14个Linux系统安全小妙招，总有一招用的上！

对于互联网IT从业人员来讲，愈来愈多的工做会逐渐转移到Linux系统之上，这一点，不管是开发、运维、测试都应该是深有体会。曾有技术调查网站W3Techs于2018年11月就发布一个调查报告，报告显示Linux在网站服务器的系统中使用率高达37.2%，这一数据也代表，Linux系统被普遍应用。其实，除了在网站服务器中的应用，Linux系统还被用于DNS域名解析服务器、电子邮件服务器、一些开源软件的应用（大数据应用：据Linux基金会的研究，86%的企业已经使用Linux操做系统进行云计算、大数据平台的构建）服务器等之上。

大多数使用者都会认为Linux默认是安全的，有时候这种说法也的确是一个存在争议的话题。Linux默认确实有内置的安全模型。你须要打开它而且对其进行定制，这样才能获得更安全的系统。Linux更难管理，不过相应也更灵活，有更多的配置选项。

对于系统管理员，让产品的系统更安全，免于骇客和黑客的攻击，一直是一项挑战。并且，近些年来对于Linux遭遇攻击的案例不少，因此，如何构建一个安全、强大且牢固的Linux系统一直是一个可探索性的话题。今天，民工哥将从系统的各个层面，给你们分享一下我在平常工做中是如何构建、或者加固Linux系统安全的。但愿这些方法对你有所帮助，码字不易，若有帮助，请转发分享加点在看支持一下民工哥。

一、物理安全

这应该说是对于服务器安全保障的第一步。

硬件服务器，首先得专业人的来作专业的维护。其次就是关闭从CD/DVD等这些方面的软启动方式。同时也能够设置BIOS密码，而且要有限制访问的策略与各种流程管控。

还能够禁用USB设备来达到安全的目的:

vim /etc/modprobe.d/stopusb
install usb-storage /bin/true

或者使用下面的命令将USB的驱动程序删除

[root@rs-server ~]# mv /lib/modules/3.10.0-693.el7.x86_64/kernel/drivers/usb/storage/usb-storage.ko.xz

二、保证系统最新

这个就是说要保证系统无其它漏洞存在，好比：已经有的漏洞要及时的修复。保证系统包含了最新版本的补丁、安全修复和可用内核。

yum updates
yum check-update

这个就须要管理员常常关注国内外关于、系统最新漏洞以及补丁发布的信息了：

三、最小化处理原则

不管是安装系统，仍是经常使用的软件，都必须遵照这个原则：最小化安装，同时也是减小漏洞存在的可能性。

对于系统一些没必要要的服务、端口，建议关闭。

[root@rs-server ~]# chkconfig --list |grep "3:on"
network 0:off 1:off 2:on 3:on 4:on 5:on 6:off

而后使用下面的命令关闭：

chkconfig service-name off

四、登陆与链接

对于Linux服务器来讲，通常都是采用远程登陆（SSH）链接的方式去进行登陆操做。所以：

第一步：就是除了非必要状况，杜绝使用root用户登陆，可使用sudo来进行提权操做，而后利用系统命令将/etc/sudoers文件锁定（除root用户以外的用户无权限修改）。

第二步：建议修改SSH配置文件，好比默认端口号22，禁止root密码登陆（有些自有机房的还能够直接禁用root用户经过SSH协议登陆）等。

[root@rs-server ~]# vim /etc/ssh/sshd_config
#Port 22
可修改为其它端口号，民工哥经常使用IP+22混合使用
#PermitRootLogin yes
将yes改为No
#PermitEmptyPasswords no
打开注释便可
#AllowUsers username
指定特定的用户经过SSH协议进行远程链接

对于生产中的服务器，咱们还可使用堡垒机进行链接限制：

手把手从0开始教你搭建Jumpserver,为服务器安全保驾护航！

五、用户管理

Linux是一个可多用户并行操做的系统，因此，系统也对用户进行了划分：超级用户与普通用户。二者权限不一样，所以，能干的事也有所不一样，因此，对于用户的管理也是很是重要的一步。

设置用户密码：

这个能够经过系统命令passwd来进行设置，通常建议使用强度比较复杂的密码，且各个系统中相同的用户使用不一样的密码（平常可使用管理器来管理）。

[root@rs-server ~]# passwd mingongge
Changing password for user mingongge.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.

临时用户管理：

对于这种须要的临时用户管理，通常是使用事后能够删除，也能够在一段时间后将其锁定不让其再登陆，在下次须要登陆时再次开启权限。

删除用户很简单，可使用系统命令userdel -r username 进行删除。

锁定用户其实就是修改用户的属性：

[root@rs-server ~]# usermod -L mingongge

咱们打开终端尝试登陆看看：

这时发现已经没法正常登陆链接了，代表刚刚的配置是正确的。等到下次须要登陆时，可使用下面的命令进行解锁：

[root@rs-server ~]# usermod -U mingongge
#-L lock
#-U unlock

六、文件管理

这里的文件管理指的是存储用户信息的重要文件：/etc/passwd、/etc/shadow这两个文件。

[root@rs-server ~]# stat /etc/passwd
File: ‘/etc/passwd’
Size: 945 Blocks: 8 IO Block: 4096 regular file
Device: fd00h/64768d Inode: 17135889 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2019-08-06 01:14:37.439994172 +0800
Modify: 2019-08-06 01:14:37.440994172 +0800
Change: 2019-08-06 01:14:37.442994172 +0800
Birth: -
[root@rs-server ~]# stat /etc/shadow
File: ‘/etc/shadow’
Size: 741 Blocks: 8 IO Block: 4096 regular file
Device: fd00h/64768d Inode: 17135890 Links: 1
Access: (0000/----------) Uid: ( 0/ root) Gid: ( 0/ root)
Access: 2019-08-06 01:14:37.445994172 +0800
Modify: 2019-08-06 01:14:37.445994172 +0800
Change: 2019-08-06 01:14:37.447994172 +0800
Birth: -

通常从上面的一些文件属性上能够看出是否是这些文件遭遇篡改了，因此，通常状况建议将此两个文件锁定除了root用户以外的用户无权限修改与访问。

七、启用防火墙

利用系统的防火墙来过滤出入站的流量，这是一个很好的预防攻击的策略，并且系统防火墙的规则能够逐条设置，很是强大，强裂建议开启。

Linux系统安全配置iptables服务介绍

八、软件包的管理

对于系统安装的软件，咱们使用RPM包管理器来管理，对于使用yum或者apt-get命令列出来的软件，在对其进行删除、卸载时，必定要使用下面的命令进行：

yum -y remove software-package-name

sudo apt-get remove software-package-name

九、禁用Crtl+Alt+Del 重启

多数服务器在按下Crtl+Alt+Del组合键后，都会使用服务器重启，这个对于线上服务器来讲是绝对不友好的一个安全因素，必须禁止，不然一个误操做就形成很大的影响。

#CentOS6 禁用Ctrl+Alt+Del重启功能
#方法一：
vi /etc/init/control-alt-delete.conf
#start on control-alt-delete #注释此行

#方法二：
mv /etc/init/control-alt-delete.conf /etc/init/control-alt-delete.conf.bak

#注：两种方法都无需重启系统便可生效

对于CentOS7 来讲，方法有所不一样：

[root@rs-server ~]# cat /etc/inittab
# inittab is no longer used when using systemd.
#
# ADDING CONFIGURATION HERE WILL HAVE NO EFFECT ON YOUR SYSTEM.
#
# Ctrl-Alt-Delete is handled by /usr/lib/systemd/system/ctrl-alt-del.target
#
# systemd uses 'targets' instead of runlevels. By default, there are two main targets:
#
# multi-user.target: analogous to runlevel 3
# graphical.target: analogous to runlevel 5
#
# To view current default target, run:
# systemctl get-default
#
# To set a default target, run:
# systemctl set-default TARGET.target
#
这个文件里已经说明了相关的介绍。

通过测试，若是将上面文件中的配置注释掉以后，reboot命令会不生效了：

[root@rs-server ~]# ll /usr/lib/systemd/system/ctrl-alt-del.target
lrwxrwxrwx. 1 root root 13 Mar 14 17:27 /usr/lib/systemd/system/ctrl-alt-del.target -> reboot.target

这个ctrl-alt-del.target这是reboot.target的软连接。因此，最终正确的方法是：移动掉这个文件到其它目录，而后重载配置文件使用其它生效，若是再须要这个功能就只须要从新添加这个软件连接便可。

十、监控用户行为

若是你的系统中有不少的用户，去收集每个用户的行为和和他们的进程消耗的信息很是重要。能够随后和一些性能优化和安全问题处理时进行用户分析。可是若是监视和搜集用户行为信息呢 ？有两个颇有用的工具‘psacct‘ 和 ‘acct‘能够用来监视系统中用户的行为和进程。

[root@rs-server ~]# yum install psacct -y
使用方法以下：

ac 统计用户链接时间
ac       #显示全部用户链接总时间
ac -p    #显示每一个用户链接时间
ac -d    #显示天天全部用户链接总时间
ac silence      #显示指定用户链接时间
ac -d silence   #显示指定用户天天链接时间

sa 输出用户活动信息
sa      #显示全部用户执行命令状况
sa -u   #按用户显示执行命令状况
sa -m   #按进程显示执行命令状况
sa -p   #按使用率显示执行命令状况

lastcomm 输出最近执行命令信息
lastcomm            #显示全部执行命令
lastcomm silence    #显示指定用户执行命令
lastcomm ls         #显示指定命令执行状况

其余
last        #查看最近用户登陆成功列表
last -x     #显示系统关机、从新开启等信息
last -a     #将IP显示在最后一列
last -d     #对IP进行域名解析
last -R     #不显示IP列
last -n 3   #显示最近3条
lastb       #查看最近用户登陆失败的列表

具体的使用例子：
[root@rs-server ~]# ac -p
root 71.88
total 71.88
[root@rs-server ~]# sa -u
root 0.00 cpu 1043k mem 0 io accton 
root 0.00 cpu 3842k mem 0 io systemd-tty-ask 
root 0.03 cpu 72576k mem 0 io pkttyagent 
root 0.00 cpu 32112k mem 0 io systemctl 
root 0.00 cpu 2674k mem 0 io systemd-cgroups 
root 0.07 cpu 37760k mem 0 io ps 
root 0.00 cpu 28160k mem 0 io grep 
root 0.00 cpu 1080k mem 0 io ac 
root 0.14 cpu 0k mem 0 io kworker/u256:0 *
root 0.10 cpu 0k mem 0 io kworker/0:0 *
root 0.02 cpu 0k mem 0 io kworker/0:2 *

[root@rs-server ~]# lastcomm sa
sa root pts/0 0.00 secs Tue Aug 6 02:15

[root@rs-server ~]# last -x
root pts/0 192.168.1.14 Tue Aug 6 00:48 still logged in 
root tty1 Tue Aug 6 00:48 still logged in 

[root@rs-server ~]# lastb
mingongg ssh:notty 192.168.1.14 Tue Aug 6 01:11 - 01:11 (00:00)
mingongg ssh:notty 192.168.1.14 Tue Aug 6 01:11 - 01:11 (00:00)

btmp begins Tue Aug 6 01:11:27 2019

十一、按期检查日志

将系统及其重要的日志保存在本服务器以外的专业日志服务器上，从而避免黑客经过分析日志来入侵系统及应用，如下是常见的日志文件：

十二、数据备份

这个不用说都知道是很是重要的，尤为是重要的生产数据，必须本地、异地、不一样介质备份及保存，同时还须要按期检查数据的完整性、可用性。

Xtrabackup实现数据的备份与恢复

高逼格企业级MySQL数据库备份方案，原来是这样....

关于数据误删后恢复：不当心执行了 rm -f，先别急着跑路 ！

1三、安全工具

对于系统来讲，经常使用的安全扫描工具是必备的，好比：扫描开放端口nmap。对于系统中的WEB应用等来讲，可使用一些开源的工具：IBM AppScan、SQL Map等，一样这类的商用产品也不少，这里就不作介绍了（又不给我广告费）。

对于文件有文件加密工具，对于系统还有一些入侵检测、漏洞扫描工具，不管是开源仍是商业，都是能够根据实际需求与企业成原本决定使用哪一款工具。

1四、管理方法

对于安全管理来讲，好的流程与管理制度一样也是必须的，不然，上述13点基本的做用为0，有方法，没有制度去让方法落地执行！！

因此，不管对于小企业、大企业来讲，流程、管理制度始终是先行于全部的处理方法以前的。人才是世界上最不可控的因素！！

不掉坑，不背锅！史上最全的服务器安全管理规范开源了

但愿这些方法对你有所帮助，码字不易，若有帮助，请转发分享加点在看支持一下民工哥。以上就是民工哥结合我的工做经验的一些总结，可能不全也可能会有不正之处，若是你也有不一样的理解或强化系统安全的方法，也请文章后面留言分享出来，咱们一探讨、一同交流、共同构建更增强大、安全、可靠的Linux系统环境。

关注民工哥技术之路微信公众号，在后台回复关键字：1024 能够获取一份最新整理的技术干货。