这种感觉并不是某一个网络管理员的个别感觉,从点击设置安全参数的用户界面,到一个需要编辑复杂且难于查找内容的文本文件的方式,这个转变让很多刚接触linux的管理员一时难于适应。大多数管理员都知道需要手动来设置防护措施来阻挡准黑客们的攻击,以保证公司数据的安全性。但是这是他们所不熟悉的Linux世界,他们不能非常确定究竟该从何入手。
那么这就是笔者写这篇文章要解决的问题。本文将讲解一些可供管理员采用的建议,以帮助他们使公司的Linux服务器更加安全,从而大大减少他们将面对的安全风险。
1、保护好你的root帐号
Linux系统中的root帐号就是超级管理员的代名词,这是系统的最后一道防线,突破了它,就可以访问一切文件,可以发起任何操作。因此,我们非常有必要对他额外关照,专门通过设置来加强对它的保护。
首先通过passwd命令为它设置一个很难让别人猜到的密码,并且定期对其进行修改,而且它的密码除了单位内个别关键的人物外,不能透漏给其他人。
另外,通过编辑/etc/securetty文件,限制root用户使用终端,当root用户试图登陆时,login程序先来查阅/etc/securetty,看看其中是否列出了当前字符终端设备,如果没有,login则认为它不安全,而提示输入口令。
为了防止用户以root登陆终端后忘了退出,可以设置root登陆后不活动的超时时间,方法是设置本地变量中的TMOUT属性。并且确保禁用root用户的历史操作命令,因为这可能包含了一些敏感信息,方法是设置本地变量中的HISTFILESIZE为0。
最后,强制制定一些策略来规定使用这个帐号只能执行一些特定的管理任务,并禁止用户默认使用root帐号登陆。
小技巧:关闭了上述漏洞后,接下来要做的是要求每一个普通用户帐号都必须设置密码,并且确保密码不要采用很容易被人猜到的启发式密码,例如生日、姓名或常用的英文单词等。
