Linux服务器的安全防护有哪些措施
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux服务器的安全防护有哪些措施相关的知识,希望对你有一定的参考价值。
一、强化密码强度只要涉及到登录,就需要用到密码,如果密码设定不恰当,就很容易被黑客破解,如果是超级管理员(root)用户,如果没有设立良好的密码机制,可能给系统造成无法挽回的后果。
很多用户喜欢用自己的生日、姓名、英文名等信息来设定,这些方式可以通过字典或者社会工程的手段去破解,因此建议用户在设定密码时,尽量使用非字典中出现的组合字符,且采用数字与字符、大小写相结合的密码,增加密码被破译的难度。
二、登录用户管理
进入Linux系统前,都是需要登录的,只有通过系统验证后,才能进入Linux操作系统,而Linux一般将密码加密后,存放在/etc/passwd文件中,那么所有用户都可以读取此文件,虽然其中保存的密码已加密,但安全系数仍不高,因此可以设定影子文件/etc/shadow,只允许有特殊权限的用户操作。
三、账户安全等级管理
在Linux操作系统上,每个账户可以被赋予不同的权限,因此在建立一个新用户ID时,系统管理员应根据需要赋予该账号不同的权限,且归并到不同的用户组中。每个账号ID应有专人负责,在企业中,如果负责某个ID的员工离职,该立即从系统中删除该账号。
四、谨慎使用"r"系列远程程序管理
在Linux操作系统中,有一系列r开头的公用程序,如rlogin、rcp等,非常容易被不法分子用来攻击我们的系统,因此千万不要将root账号开放给这些公用程序,现如今很多安全工具都是针对此漏洞而设计的,比如PAM工具,就可以将其有效地禁止掉。
五、root用户权限管理
root可谓是Linux重点保护对象,因为其权利是最高的,因此千万不要将它授权出去,但有些程序的安装、维护必须要求是超级用户权限,在此情况下,可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。
六、综合防御管理
防火墙、IDS等防护技术已成功应用到网络安全的各个领域,且都有非常成熟的产品,需要注意的是:在大多数情况下,需要综合使用这两项技术,因为防火墙相当于安全防护的第一层,它仅仅通过简单地比较IP地址/端口对来过滤网络流量,而IDS更加具体,它需要通过具体的数据包(部分或者全部)来过滤网络流量,是安全防护的第二层。综合使用它们,能够做到互补,并且发挥各自的优势,最终实现综合防御。 参考技术A 方法非常多:1.设置严格的权限2.定期检查文件系统,避免程序文件带有setuidsetgid权限find/-typef-perm+6000很多系统文件带有这样的特殊权限,需要加以区分的3.设置磁盘配额,避免非法占用过多磁盘空间4.为不允许修改的文件设置i属性,为日志类文件增加a属性,是的文件不能被修改或者只能追击内容而不能修改和删除chattr+ifilenamechattr+afilename5对于存储数据的文件系统,还可以为mount命令指定-onoexec,nosuid选项
使用 iframe 显示外部内容时都有哪些安全风险和可能的预防措施?
【中文标题】使用 iframe 显示外部内容时都有哪些安全风险和可能的预防措施?【英文标题】:What are the security risks and possible preventive measures when using an iframe to display external content?使用 iframe 显示外部内容时有哪些安全风险和可能的预防措施? 【发布时间】:2011-12-18 19:53:49 【问题描述】:我正在为 A 公司构建一个 PHP Web 应用程序,用户可以在其中登录和管理他们库存中的某些项目。出于维护等原因,我想自己托管此应用程序,以确保服务器符合预期的性能标准,并且因为公司 B 或 C 可能也需要相同的服务。
A 公司(B 和 C 也一样)想要的是让这个应用程序可以从他们域上的子页面访问。我已经了解了 URL 重写和链接的可能性,但我决定使用 iframe 在他们的网站上显示应用程序。
我以前使用过 iframe,但在处理私有数据时从未使用过,因此我不太熟悉使用 iframe 所带来的安全风险。我在谷歌搜索后发现的许多示例都是黑客将具有自己目标的 iframe 添加到现有代码中的风险,而不是有害地使用现有代码。我应该注意什么并尽量避免发生?
如果我完全不同意这个,我可以使用什么其他方法来代替 iframe?鉴于上述要求。
【问题讨论】:
【参考方案1】:首先,您最好的解决方案可能是使用指向托管应用程序的服务器的子域。因此,A 公司可以在companya.com
上拥有他们的常规网站,但在app.companya.com
上拥有应用程序。
关于框架,我认为在您的情况下无需担心任何安全“风险”。 iframe 将属于您,您可以控制它。 Javascript 的同源策略防止不同域(和子域,除非设置了document.domain
)上的帧相互访问。因此 iframe 将无法访问父级,反之亦然。
但是,我假设该应用程序是独立的,并且不依赖于父站点的任何内容。在这种情况下,一切都会发生在框架中,并且框架不需要以任何方式进行通信。
当然,框架的缺点是,当您在 iframe 中加载新页面时,明显的 URL 和页面标题将保持不变,这会降低可用性(如果担心的话,对 SEO 也不利)。
【讨论】:
以上是关于Linux服务器的安全防护有哪些措施的主要内容,如果未能解决你的问题,请参考以下文章