各人都認(rèn)為 Linux 默認(rèn)是安詳?shù)模腋怕允浅姓J(rèn)的 (這是個有爭議的話題)。Linux默認(rèn)確實有內(nèi)置的安詳模子。你需要打開它而且對其舉辦定制，這樣才氣獲得更安詳?shù)?a href="http://www.qzkangyuan.com/html/help/vps/2016/0912/4199.html">系統(tǒng)。Linux更難打點，不外相應(yīng)也更機動，有更多的設(shè)置選項。

對付系統(tǒng)打點員，讓產(chǎn)物的系統(tǒng)更安詳，免于駭客和黑客的進攻，一直是一項挑戰(zhàn)。這是我們關(guān)于“如何讓Linux系統(tǒng)更安詳” 可能 “加固Linux系統(tǒng)“之類話題的第一篇文章。本文將先容 25個有用的能力和竅門 ，輔佐你讓Linux系統(tǒng)越發(fā)安詳。但愿下面的這些能力和竅門可以輔佐你增強你的系統(tǒng)的安詳。

1. 物理系統(tǒng)的安詳性

設(shè)置BIOS，禁用從CD/DVD、外部設(shè)備、軟驅(qū)啟動。下一步，啟用BIOS暗碼，同時啟用GRUB的暗碼掩護，這樣可以限制對系統(tǒng)的物剖析見。

通過配置GRUB暗碼來掩護Linux處事器

2. 磁盤分區(qū)

利用差異的分區(qū)很重要，對付大概得劫難，這可以擔(dān)保更高的數(shù)據(jù)安詳性。通過分別差異的分區(qū)，數(shù)據(jù)可以舉辦分組并隔分開來。當(dāng)意外產(chǎn)生時，只有出問題的分區(qū)的數(shù)據(jù)才會被粉碎，其他分區(qū)的數(shù)據(jù)可以保存下來。你最好有以下的分區(qū)，而且第三方措施最好安裝在單獨的文件系統(tǒng)/opt下。

/
/boot
/usr
/var
/home
/tmp
/opt

3. 最小包安裝，最少裂痕

你真的需要安裝所有的處事么？發(fā)起不要安裝無用的包，制止由這些包帶來的裂痕。這將最小化風(fēng)險，因為一個處事的裂痕大概會危害到其他的處事。找到并去除可能遏制不消的處事，把系統(tǒng)裂痕淘汰到最小。利用‘chkconfig‘呼吁列出運行級別3的運行所有處事。

# /sbin/chkconfig --list |grep '3:on'

當(dāng)你發(fā)明一個不需要的處事在運行時，利用下面的呼吁遏制這個處事。

# chkconfig serviceName off

利用RPM包攬理器，譬喻YUM可能apt-get 東西來列出所有安裝的包，而且操作下的呼吁來卸載他們。

# yum -y remove package-name
# sudo apt-get remove package-name

5 chkconfig Command Examples

20 Practical Examples of RPM Commands

20 Linux YUM Commands for Linux Package Management

25 APT-GET and APT-CACHE Commands to Manage Package Management

4. 查抄網(wǎng)絡(luò)監(jiān)聽端口

在網(wǎng)絡(luò)呼吁 ‘netstat‘ 的輔佐下，你將可以或許看到所有開啟的端口，以及相關(guān)的措施。利用我上面提到的 ‘chkconfig‘ 呼吁封鎖系統(tǒng)中不想要的網(wǎng)絡(luò)處事。

# netstat -tulpn

Linux 網(wǎng)絡(luò)打點中的 20 條 Netstat 呼吁

5. 利用 SSH（Secure Shell）

Telnet 和 rlogin 協(xié)議只能用于純文本，不能利用加密的名目，這或?qū)?dǎo)致安詳裂痕的發(fā)生。SSH 是一種在客戶端與處事器端通訊時利用加密技能的安詳協(xié)議。

除非須要，永遠都不要直接登錄 root 賬戶。利用 “sudo” 執(zhí)行呼吁。sudo 由 /etc/sudoers 文件擬定，同時也可以利用 “visudo” 東西編輯，它將通過 VI 編輯器打開設(shè)置文件。

同時，發(fā)起將默認(rèn)的 SSH 22 端標(biāo)語改為其他更高的端標(biāo)語。打開主要的 SSH 設(shè)置文件并做如下修改，以限制用戶會見。

# vi /etc/ssh/sshd_config

封鎖 root 用戶登錄

PermitRootLogin no

特定用戶通過

AllowUsers username

利用第二版 SSH 協(xié)議

Protocol 2

SSH 處事器安詳維護五條最佳實踐

6. 擔(dān)保系統(tǒng)是最新的

得一直擔(dān)保系統(tǒng)包括了最新版本的補丁、安詳修復(fù)和可用內(nèi)核。

# yum updates
# yum check-update

7. 鎖定 Cron任務(wù)

Cron有它本身內(nèi)建的特性，這特性答允界說哪些人能哪些人不能跑任務(wù)。這是通過兩個文件/etc/cron.allow 和 /etc/cron.deny 節(jié)制的。要鎖定在用Cron的用戶時可以簡樸的將其名字寫到corn.deny里，而要答允用戶跑cron時將其名字加到cron.allow即可。假如你要克制所有用戶利用corn，那么可以將“ALL”作為一行加到cron.deny里。

# echo ALL >>/etc/cron.deny

11 個linux Cron調(diào)治實例

8. 克制USB探測

許多環(huán)境下我們想去限制用戶利用USB，來保障系統(tǒng)安詳和數(shù)據(jù)的泄露。成立一個文件‘/etc/modprobe.d/no-usb‘而且操作下面的呼吁來克制探測USB存儲。

install usb-storage /bin/true

9.打開SELinux