festplatte durchsuchen kann, um sie zu infizieren.

4. Backdoor-Programm: In der breiten Definition von Viren wurde auch Backdoor in die Kategorie der Viren aufgenommen. Die in Windows-Systemen aktive Hintertür, eine Waffe für Eindringlinge, ist auch auf Linux-Plattformen äußerst aktiv. Von einfachen Hintertüren, die System-Superuser-Konten hinzufügen, über das Laden von Systemdiensten, die Dateiinjektion gemeinsamer Bibliotheken, Rootkit-Toolkits bis hin zu ladbaren Kernelmodulen (LKM) ist die Hintertür-Technologie unter der Linux-Plattform sehr ausgereift, stark verborgen und schwer zu entfernen. Es ist ein äußerst problematisches Problem für Linux-Systemadministratoren.

Im Allgemeinen stellen Computerviren für Linux-Systeme keine große Gefahr dar. Aus verschiedenen Gründen koexistieren Linux- und Windows-Betriebssysteme jedoch häufig in Unternehmensanwendungen und bilden heterogene Netzwerke. Daher gliedert sich die Antiviren-Strategie von Linux in zwei Teile:

1. Präventionsstrategien für Linux selbst (Server und Computer, die es als Desktop verwenden).

Die Verhinderung von ausführbaren Dateiviren, Wurmviren und Skriptviren kann grundsätzlich durch die Installation von GPL-Virenprüf- und -tötungssoftware verhindert werden. Auf der Serverseite können Sie AntiVir (http://www.hbedv.com/) verwenden, das unter der Befehlszeile funktioniert und bei der Ausführung weniger Systemressourcen beansprucht.

Zur Verhinderung von Backdoor-Programmen können Sie LIDS (http://www.lids.org/) und Chkrootkit (http://www.chkrootkit.org/) verwenden. LIDS ist ein Linux-Kernel-Patch und ein Systemadministrator-Tool (lidsadm). was den Linus-Kernel stärkt. Wichtige Dateien im dev/-Verzeichnis können geschützt werden. Chkrootkit kann Systemprotokolle und Dateien erkennen, um festzustellen, ob Schadprogramme in das System eingedrungen sind, und nach Signalen suchen, die mit verschiedenen Schadprogrammen in Zusammenhang stehen. Die neueste Version von Chkrootkit0.45 kann 59 Arten von Sniffer, Trojanern, Würmern, Rootkits usw. erkennen.

2. Strategien zur Virenprävention für Windows-Systeme mit Linux-Server-Backends.

Viele Unternehmen nutzen Proxyserver, um auf das Internet zuzugreifen. Viele Windows-Benutzer werden beim Durchsuchen von HTTP-Webseiten und beim Herunterladen von Dateien mit Viren infiziert. Daher können Sie dem Proxyserver einen Virenfilter hinzufügen, um Viren auf den von Benutzern durchsuchten HTTP-Webseiten zu erkennen. Wenn festgestellt wird, dass ein Benutzer beim Surfen im Internet mit einem Virus infiziert ist, blockiert der Proxyserver diesen, verwirft virenhaltige Anfragen, blockiert unsichere Prozesse im Proxyserver und verhindert die Verbreitung virenhaltiger Daten auf dem Clientcomputer . Squid ist eine sehr gute Proxy-Server-Software, verfügt jedoch nicht über eine spezielle Virenfilterfunktion. Sie können die Verwendung eines Linux-basierten Virenfilter-Proxyservers in Betracht ziehen, der von deutschen Open-Source-Enthusiasten entwickelt wurde – HAVP (http://www.server-side.de/). Die HAVP-Virenfilter-Proxyserver-Software kann unabhängig oder in Reihe mit Squid verwendet werden, um die Virenfilterfunktion des Squid-Proxyservers zu verbessern.

Die Bereitstellung von E-Mail-Diensten ist eine wichtige Anwendung auf Linux-Servern. Sie können ClamAV (http://www.clamwin.com/) verwenden. Der vollständige Name von ClamAV lautet Clam AntiVirus. Es betont die Konzepte des offenen Programmcodes und der kostenlosen Lizenzierung Würmer, Trojaner-Programme und aktualisieren Sie die Datenbank jederzeit. Es gibt eine Gruppe von Virenexperten, die rund um die Uhr die Virendatenbank aktualisieren und pflegen und den Virencode sofort aktualisieren. Innerhalb weniger Tage haben Mailserver, die ClamAV im Netzwerk verwenden, die neuesten Schutzmaßnahmen abgeschlossen.

[Seite ausschneiden]

14. Verstärken Sie die Anmeldesicherheit

Durch Ändern der Datei /etc/login.defs können Sie Einstellungen wie Verzögerung bei Anmeldefehlern, Protokollierung, Längenbegrenzung für Anmeldekennwörter und Ablaufbegrenzung hinzufügen.

/etc/login.defs #Login-Passwort ist 90 Tage gültig

PASS_MAX_DAYS 90 #Die minimale Änderungszeit des Anmeldekennworts, um zu verhindern, dass illegale Benutzer es in kurzer Zeit mehrmals ändern

PASS_MIN_DAYS 0 #Die Mindestlänge des Login-Passworts beträgt 8 Zeichen

PASS_MIN_LEN 8 #Aufforderung zur Änderung des Anmeldekennworts 7 Tage im Voraus, wenn es abläuft

PASS_WARN_AGE 7 #Wartezeit 10 Sekunden, wenn ein Anmeldefehler auftritt

FAIL_DELAY 10 #Anmeldefehler im Protokoll aufgezeichnet

FAILLOG_ENAB ja #Verwenden Sie diese Option, wenn Sie Superuser auf die Verwaltung von Protokollen beschränken

SYSLOG_SU_ENAB ja #Verwenden Sie diese Option, wenn Sie die Verwaltungsprotokolle von Superuser-Gruppen einschränken

SYSLOG_SG_ENAB ja #Verwenden Sie es, wenn Sie MD5 als Kennwortverschlüsselungsmethode verwenden

15. Verwenden Sie OPENSSH anstelle von FTP und Telnet

Die von uns üblicherweise verwendeten Netzwerkübertragungsprogramme wie FTP und Telnet sind von Natur aus unsicher, da sie Passwörter und Daten im Klartext über das Netzwerk übertragen. Für Hacker ist es sehr einfach, diese Passwörter und Daten mithilfe von Sniffer abzufangen. Der vollständige englische Name von SSH ist Secure SHell. Durch die Verwendung von SSH können Benutzer alle übertragenen Daten verschlüsseln. Selbst wenn ein Hacker im Netzwerk die vom Benutzer übertragenen Daten kapern kann, stellen sie keine echte Bedrohung für die Datenübertragung dar, wenn sie nicht entschlüsselt werden können. Darüber hinaus werden die übertragenen Daten komprimiert, sodass die Übertragungsgeschwindigkeit beschleunigt werden kann. SSH hat viele Funktionen. Es kann nicht nur Telnet ersetzen, sondern auch einen sicheren „Übertragungskanal“ für FTP bereitstellen. In einer unsicheren Netzwerkkommunikationsumgebung bietet es einen starken Authentifizierungsmechanismus und eine sehr sichere Kommunikationsumgebung. SSH (Secure Shell) wurde ursprünglich von einem Unternehmen in Finnland entwickelt, aber aufgrund von Urheberrechtsbeschränkungen und Verschlüsselungsalgorithmen griffen viele Menschen auf die kostenlose Alternativsoftware OpenSSH zurück. Die Verwendung von OPENSSH über die Befehlszeile ist problematisch. Hier stellen wir die Integration von gFTP und OPENSSH vor, um eine grafisch verschlüsselte Übertragungslösung bereitzustellen. gFTP ist wie CuteFtp unter Windows sehr einfach zu verwenden und fast alle Linux-Distributionen verfügen über gFTP, das ohne Installation verwendet werden kann. Es gibt viele Client-Software, die SSH unter Windows unterstützt. Empfohlen werden Putty und Filezilla.

16. Sichern Sie wichtige Dateien

Viele Trojaner, Würmer und Hintertüren verstecken sich, indem sie wichtige Dateien ersetzen. Es ist eine gute Angewohnheit, die wichtigsten und am häufigsten verwendeten Befehle zu sichern. Bereiten Sie einen Satz schreibgeschützter Medien, CDs oder USB-Sticks vor oder laden Sie diese sogar online herunter. Kurz gesagt: Verwenden Sie bei Bedarf Originalbefehle und nicht Befehle, die möglicherweise im System infiziert sind. Beim Backup ist Folgendes zu beachten:

/bin/su

/bin/ps

/bin/rpm

/usr/bin/top

/sbin/ifconfig

/bin/mount

17. Patch-Probleme

Sie sollten immer auf der Homepage des Herausgebers des Systems, das Sie installieren, nach den neuesten Patches suchen. Das Betriebssystem ist die Seele des Computersystems, verwaltet die unterste Schicht des Systems und verwaltet und plant Subsysteme wie Speicher und Prozesse. Liegt eine Schwachstelle im Betriebssystem selbst vor, sind die Auswirkungen fatal. Der Kernel des Betriebssystems ist für die Netzwerksicherheit von entscheidender Bedeutung. Derzeit ist die Kernel-Wartung hauptsächlich in zwei Modi unterteilt: Für private Betriebssysteme wie Windows/Solaris usw. wird der Code von den internen Entwicklern des Unternehmens gepflegt und die Sicherheit gewährleistet, da einzelne Benutzer nicht direkt auf ihren Quellcode zugreifen können Vom selben Team werden Kernel-Korrekturen wie andere Anwendungen in Patch-/SP-Paketen veröffentlicht. Für ein offenes System wie Linux ist es eine offene Struktur. Man muss sagen, dass das offene Modell ein zweischneidiges Schwert ist. Mechanisch gesehen können Entwickler auf der ganzen Welt den Quellcode abrufen und die darin enthaltenen Lücken herausfinden. Es scheint, dass die Sicherheit besser sein sollte, wenn Netzwerkmanager den Kernel jedoch nicht rechtzeitig aktualisieren können links. Darüber hinaus gibt es viele Faktoren, die die Sicherheit des Betriebssystems beeinflussen. Von der Kompilierungsebene bis zur Benutzernutzungsebene usw. wirken sie sich alle auf die Sicherheit des Systems aus. Sicherheitsprobleme können nicht grundsätzlich durch einfaches Öffnen oder Schließen des Quellcodes gelöst werden. Wenn Sie ein Linux-Netzwerkadministrator sind, müssen Sie häufig auf der entsprechenden Website nachsehen, ob es Patches gibt, ob Fehlerbehebungen vorhanden sind und ob Upgrades erforderlich sind. Gehen Sie kein Risiko ein, sonst könnte ein Shell-Skript Ihre Website lahmlegen. Um ein berühmtes Sprichwort zu paraphrasieren: Ihr Server kann immer am nächsten Tag von Hackern übernommen werden.

Die auf dem Linux-Server ausgeführte Software umfasst hauptsächlich: Samba, FTP, Telnet, SSH, Mysql, PHP, Apache, Mozilla usw. Die meisten dieser Programme sind Open-Source-Software und werden ständig aktualisiert, wobei stabile Versionen und Beta-Versionen erscheinen abwechselnd. Auf www.samba.org und www.apache.org heißt es im neuesten ChangeLog: Bugfix, Security Bug Fix. Daher sollten Linux-Netzwerkadministratoren immer auf Fehlerbehebungen und Upgrades relevanter Websites achten und rechtzeitig Updates durchführen oder Patches hinzufügen.

Zusammenfassen:

So wie es keinen unzerbrechlichen Schutzschild gibt, ist auch kein System vollkommen sicher. Auch im Sicherheitsbereich kann niemand sagen, dass er ein Meister ist. Die Sicherheit des Systems wurde durch den Schweiß und die Weisheit vieler Vorgänger erreicht.

[Seite ausschneiden]

7. Netzwerk-Sniffing verhindern:

8. Vollständige Protokollverwaltung

Protokolldateien zeichnen für Sie jederzeit den Betriebszustand Ihres Systems auf. Wenn Hacker kommen, können sie den Augen der Protokolle nicht entkommen. Daher modifizieren Hacker bei Angriffen häufig Protokolldateien, um ihre Spuren zu verbergen. Daher müssen wir den Zugriff auf die Datei /var/log beschränken und Benutzern mit allgemeinen Berechtigungen das Anzeigen der Protokolldatei verbieten.

/etc/sysconfig/syslog

SYSLOGD_OPTIONS="-mr 0"

/etc/syslog.conf

*.* @log_server_IP

Es stehen farbige Protokollfilter zur Verfügung. Farbprotokoll-Lokfilter, die aktuelle Version ist 0.32. Verwenden Sie loco /var/log/messages |. more, um farbige Protokolle anzuzeigen und die Position von Root- und abnormalen Befehlen in den Protokollen deutlich zu kennzeichnen. Dies kann menschliche Unterlassungen bei der Protokollanalyse reduzieren. Darüber hinaus sind regelmäßige Kontrollen der Protokolle erforderlich. Red Hat Linux bietet das Logwatch-Tool, das Protokolle automatisch regelmäßig überprüft und E-Mails an das Postfach des Administrators sendet. Sie müssen die Datei /etc/log.d/conf/logwatch.conf ändern und die E-Mail-Adresse des Administrators nach dem Parameter MailTo = root hinzufügen. Logwatch überprüft regelmäßig Protokolle und filtert Informationen im Zusammenhang mit der Anmeldung über Root, Sudo, Telnet, FTP usw., um Administratoren bei der Analyse der täglichen Sicherheit zu unterstützen. Die vollständige Protokollverwaltung muss die Richtigkeit, Gültigkeit und Rechtmäßigkeit der Netzwerkdaten umfassen. Auch die Analyse von Logdateien kann Einbrüche verhindern. Wenn beispielsweise ein Benutzer innerhalb weniger Stunden 20 fehlgeschlagene Registrierungsdatensätze hat, ist es wahrscheinlich, dass der Eindringling das Kennwort des Benutzers ausprobiert.