自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

【技術干貨】加固Linux工作站的6個方法

譯文
作者:布加迪編譯
安全 網(wǎng)站安全
本文介紹了安裝發(fā)行版后加強系統(tǒng)安全的若干必要步驟。

【51CTO.com快譯】對每個系統(tǒng)管理員來說,以下是應該采取的一些必要步驟:

  • 一律禁用Firewire和Thunderbolt模塊。
  • 檢查防火墻,確保所有入站端口已被過濾。
  • 確保root郵件轉(zhuǎn)發(fā)到你核查的帳戶。
  • 設立操作系統(tǒng)自動更新時間表,或者更新提醒內(nèi)容。

此外,你還應該考慮其中一些最好采取的步驟,進一步加固系統(tǒng):

  • 核查以確保sshd服務在默認情況下已被禁用。
  • 設置屏幕保護程序,在閑置一段時間后自動鎖定。
  • 安裝logwatch。
  • 安裝和使用rkhunter
  • 安裝入侵檢測系統(tǒng)

正如我之前說過,安全好比是在公路上開車――比你開得慢的人都是白癡,比你開得快的人都是瘋子。本文介紹的這些準則只是一系列基本的核心安全規(guī)則,它們并不全面,也代替不了經(jīng)驗、謹慎和常識。你應該稍稍調(diào)整這些建議,以適合本企業(yè)的環(huán)境。

Linux

1. 把相關模塊列入黑名單

想把Firewire和Thunderbolt模塊列入黑名單,將下列幾行添加到/etc/modprobe.d/blacklist-dma.conf中的文件:

  1. blacklist firewire-core  
  2. blacklist thunderbolt 

一旦系統(tǒng)重啟,上述模塊就會被列入黑名單。即便你沒有這些端口,這么做也沒有什么危害。

2. root郵件

默認情況下,root郵件完全保存在系統(tǒng)上,往往從不被讀取。確保你設置了/etc/aliases,將root郵件轉(zhuǎn)發(fā)到你實際讀取的郵箱,不然就有可能錯誤重要的系統(tǒng)通知和報告:

  1. # Person who should get root’s mail  
  2. root:           bob@example.com 

這番編輯后運行newaliases,對它測試一番,確保郵件確實已送達,因為一些電子郵件提供商會拒絕從根本不存在的域名或無法路由的域名發(fā)來的電子郵件。如果是這種情況,你需要調(diào)整郵件轉(zhuǎn)發(fā)配置,直到這確實可行。

3. 防火墻、sshd和偵聽守護進程

默認的防火墻設置將依賴你的發(fā)行版,但是許多允許入站sshd端口。除非你有一個充足而正當?shù)睦碛稍试S入站ssh,否則應該將這個過濾掉,禁用sshd守護進程。

  1. systemctl disable sshd.service  
  2. systemctl stop sshd.service 

如果你需要使用它,總是可以暫時啟動它。

通常來說,你的系統(tǒng)除了響應ping外,應該沒有任何偵聽端口。這將有助于你防范網(wǎng)絡層面的零日漏洞。

4. 自動更新或通知

建議開啟自動更新,除非你有非常充足的理由不這么做,比如擔心自動更新會導致你的系統(tǒng)無法使用(這種事之前發(fā)生過,所以這種擔心并非毫無根據(jù))。起碼,你應該啟用自動通知可用更新的機制。大多數(shù)發(fā)行版已經(jīng)讓這項服務自動為你運行,所以你很可能沒必要進行任何操作。查閱發(fā)行版的說明文檔,了解更多內(nèi)容。

5. 查看日志

你應該密切關注系統(tǒng)上發(fā)生的所有活動。由于這個原因,應該安裝logwatch,并對它進行配置,以便每晚發(fā)送活動報告,表明系統(tǒng)上發(fā)生的一切活動。這防止不了全身心投入的攻擊者,卻是一項很好的安全網(wǎng)功能,有必要部署。

請注意:許多systemd發(fā)行版不再自動安裝logwatch需要的syslog服務器(那是由于systemd依賴自己的日志),所以你需要安裝和啟用rsyslog,確保/var/log在logwatch具有任何用途之前不是空的。

6. rkhunter和IDS

除非你切實了解工作原理,并且采取了必要的步驟進行合理的設置(比如將數(shù)據(jù)庫放在外部介質(zhì)上,從可信任的環(huán)境運行檢查,執(zhí)行系統(tǒng)更新和配置變更后記得更新哈希數(shù)據(jù)庫,等等),否則安裝rkhunter以及aide或tripwire之類的入侵檢測系統(tǒng)(IDS)不是很有用。如果你不愿意采取這些步驟、調(diào)整在自己的工作站上執(zhí)行任務的方式,這些工具只會帶來麻煩,沒有任何實際的安全好處。

我們確實建議你應當安裝rkhunter、在晚上運行它。它學習和使用起來相當容易;雖然它發(fā)現(xiàn)不了狡猾的攻擊者,但是可幫助你發(fā)現(xiàn)自己的錯誤。

原文標題:9 Ways to Harden Your Linux Workstation After Distro Installation,作者:Konstantin Ryabitsev

【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】

責任編輯:趙寧寧 來源: 51CTO.com
Linux系統(tǒng)安全攻擊
相關推薦

2011-04-27 15:10:21

工作站戴爾T5400

2021-02-19 20:12:39

Linux開源開源工具

2014-07-22 16:05:48

PC圖形工作站浪潮

2011-05-31 17:21:29

工作站技巧

2011-10-20 13:48:09

聯(lián)想工作站

2017-12-13 17:43:40

2010-10-27 10:30:54

工作站液冷技術惠普

2011-04-27 13:12:00

工作站惠普散熱

2011-05-20 09:35:06

惠普工作站

2011-04-12 18:06:21

圖形工作站

2011-07-29 13:38:42

惠普工作站ANSYS

2011-05-04 16:52:46

2011-07-21 16:05:30

2011-05-07 14:15:39

工作站PC

2012-05-16 11:48:17

虛擬化

2021-09-24 18:12:06

戴爾

2011-06-01 17:37:22

惠普工作站省錢

2018-08-29 11:00:38

聯(lián)想

2011-06-08 12:07:13

工作站評測

2011-06-14 15:53:02

惠普工作站
點贊
收藏

51CTO技術棧公眾號