怎么提高Linux系统的安全
导读:本文共2538字符,通常情况下阅读需要8分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要: 1.确保共享内存的安全黑客攻击总会想查看共享内存,所以保证共享内存的安全的重要性不言而喻。可以修改 /etc/fstab文件来确保共享内存的安全。首先,使用终端命令打开文件sudonano/etc/fstab然后,文件的底部加入如下代码tmpfs/run/shmtmpfsdefaults,noexec,nosuid00保存,关闭文件。为了使改变生效,需要重启Ub... ...
目录
(为您整理了一些要点),点击可以直达。1.确保共享内存的安全
黑客攻击总会想查看共享内存,所以保证共享内存的安全的重要性不言而喻。可以修改 /etc/fstab文件来确保共享内存的安全。
首先,使用终端命令打开文件
sudonano/etc/fstab
然后,文件的底部加入如下代码
tmpfs/run/shmtmpfsdefaults,noexec,nosuid00
保存,关闭文件。为了使改变生效,需要重启Ubuntu 16.04.
2.允许特定用户的ssh登录
假如说你只想用户名为olivia,IP地址为192.168.1.152的用户通过secure shell,做法是这样的:
1.打开终端命令窗口
2.使用命令打开ssh配置文件
sudonano/etc/ssh/sshd_config
3.在文件最下面,添加AllowUsers olivia@192.168.1.152
4.保存,关闭文件
5.使用命令重启sshd
sudoservicesshrestart
到这里,secure shell只会让IP地址为192.168.1.152的olivia获得访问Ubuntu服务器的权限。如果其他人尝试使用ssh访问服务器,他们会被要求输入密码,但是即使密码正确,访问Ubuntu服务器也会被拒绝。
假如,你想让你的网络下的所有用户都能通过ssh访问服务器的话,添加如下代码
AllowUsers @192.168.1.
重启ssh服务器,就生效了。
3.添加一个安全登录banner
添加一个安全登录bannner似乎对你的服务器安全没有什么作用,但是假如有人获得访问你服务器的权限后,看到了banner上的警告信息,可能会思考再三要不要继续下去。虽然这是一种心里作用,但是也不要小瞧了它。
创建一个新的banner步骤如下:
1.打开终端窗口
2.执行命令
sudonano/etc/issue.net
3.添加合适的警告信息
4.关闭,保存文件
接下来,我们要禁止motd显示banner。首先打开终端输入如下命令
sudonano/etc/pam.d/sshd
加入下面两行(每行前加#)
sessionoptionalpam_motd.somotd=/run/motd.dynamicsessionoptionalpam_motd.sonoupdate
在文本编辑器里打开 /etc/ssh/sshd_config文件,加入
Banner/etc/issue.net
关闭,保存文件
最后,使用命令重启ssh服务器
sudoservicesshrestart
这时,假如有人通过ssh登录你的服务器,他们就会看到你新加的banner,警告他们你在留意。
4.增强网络层
为避免你的Ubuntu服务器上源路由输入包,并且打印出所有畸形IP地址,可以使用命令
sudonano/etc/sysctl.conf
然后添加如下内容
#IPSpoofingprotectionnet.ipv4.conf.all.rp_filter=1net.ipv4.conf.default.rp_filter=1#IgnoreICMPbroadcastrequestsnet.ipv4.icmp_echo_ignore_broadcasts=1#Disablesourcepacketroutingnet.ipv4.conf.all.accept_source_route=0net.ipv6.conf.all.accept_source_route=0net.ipv4.conf.default.accept_source_route=0net.ipv6.conf.default.accept_source_route=0#Ignoresendredirectsnet.ipv4.conf.all.send_redirects=0net.ipv4.conf.default.send_redirects=0#BlockSYNattacksnet.ipv4.tcp_syncookies=1net.ipv4.tcp_max_syn_backlog=2048net.ipv4.tcp_synack_retries=2net.ipv4.tcp_syn_retries=5#LogMartiansnet.ipv4.conf.all.log_martians=1net.ipv4.icmp_ignore_bogus_error_responses=1#IgnoreICMPredirectsnet.ipv4.conf.all.accept_redirects=0net.ipv6.conf.all.accept_redirects=0net.ipv4.conf.default.accept_redirects=0net.ipv6.conf.default.accept_redirects=0#IgnoreDirectedpingsnet.ipv4.icmp_echo_ignore_all=1
关闭,保存文件,使用如下命令重启。
sudosysctl-p
5.避免IP地址欺骗
接下来通过简单的操作就可以避免IP地址欺骗。使用如下终端命令:
sudonano/etc/host.conf
打开之后的文件是像这样的:
#The"order"lineisonlyusedbyoldversionsoftheClibrary.orderhosts,bindmultion
更改这个文件为:
#The"order"lineisonlyusedbyoldversionsoftheClibrary.orderbind,hostsnospoofon
保存,关闭文件,现在不会有IP地址欺骗了。
</div> <div class="zixun-tj-product adv-bottom"></div> </div> </div> <div class="prve-next-news">
怎么提高Linux系统的安全的详细内容,希望对您有所帮助,信息来源于网络。