天天看點

如何保護你的linux作業系統

使用SELinux

SELinux是用來對Linux進行安全加強的,有了它,使用者和管理者們就可以對通路控制進行更多控制。SELinux為通路控制添加了更細的顆粒度控制。與僅可以指定誰可以讀、寫或執行一個檔案的權限不同的是,SELinux可以讓你指定誰可以删除連結、隻能追加、移動一個檔案之類的更多控制。(LCTT譯注:雖然NSA也給SELinux貢獻過很多代碼,但是目前尚無證據證明SELinux有潛在後門)

訂閱漏洞警報服務

安全缺陷不一定是在你的作業系統上。事實上,漏洞多見于安裝的應用程式之中。為了避免這個問題的發生,你必須保持你的應用程式更新到最新版本。此外,訂閱漏洞警報服務,如SecurityFocus。

禁用不用的服務和應用

通常來講,使用者大多數時候都用不到他們系統上的服務和應用的一半。然而,這些服務和應用還是會運作,這會招來攻擊者。因而,最好是把這些不用的服務停掉。(LCTT譯注:或者幹脆不安裝那些用不到的服務,這樣根本就不用關注它們是否有安全漏洞和該更新了。)

檢查系統日志

你的系統日志告訴你在系統上發生了什麼活動,包括攻擊者是否成功進入或試着通路系統。時刻保持警惕,這是你第一條防線,而經常性地監控系統日志就是為了守好這道防線。

考慮使用端口試探

設定端口試探(Port knocking)是建立伺服器安全連接配接的好方法。一般做法是發生特定的包給伺服器,以觸發伺服器的回應/連接配接(打開防火牆)。端口敲門對于那些有開放端口的系統是一個很好的防護措施。

使用Iptables

Iptables是什麼?這是一個應用架構,它允許使用者自己為系統建立一個強大的防火牆。是以,要提升安全防護能力,就要學習怎樣一個好的防火牆以及怎樣使用Iptables架構。

預設拒絕所有

防火牆有兩種思路:一個是允許每一點通信,另一個是拒絕所有通路,提示你是否許可。第二種更好一些。你應該隻允許那些重要的通信進入。(LCTT譯注:即預設許可政策和預設禁止政策,前者你需要指定哪些應該禁止,除此之外統統放行;後者你需要指定哪些可以放行,除此之外全部禁止。)

使用入侵檢測系統

入侵檢測系統,或者叫IDS,允許你更好地管理系統上的通信和受到的攻擊。Snort是目前公認的Linux上的最好的IDS。

使用全盤加密

加密的資料更難竊取,有時候根本不可能被竊取,這就是你應該對整個驅動器加密的原因。采用這種方式後,如果有某個人進入到你的系統,那麼他看到這些加密的資料後,就有得頭痛了。根據一些報告,大多數資料丢失源于機器被盜。

本文轉自Linux就該這麼學部落格園部落格,原文連結:http://www.cnblogs.com/linuxprobe/p/5612314.html,如需轉載請自行聯系原作者

繼續閱讀