Linux操作系统在服务器租用领域应用非常广泛,与此同时安全性问题也不容小视,网络上每天都存在扫描、注入、攻击等,而作为Linux的第一道入口“登录”显得至关重要。如何配置安全的登陆防护,今天跟大家重点分享一下!
在全世界,企业、大学、公共事业和家庭用户很多都是依赖Linux构建来运行他们的系统。由于其通用性,开源操作系统是工业环境的一个广泛解决方案,特别是在涉及到物联网(IoS)方面。而且由于其速度、可高度定制和安全性,它是许多网络管理员和程序员最受欢迎的选择。
本文的主题是安全性,对任何网络管理员来说都是一个主要问题。但是,与微软Windows相比,流行的神话常常将Linux视为非常安全的操作系统。我们不打算完全挑战这个想法,但正如我们所看到的,开源操作系统的用户在安全方面有很多问题需要担心。
Linux看起来安全吗?
一般来说,Linux被认为比Windows或MacOS更安全,原因有很多。
其开源特性:因为操作系统基于开源模型,所以像Debian和Ubuntu这样的常见构建经常受到大量用户的关注。用户往往具有技术知识,并有动力为bug修复做出贡献,从而在出现安全问题时产生快速补丁。
附件更难使用:在Windows系统中,钓鱼者通过引诱用户点击恶意链接而大做文章,恶意链接会执行恶意代码。但是对于像Ubuntu这样的软件包,这是不可能的。使用这些操作系统执行代码要复杂得多,自动附件对黑客来说通常不是一个有利可图的途径。
用户访问不是一个问题:与Windows不同,用户帐户通常会受到更多限制。通常,Windows用户可以更好地访问整个系统,这意味着恶意软件可以通过硬盘级联,从而造成直接伤害。在Linux中,根目录访问受到限制,攻击者在劫持用户帐户时通常无法获得远程访问权限。
出色的日志记录:当发生不良事件发生时,Debian等软件包的用户可以利用深入的日志和监控工具来获取详细的数据。这可有助于诊断,从而产生更高质量的补丁和解决方案。
然而,尽管如此,在网络安全方面,Linux并不是无懈可击的。 操作系统的安全优势可能会使用户感到一种安全感,认为Linux系统就是绝对安全的,这可能使他们容易受到密码破解和网络钓鱼的攻击。 此外,黑客已经创建了像Tsunami这样针对Linux系统的特定代理 - 随着物联网的发展,这个问题正在成倍增加。
Linux系统常见的网络安全威胁
那么,在安装配置Ubuntu或Debian时,网络管理员和技术人员要记住哪些主要是安全威胁?首先,这是内核本身的一些问题,这些问题近年来已经被标记出来,应该加以考虑。
内核溢出问题:附加到操作系统内核的应用程序在最近被证明是一个主要的弱点。例如,xt_TCPMSS net-filter在2017年被标记为一个主要的弱点。此过滤器有助于管理来自传入流量的TCP标头。通过劫持和改变它,黑客可以在DDoS攻击中释放出突然的流量。这对商业网络来说是个坏消息。
输入验证问题:在其他漏洞(例如NIST: CVE-2018-1000026)中,已发现有关bnx2x网卡驱动程序的问题。通过利用不充分的输入验证错误,攻击者可以直接将数据包发送到bnx2x卡上,其后果与DDoS攻击相同。
NCPFS缺点:在某些情况下,NCPFS文件系统可能是罪魁祸首(例如NIST:CVE-2018-8822)。这些情况往往涉及NCPFS对用户提供的数据进行不充分检查或攻击者利用应答长度验证过程的情况。而这一次,其后果不仅限于DDoS,还可能扩展到恶意代码的执行。
所有这些弱点都已被检测、报告和修补。它们不适用于操作系统的每个版本,并且已经由NIST提交,所以大家对它们都有相当程度的了解。如果最坏的情况发生,应该为他们提供解决方案。
但问题是,这些内核问题并不是网络必须应对的唯一与Linux相关的安全问题。技术人员还需要与其他因素作斗争:
第三方应用程序更值得关注,但bug修复和诊断的覆盖率要低得多。
当系统出现故障时,由于对关键数据源的备份不足,通常会导致数据丢失。网络管理员经常忽视了这一措施,而不是采用严格的备份程序,他们觉得自己的操作系统足够安全,可以推迟数据保护程序。
无论使用哪种操作系统,密码安全性都可能导致对业务网络和IoS设备的未经授权的访问。但是,如果用户因使用Linux而感觉到一种毫无根据的安全级别,这可能会导致他们将更少的资源专用于密码安全性,从而增加了黑客进行成功攻击的风险。
并非所有版本的操作系统都会定期打补丁,并且对补丁的了解可能会发生变化。与操作系统一样,旧版本更容易受到攻击者的攻击,因为它们缺乏最新的bug修复。
解决这些常见网络安全问题的方法
那么,考虑到这些漏洞,网络管理人员应该如何应对呢?Ubuntu或Debian爱好者采用下面的一些最佳实践和措施可以显著提高网络安全性:
确保已禁用root用户。通常,在设置网络时使用root用户,在此之后不需要root用户。应立即通过SSH禁用它们,确保黑客在访问网络时无法使用。
始终使用强密码。这可能是最重要的,也是被忽视的建议。所有用户都应该使用强密码(一般为12-16个字符,大小写混合,不要使用有意义的单词)。这些应该定期更改,并且建议采用全网范围的时间限制。
对所有流量使用数据加密。加密数据更不易被拦截和利用。像GnuPG这样的工具可以通过OpenPGP实现本地加密,这对任何网络工具包都是一个有价值的补充。还建议安装专业的SSL VPN,如ExpressVPN或SurfShark。这些工具将确保传入和传出的web流量是安全的。
审核活动包:有时,网络中充满了有可以访问Web的包。这些应用程序中的每一个都可能存在安全风险,而且很多都是不必要的。因此,要定期进行审计,以删除未使用的软件包。YUM (Yellow Dog Updater, Modified)是完成这项工作的好工具。
及时了解新的漏洞和补丁。最重要的是,那些负责网络的人需要关注他们的操作系统实施。保持Debian或Ubuntu更新的最新状态,并跟踪NIST数据库中的新条目。落后是致命的,并且占据了大多数成功的攻击。
Linux并不完美,远非如此。作为一个操作系统,它提供了Windows永远无法匹敌的安全级别,但它仍然容易受到外部攻击。从破坏性的DDoS攻击到恶意软件实现和数据丢失,糟糕的安全性对任何网络都可能造成极大的破坏。因此,优先考虑Linux安全性,并确保最强大的网络解决方案更不易受到破坏性攻击。
如何配置使得Linux系统更加安全
修改SSH端口
Linux系统默认使用22作为SSH端口,但是默认端口非常容易被扫描或者暴力破解,将其修改为一个不容易猜到的端口非常有必要。
root@ip-172-31-13-36:~# vi /etc/ssh/sshd_config
把22修改为其他端口即可!
禁用root直接登陆
root用户在Linux系统中处于天神级别,一旦被别人获取您服务器root权限,后果不堪设想。我们可以新建一个普通用户,然后将root用户禁止登录,大致的做法如下:
#新建一个用户mifan
useradd mifan
#为hixz设置密码
passwd mifan
#修改ssh配置文件
vi /etc/ssh/sshd_config
#将PermitRootLogin yes
改为PermitRootLogin no,
或者注释这一行
#重启ssh服务
service sshd restart
修改配置文件需要root用户才能执行,完成之后root用户将不能登录,使用普通用户(mifan)登录即可,若某些操作必须用到root权限,可以使用su -切换为root,或者加上sudo命令。
使用密钥文件登陆
1.使用命令ssh-keygen -t rsa生成密钥,会生成一个私钥和一个公钥,在提示输入passphrase时如果不输入,直接回车,那么以后你登录服务器就不会验证密码,否则会要求你输入passphrase,默认会将私钥放在/root/.ssh/id_rsa公钥放在/root/.ssh/id_rsa.pub
2.将公钥拷贝到远程服务器上的/root/.ssh/authorized_keys文件
,注意,文件名一定要叫authorized_keys
3.客户端上保留私钥,公钥留不留都可以。也就是服务器上要有公钥,客户端上要有私钥。这样就可以实现无密码验证登录了。
其他配置
不要随意执行来历不明的第三方脚本
不要擅自将服务器权限转交给他人
不要过度依赖于IDC商家的自动备份,自己定期备份数据也是非常重要的
及时检查修复服务器、程序漏洞
设置复杂的安全口令