V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
lusin
V2EX  ›  Linux

linux服务器一般都做哪些方面的安全措施

  •  
  •   lusin · 2012-12-26 11:49:24 +08:00 · 5909 次点击
    这是一个创建于 4379 天前的主题,其中的信息可能已经有所发展或是发生改变。
    14 条回复    1970-01-01 08:00:00 +08:00
    clino
        1
    clino  
       2012-12-26 11:52:35 +08:00
    可以找些旧贴参考 /t/36762
    terry
        2
    terry  
       2012-12-27 05:15:47 +08:00   ❤️ 3
    可以搜索一些 Linux Security Best Practice 核心是 SSH (sshguard/fail2ban)连接,文件/目录权限(suid/sgid),用户权限隔离,用 LXC 隔离容易受到攻击的服务,最小化系统(包)和服务,配置 iptables 规则等等,实际上可以做的很多,视实际情况而定。一般公司,或者 SA/SRE/DevOps 都有自己的 guideline 参考。

    推荐 NSA 的 cheat sheat 和 Security Guide
    http://www.nsa.gov/ia/_files/factsheets/rhel5-pamphlet-i731.pdf
    http://www.nsa.gov/ia/_files/os/redhat/NSA_RHEL_5_GUIDE_v4.2.pdf
    Livid
        3
    Livid  
    MOD
       2012-12-27 06:55:21 +08:00   ❤️ 3
    * 禁用密码登录,只开证书登录
    * 只开需要的端口,比如网站的话就只需要 22,80 和 443。Ubuntu 可以用 ufw,其他 OS 可以用 apf
    * 不要用 FTP 更新网站
    * 最好能让机房为你提供常见的 DDoS 攻击保护——UDP Flood,SYN Flood 等
    * 部署 DDoS Deflate 脚本 http://deflate.medialayer.com/
    cnleoyang
        4
    cnleoyang  
       2012-12-27 13:06:15 +08:00
    @terry 多谢分享,很酷阿,cheat sheet写得简洁明确
    Gawie
        5
    Gawie  
       2012-12-30 18:04:07 +08:00
    @Livid L大,不要FTP更新网站,那正常来讲应该用什么工具或者方法呢?经常用SFTP root更新,求普及
    Gawie
        6
    Gawie  
       2012-12-30 18:23:10 +08:00
    其实这段时间也是被入侵,在知乎和V2上面翻看很多,貌似目前对有价值的内容都来源于这两个网站,对于web程序和 LINUX 服务器安全管理的文章并不多, 这篇是前段时间V2一篇帖子,你可以看看:http://www.v2ex.com/t/46512

    很多人提到iptable,和用户权限隔离,对于新手来讲,iptable配置可以找到一些常用的方法,但是用户隔离试着GG找了很久,没有一些适合新手的办法,DDOS就不说了吧,这个离新手更远。

    @Livid L大,有没有一些有价值的文章,GG搜索来的貌似都是很早以前的,近期的一些有价值的文章不是太容易找,希望能推荐一些有价值的文章或者博客,类似常规的web,注入,XSS,CSRF和linux安全配置和防御相关的....





    @Livid
    terry
        7
    terry  
       2012-12-31 09:01:03 +08:00
    @Gawie rsync over SSH 最好,scp/sftp也行,不喜欢命令行的可以用 FileZilla ;-)

    关于隔离,看 cgroup 推荐用 LXC - Linux Containers
    asing
        8
    asing  
       2012-12-31 09:44:09 +08:00
    不用FTP更新要怎么操作?
    anyforever
        9
    anyforever  
       2012-12-31 10:08:39 +08:00
    @Gawie
    @asing Git || SVN
    Gawie
        10
    Gawie  
       2012-12-31 10:44:43 +08:00 via iPad
    @terry linux以来一直是用filezilla, 不过连接都是root,有影响么?权限方面?现在对于nginx下用户权限很迷惑。
    terry
        11
    terry  
       2012-12-31 17:24:22 +08:00
    @Gawie 对 nginx 不是特别熟,不好评论。

    不过 apache 的话,用 root rsync/scp 也没关系,之后 chown -R 给专门跑 http server 的用户和组就行了,不知道 nginx 对权限有什么特别的需求。
    Yooguo
        12
    Yooguo  
       2012-12-31 18:42:13 +08:00
    @Gawie 禁用root是必须的 肯定有影响 禁用之后选择其他账户登录之后su -l root
    google一下nginx 禁用root 就知道怎么操作了
    Gawie
        13
    Gawie  
       2012-12-31 19:40:36 +08:00
    @Yooguo 谢谢,更进一步,想求教下 肯定有 “什么影响”?

    @terry 目前就是对nginx用户和组权限比较迷惑,比如nginx对于跨站权限限制没有apache那么方便
    Yooguo
        14
    Yooguo  
       2012-12-31 21:39:26 +08:00
    @Gawie Linux的默认管理员名即是root,只需要知道ROOT密码即可直接登录SSH。禁止Root从SSH直接登录可以提高服务器安全性。

    每一个攻击者都知道系统中存在一个root帐户,但是他不知到其他存在的帐户。禁用root帐户使攻击变得更加复杂。

    相关 http://www.google.com.hk/search?hl=zh-CN&newwindow=1&safe=strict&tbo=d&q=nginx+%E7%A6%81%E7%94%A8root%E8%B4%A6%E5%8F%B7&oq=nginx+%E7%A6%81%E7%94%A8root%E8%B4%A6%E5%8F%B7&gs_l=serp.3...5272.6982.0.7186.9.9.0.0.0.0.272.1159.0j4j2.6.0...0.0...1c.1j4.Mzxcm4e_O4A
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3130 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 00:44 · PVG 08:44 · LAX 16:44 · JFK 19:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.