当前位置：文江博客话题详情

Linux SELINUX security

Linux 中的最佳安全实践

发布于 2024-07-07 17:23:24 字数 191 浏览 6 评论 0 原文

在维护 Linux 服务器时，您强烈推荐哪些安全最佳实践？
（即启动防火墙、禁用不必要的服务、提防 suid 可执行文件等等。）

另外：是否有关于 Selinux 的明确参考？

编辑：是的，我计划将机器放在互联网上，至少有 openvpn、ssh 和 apache（目前没有动态内容），并为某些人提供 shell 访问。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

七颜 2024-07-14 17:23:24

对于 SELinux，我发现SELinux 示例非常有用。它非常深入地探讨了如何确保服务器尽可能安全，并且针对如此广泛的主题写得非常好。

但总的来说：

禁用任何你不需要的东西。攻击范围越广，出现漏洞的可能性就越大。
在任何有意义的服务器前面使用入侵检测系统 (IDS) 层。
将服务器置于与内部网络不同的安全区域中。
尽快部署更新。
及时了解针对您的远程访问应用程序的 0day 攻击。

回复收藏 0 原文

云之铃。 2024-07-14 17:23:24

简短的回答是，这取决于。这取决于您使用它的目的，这反过来又会影响您应该投入多少精力来保护该东西。

这个问题的答案中有一些方便的提示：
保护 Linux Web 服务器以供公共访问

如果您不将盒子扔到互联网上，其中一些答案不相关。如果您将其扔到互联网上并在其上托管一些甚至模糊有趣的内容，那么这些答案对您来说就太自由放任了。

回复收藏 0 原文

兮颜 2024-07-14 17:23:24

NSA 文档“NSA Security Guide for RHEL5”位于：

http://www.nsa.gov/ia/_files/os/redhat/rhel5-guide-i731.pdf

这非常有帮助，至少是系统的。

回复收藏 0 原文

若能看破又如何 2024-07-14 17:23:24

软件限制为您真正使用的唯一软件
通过 sudo、ACL、内核功能和 SELinux/AppArmor/PaX 策略限制用户的权限
强制使用硬密码（没有人类可以理解的单词、没有生日日期等）
将用于“危险”应用程序的 LXC 计数器、chroot 或虚拟服务器监狱
安装一些 IDS，例如用于网络流量的 Snort 和用于日志分析的 OSSEC
监控服务器
加密您的敏感数据（truecrypt 是众神的礼物）
使用 GRSecurity 修补您的内核：这增加了一种非常好的偏执水平，

这或多或少就是我会做的。

编辑：我添加了一些我之前忘记命名的想法......

回复收藏 0 原文

情愿 2024-07-14 17:23:24

1.) 仅启用必要且相关的端口。

2.) 定期扫描网络数据输入 - 输出

3.) 定期扫描访问服务器的 IP 地址，并验证是否从日志/跟踪中发现与这些 IP 地址相关的任何异常数据活动

4.) 如果存在某些关键和机密的情况数据和代码，需要存在于服务器上，可能可以加密

-AD

回复收藏 0 原文

梦年海沫深 2024-07-14 17:23:24

目标：
最困难的部分始终是定义您的安全目标。那时其他一切都相对容易。

探索/研究：
考虑攻击者会采取的相同方法，即网络侦察（namp对此非常有帮助）。

更多信息：
SELinux 的例子是一本很有帮助的书，但找到一个好的集中的 SELinux 信息源仍然很困难。
我有一小部分有用的链接，我有时觉得它们很有用 http://delicious.com/reverand_13/selinux有用

的解决方案/工具：
就像大多数人会说的那样，少即是多。对于带有 SELinux 的开箱即用的精简框，我建议使用 Clip (http://oss.tresys. com/projects/clip）。我的一个朋友在一次学术模拟中使用了它，其中该盒子受到其他参与者的直接攻击。我记得这个故事的结局对这个盒子来说非常有利。

您需要熟悉 SELinux 策略的编写。模块化政策也可能会有所帮助。诸如 SLIDE 和 seeedit（尚未尝试）之类的工具可能会对您有所帮助。

回复收藏 0 原文

少钕鈤記 2024-07-14 17:23:24

除非必要，否则不要使用 DNS 服务器。 BIND 一直是安全问题和漏洞利用的热点。

回复收藏 0 原文

娇柔作态 2024-07-14 17:23:24

强化 Linux 服务器是一个广泛的话题，它主要取决于您的需求。

一般来说，您需要考虑以下几组问题（我将给出每组中的最佳实践示例）：

启动和磁盘
Ex1：禁用从外部设备启动。
示例2：为 GRUB 引导加载程序设置密码 - 参考。
文件系统分区
Ex1：将用户分区（/home、/tmp、/var）与操作系统分区分开。
示例 2：在分区上设置 nosuid – 以防止使用 setuid 位进行权限升级。
内核
Ex1：更新安全补丁。
示例 2：在此处了解更多信息。
网络
Ex1：关闭未使用的端口。
Ex2: 禁用 IP 转发。
Ex3：禁用发送数据包重定向。
用户/帐户
Ex1：强制执行强密码 (SHA512)。
例2：设置密码时效和过期时间。
Ex3：限制用户使用旧密码。
审核和记录
示例1：配置 auditd - ref 。
示例2：使用journald配置日志记录 - ref。
服务
Ex1：删除未使用的服务，例如：FTP、DNS、LDAP、SMB、DHCP、NFS、SNMP 等。
EX2：如果您使用的是 Apache 或 nginx 等 Web 服务器 - 不要以 root 身份运行它们 - 阅读更多内容这里。
Ex3：安全 SSH ref。
软件
确保删除未使用的软件包。