linux服务器一般都做哪些方面的安全措施

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 4349 天前的主题，其中的信息可能已经有所发展或是发生改变。

Linux

安全措施

哪些方面

14 条回复 • 1970-01-01 08:00:00 +08:00

clino

2012-12-26 11:52:35 +08:00

可以找些旧贴参考 /t/36762

terry

2012-12-27 05:15:47 +08:00

可以搜索一些 Linux Security Best Practice 核心是 SSH （sshguard/fail2ban）连接，文件/目录权限（suid/sgid），用户权限隔离，用 LXC 隔离容易受到攻击的服务，最小化系统（包）和服务，配置 iptables 规则等等，实际上可以做的很多，视实际情况而定。一般公司，或者 SA/SRE/DevOps 都有自己的 guideline 参考。

推荐 NSA 的 cheat sheat 和 Security Guide
http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf
http://www.nsa.gov/ia/_files/os/redhat/NSA_RHEL_5_GUIDE_v4.2.pdf

Livid

MOD

2012-12-27 06:55:21 +08:00

* 禁用密码登录，只开证书登录
* 只开需要的端口，比如网站的话就只需要 22，80 和 443。Ubuntu 可以用 ufw，其他 OS 可以用 apf
* 不要用 FTP 更新网站
* 最好能让机房为你提供常见的 DDoS 攻击保护——UDP Flood，SYN Flood 等
* 部署 DDoS Deflate 脚本 http://deflate.medialayer.com/

cnleoyang

2012-12-27 13:06:15 +08:00

@terry 多谢分享，很酷阿，cheat sheet写得简洁明确

Gawie

2012-12-30 18:04:07 +08:00

@Livid L大，不要FTP更新网站，那正常来讲应该用什么工具或者方法呢？经常用SFTP root更新，求普及

Gawie

2012-12-30 18:23:10 +08:00

其实这段时间也是被入侵，在知乎和V2上面翻看很多，貌似目前对有价值的内容都来源于这两个网站，对于web程序和 LINUX 服务器安全管理的文章并不多，这篇是前段时间V2一篇帖子，你可以看看：http://www.v2ex.com/t/46512

很多人提到iptable，和用户权限隔离，对于新手来讲，iptable配置可以找到一些常用的方法，但是用户隔离试着GG找了很久，没有一些适合新手的办法，DDOS就不说了吧，这个离新手更远。

@Livid L大，有没有一些有价值的文章，GG搜索来的貌似都是很早以前的，近期的一些有价值的文章不是太容易找，希望能推荐一些有价值的文章或者博客，类似常规的web，注入，XSS，CSRF和linux安全配置和防御相关的....

@Livid

terry

2012-12-31 09:01:03 +08:00

@Gawie rsync over SSH 最好，scp/sftp也行，不喜欢命令行的可以用 FileZilla ;-)

关于隔离，看 cgroup 推荐用 LXC - Linux Containers

asing

2012-12-31 09:44:09 +08:00

不用FTP更新要怎么操作？

anyforever

2012-12-31 10:08:39 +08:00

@Gawie
@asing Git || SVN

Gawie

2012-12-31 10:44:43 +08:00 via iPad

@terry linux以来一直是用filezilla, 不过连接都是root，有影响么？权限方面？现在对于nginx下用户权限很迷惑。

terry

2012-12-31 17:24:22 +08:00

@Gawie 对 nginx 不是特别熟，不好评论。

不过 apache 的话，用 root rsync/scp 也没关系，之后 chown -R 给专门跑 http server 的用户和组就行了，不知道 nginx 对权限有什么特别的需求。

Yooguo

2012-12-31 18:42:13 +08:00

@Gawie 禁用root是必须的肯定有影响禁用之后选择其他账户登录之后su -l root
google一下nginx 禁用root 就知道怎么操作了

Gawie

2012-12-31 19:40:36 +08:00

@Yooguo 谢谢，更进一步，想求教下肯定有 “什么影响”？

@terry 目前就是对nginx用户和组权限比较迷惑，比如nginx对于跨站权限限制没有apache那么方便

Yooguo

2012-12-31 21:39:26 +08:00

@Gawie Linux的默认管理员名即是root，只需要知道ROOT密码即可直接登录SSH。禁止Root从SSH直接登录可以提高服务器安全性。

每一个攻击者都知道系统中存在一个root帐户，但是他不知到其他存在的帐户。禁用root帐户使攻击变得更加复杂。

相关 http://www.google.com.hk/search?hl=zh-CN&newwindow=1&safe=strict&tbo=d&q=nginx+%E7%A6%81%E7%94%A8root%E8%B4%A6%E5%8F%B7&oq=nginx+%E7%A6%81%E7%94%A8root%E8%B4%A6%E5%8F%B7&gs_l=serp.3...5272.6982.0.7186.9.9.0.0.0.0.272.1159.0j4j2.6.0...0.0...1c.1j4.Mzxcm4e_O4A