集团主站
欢迎来到成都达内官方网站!达内—美国上市公司 亿元级外企IT培训企业!
成都it培训哪家好
成都it培训哪家好
全国服务监督电话:15023458194  |   联系客服   |
当前位置:主页 > 培训课程 > Linux >

成都linux运维培训:怎么才能把Linux系统变的更加安全?

发布者: 成都达内     浏览次数:     发布时间:2018-12-19 11:32:03

做为一个运维小白,以为自己懂了点Linux知识,会搭建Linux各种服务就觉得自己牛。在我们团队里面,我将使用了一台破电脑搭建Linux服务器,上面跑着Ftp服务存放着资源...

  成都linux运维培训:怎么才能把Linux系统变的更加安全?

  做为一个运维小白,以为自己懂了点Linux知识,会搭建Linux各种服务就觉得自己牛。在我们团队里面,我将使用了一台破电脑搭建Linux服务器,上面跑着Ftp服务存放着资源,ssh服务可以远程登录,VPN业务可以访问内网的网络,Web服务存放着我们业务的各种脚本方便同事们随意查看资料,以及正在搞的多媒体服务。我了个去,那天上班,发现各种服务没了,然后登录上破电脑一看,啥资料都没了。

  当时一脸蒙蔽,不知发生了什么事情谁让是小白呢。找了朋友看,你被黑了,……。我脸真黑,他说也别查其它的了,重新安装系统和服务,重新加固系统安全,不要以为Linux安装好,就能在互联网上面直接裸奔。我无语!

  01

  安装用到的服务

  如果你在运行一台服务器,选择自己所需要的服务,尽量不要安装用不到的程序。尽管你可以在自己的服务器上安装任意软件。不过,别犯想当然的毛病。Linux服务器会有人在该服务器上运行的任何未打补丁或易受攻击的软件组件的空子而被劫持。这样你就悲剧了。

  所以,尽量让你的服务器更加精简。只安装你确实需要的那些程序。如果没有或者不需要的程序包,那就卸载掉。程序包数量越少,代码没打上补丁的可能性就越小,遭受潜在的危险就越小。

  02

  运行需要的服务程序

  就是只运行需要的那些服务程序,许多发行版或程序包可能会开启某些服务,并在不同的端口上运行。这就会带来安全风险,打开终端,运行下列命令:netstat -npl。

  输出结果会显示服务在哪些端口上运行。如果你发现有任何不应该运行的服务,那么立即停止。多密切关注已被启用、系统启动时运行的服务,只要是在运行systemd的系统上运行下列命令,就可以来检查这方面: systemctl list-unit-files --type=service | grep enabled 。如果是你发现有不需要的服务,可以使用systemct1命令来禁用它:systemctl disable service_name。

  成都linux运维培训:怎么才能把Linux系统变的更加安全?

  03

  禁止以根用户远程登录

  关闭root用户的直接访问,而使用sudo或su来执行管理员任务。关闭通过SSH直接访问root,需要再次打开sshd_config,找到下面这行,#PermitRootLogin yes ,更改为PermitRootLogin no,重启服务即可生效。我们总以为自己是菜鸟,没事就用root来吧,但你上面跑着服务,黑客并不管你是谁。

  04

  更改SSH默认端口

  在搭建好服务器后要做的第一件事情就是更改SSH的默认端口,这个小小的改动可以能够使你的服务器避免受到成千上万的暴力攻击。如果不更改默认端口,就如同黑客们知道你家的门牌号,这样他们只需要一把一把的试钥匙就可能打开你家的门锁。要更改默认的SSH端口,先打开sshd_config文件:sudo vim /etc/ssh/sshd_config,找到下面这行:#Port 22,“#”号表示这行是注释,首先删除#号,然后把端口号改成目的端口。端口号不能超过65535,确保要指定的端口号没有被系统或其它服务占用。比如我使用这个端口号:Port 16679,然后保存并关闭文件,systemctl restart sshd 重启服务!ssh服务也可以配置白名单限制ip登录,呃,暂时不知道怎么搞?!在破电脑被黑了之后,我说端口是23,我老大使劲恶心我。哎,我还郁闷了。

  05

  iptables

  iptables我是看着头晕,但被黑之后,我就老老实实的学习这玩意了。iptables可以根据流量的源地址、目的地址、传输协议、服务类型等信息进行匹配,一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量。iptables策略规则的匹配顺序是从上至下的,因此要把较为严格、优先级较高的策略规则放到前面,以免发生错误。可以通过iptables入站规则将公开和非公开服务区分,指向用户提供web接口。比如将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量:iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT, iptables -A INPUT -p tcp --dport 22 -j REJECT,iptables -L;更比如向INPUT规则链中添加拒绝192.168.10.5主机访问本机80端口(Web服务)的策略规则:iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT,iptables -L。尽管现在还是一脸懵逼,但启用了至少没比强,再专研下争取可以将iptables使用的更合理化。

  目前就做了这么多安全,希望能帮助跟我一样刚入门的运维小白,避免遇到像我开篇讲到的情况。总之开说,学习之路漫漫,要不断的一直更新自己的技术,借鉴他人经验,提升自己的能力,这才是立于互联网不败的根本!

(责任编辑:范老师)
最新开班
  • 成都Java培训班
    免费试听名额发放中...
  • 成都C++培训班
    免费试听名额发放中...
  • 成都PHP培训班
    免费试听名额发放中...
  • 成都网络工程培训班
    免费试听名额发放中...
  • 成都Unity3D培训班
    免费试听名额发放中...
  • 成都大数据培训班
    免费试听名额发放中...
  • 成都uid培训班
    免费试听名额发放中...
  • 成都会计培训班
    免费试听名额发放中...
  • 成都Python培训班
    免费试听名额发放中...
  • 成都嵌入式培训班
    免费试听名额发放中...
  • 成都web培训班
    免费试听名额发放中...
  • 成都软件测试培训班
    免费试听名额发放中...
在线留言
提交

校区地址:绵阳市涪城区临园路东段68号富临大都会7栋3单元9层12号

联系电话:15023458194

公交路线:富乐路口凯德广场(10路;29路;3路;15路;11路;15a路;71路)

校区地址:成都市锦江区东大街紫东楼端35号明宇金融广场19楼1906室

联系电话:15023458194

公交路线:芷泉街(18路;21路;43路;48路;104路;152路;335路 ) 地铁路线:东门大桥站(地铁2号线)

校区地址:成都市高新区奥克斯广场蜀锦路209号一楼商铺

联系电话:15023458194

公交路线:益州大道锦城大道口(18路;21路;43路;48路;104路;152路;335路 ) 地铁路线:孵化园(地铁1号线)

校区地址:成都锦江区东大街芷泉街229号东方广场C座3楼303

联系电话:15023458194

公交路线:芷泉街(188路;115路;515路;236路;505路;501路;84路 ) 地铁路线:东门大桥站(地铁2号线)

校区地址:成都市武侯区佳灵路3号红牌楼广场2号写字楼11楼1115号

联系电话:15023458194

公交路线:红牌楼东(11路;92路;100路;111路;139路;g28路;快速公交K1/K2) 地铁路线:红牌楼站(地铁3号线)

校区地址:成都市锦江区红星路二段70号四川日报大厦502-2

联系电话:15023458194

公交路线:市二医院站(6路;49路;102路;5路;37路;g92路;) 地铁路线:地铁市二医院(地铁3号线)

校区地址:成都市锦江区东大街芷泉段229号东方广场C座16层

联系电话:15023458194

公交路线:芷泉街(18路;21路;43路;48路;104路;152路;335路 ) 地铁路线:东门大桥站(地铁2号线)

校区地址:四川省成都市武侯区高新科技孵化园9号园区E座7楼

联系电话:15023458194

公交路线:益州大道锦城大道口(18路;21路;43路;48路;104路;152路;335路 ) 地铁路线:孵化园(地铁1号线)

校区地址:成都市人民南路一段86号“城市之心”大厦26楼

联系电话:15023458194

公交路线:成都市人民南路(6路;14路;42路;72路;76路;1010路;)

校区地址:成都市高新区奥克斯广场B座1708

联系电话:15023458194

公交路线:益州大道锦城大道口(18路;21路;43路;48路;104路;152路;335路 ) 地铁路线:孵化园(地铁1号线)

了解达内动态
关注成都达内教育公众号

首页 | 关于达内 | 课程中心 | 专家师资 | 视频教程 | 学员空间 | 校企合作 | 新闻资讯 | 就业指导 | 网站地图

2016-2025 达内时代科技集团有限公司 版权所有 京ICP证8000853号-56