使用开源工具来保护你的Linux环境不被入侵。
现在我们的许多个人和专业数据都可以在网上获得,因而无论是专业人士还是普通互联网用户,学习安全和隐私的基本知识是极其重要的。作为一名中学生linux 定时器程序,我通过中学的CyberPatriot活动获得了这方面的经验,在那儿我有机会与行业专家交流,了解网路漏洞和构建系统安全的基本步骤。
本文基于我作为初学者迄今所学的知识,详尽介绍了六个简单的步骤linux 软件,以提升个人使用的Linux环境的安全性。在我的整个旅程中,我借助开源工具来加速我的学习过程,并熟悉了与提高Linux服务器安全有关的更高层次的概念。
我使用我最熟悉的Ubuntu18.04版本测试了这种步骤,但这种步骤也适用于其他Linux发行版。
1、运行更新
开发者们不断地找寻方式,通过修复已知的漏洞,使服务器愈发稳定、快速、安全。定期运行更新是一个好习惯,可以最大限度地增强安全性。运行它们:
sudo apt-get update && apt-get upgrade
2、启用防火墙保护
启用防火墙可以更容易地控制服务器上的检票和出站流量。在Linux上有许多防火墙应用程序可以使用,包括firewall-cmd和简单防火墙UncomplicatedFirewall(UFW)。我使用UFW,所以我的事例是专门针对它的,但这种原则适用于你选择的任何防火墙。
安装UFW:
sudo apt-get install ufw
假如你想进一步保护你的服务器linux防火墙设置,你可以拒绝传入和传出的联接。请注意,这将切断你的服务器与世界的联系,所以一旦你封锁了所有的流量,你必须指定什么出站联接是容许从你的系统中发出的:
sudo ufw default deny incoming
sudo ufw default allow outgoing
你也可以编撰规则来容许你个人使用所须要的传入联接:
ufw allow
比如,容许SSH联接:
ufw allow ssh
最后,启用你的防火墙:
sudo ufw enable
3、加强密码保护
施行强有力的密码新政是保持服务器安全、防止网路功击和数据泄漏的一个重要方面。密码策略的一些最佳实践包括强制要求最小宽度和指定密码年纪。我使用libpam-cracklib软件包来完成这种任务。
安装libpam-cracklib软件包:
sudo apt-get install libpam-cracklib
强制要求密码的宽度:
为避免密码重复使用:
要强制要求密码年纪:
PASS_MIN_AGE: 3
PASS_MAX_AGE: 90
PASS_WARN_AGE: 14
强制要求字符尺寸:
4、停用容易被借助的非必要服务。
停用何必要的服务是一种最好的做法。这样可以降低开放的端口,便于被借助。
安装systemd软件包:
sudo apt-get install systemd
查看什么服务正在运行:
systemctl list-units
辨识什么服务可能会造成你的系统出现潜在的漏洞。对于每位服务可以:
5、检查窃听端口
开放的端口可能会带来安全风险,所以检测服务器上的窃听端口很重要。我使用netstat命令来显示所有的网路联接:
netstat -tulpn
查看“address”列,确定端标语。一旦你找到了开放的端口,检测它们是否都是必要的。倘若不是,调整你正在运行的服务,或则调整你的防火墙设置。
6、扫描恶意软件
杀毒扫描软件可以有用的避免病毒步入你的系统。使用它们是一种简单的方式,可以让你的服务器免受恶意软件的侵犯。我首选的工具是开源软件ClamAV。
安装ClamAV:
sudo apt-get install clamav
更新病毒签名:
sudo freshclam
扫描所有文件,并复印出被感染的文件,发觉一个都会响铃:
sudo clamscan -r --bell -i /
你可以并且应当设置为手动扫描,这样你就毋须记住或花时间自动进行扫描。对于这样简单的手动化,你可以使用systemd定时器或则你的喜欢的cron来做到。
保证你的服务器安全
我们不能把保护服务器安全的责任只交给一个人或一个组织。随着恐吓环境的不断迅速扩大,我们每位人都应当意识到服务器安全的重要性,并采用一些简单、有效的安全最佳实践。
这种只是你提高Linux服务器的安全可以采取的诸多步骤中的一部份。其实linux 定时器程序,防治只是解决方案的一部份。这种策略应当与严格监控拒绝服务功击、用Lynis做系统剖析以及创建频繁的备份相结合。
你使用什么开源工具来保证服务器的安全?在评论中告诉我们它们的情况。
via:
作者:SahanaSreeram选题:lujun9972译者:wxy校对:wxy
本文由LCTT原创编译,Linux中国荣誉推出