淺談Linux服務器安全防護部署

沈立翔

(國網福建省電力有限公司福州供電公司，福建 福州 350000)

淺談Linux服務器安全防護部署

沈立翔

(國網福建省電力有限公司福州供電公司，福建 福州 350000)

對Linux系統進行簡要介紹，并對其服務器安全防護部署提出具體可操作的解決措施。主要體現在用戶權限配置、系統服務配置、防火墻配置、系統優化和日志管理五個方面。在用戶權限配置方面，對用戶、密碼、注銷、權限提出命令策略；在系統服務配置方面，對主板、藍牙、網絡接口、存儲方面提出解決措施；并提出防火墻應盡量保持開啟；以及在系統優化配置方面，對交換分區，網絡接口優化管理，IP標識提出優化管理策略；并對日志管理提出具體連串的命令。希望本文提出的Linux服務器安全防護部署能對實際運用操作提供參考和借鑒價值。

Linux服務器；安全；防火墻；系統優化

1 引言

Linux是一款相對來講比較開放的源代碼操作系統，它與Windows系統、Mac系統稱為三大操作系統。其中，相比另兩款操作系統，Linux系統具有自身獨特的特征和功能，它的穩定性、開源性、安全性和強大的負載能力使得它具有明顯不同于Windows系統和Mac系統的特點，而受到強大的用戶群體支持。然而，Linux系統雖然安全，但是也存在著自身的安全漏洞，需要針對其服務器進行必要的安全防護配置，來增強Linux服務器的安全性，減少被病毒和黑客攻擊的可能性。具體的安全防護部署配置體現在用戶權限配置、系統服務配置、防火墻配置、系統優化和日志管理五個方面。

2 用戶權限配置

用戶權限配置主要是通過一些具體的設置來提升或者降低用戶進入系統的權限。具體可以從以下六個方面來進行配置。

（1）如果Linux系統存在很多用戶，就要針對不同的用戶進行分類和分組，當一些用戶經常不在使用或者對系統本身構成危害時，就要考慮對這些用戶進行刪除和屏蔽操作。較多的用戶對Linux系統本身就構成了不安全的因素，所以有必要通過刪除和屏蔽用戶來提升系統安全性。

命令：userdel用戶名

Groupdel用戶組名

（2）用戶登錄Linux系統時，為了提升系統安全性，常常需要在登錄系統的時候輸入密碼，而有些用戶設置的密碼過于簡單，或者是用自己的生日和身份證號作為密碼，往往很容易被破解。所以為了提升系統的安全性，可以在Linux系統中強制要求用戶密碼的長度必須不能小于8位，且必須是數字，小寫字母和大寫字母的組合。

命令：vi.etc.login.defs

PASS_MAX_DAYS 60

PASS_MIN_LENGTH 8

（3）用戶在使用系統時，往往會因為有事而中途離開一會，有的會忘記注銷，而在這段時間就容易遭到系統侵入，從而對用戶系統產生威脅，所以有必要在系統中設置用戶在一段時間沒有操作就采用強制注銷的命令，通過強制注銷來保證用戶自身的數據和資料的安全和保障隱私。

命令：vi.etc.profile

TMOUT=300

（4）有些用戶為了自己方面，沒有設置密碼，這大大增加用戶系統被侵犯和盜取信息的可能性。所以，系統應當定時檢測是否存在空密碼的用戶，如果存在的話強行給予更改密碼，對不正常的黑名單用戶將給予直接刪除。

命令：gawk-F‘：’（S=2）{print s1}.etc.shadow

（5）系統中往往存在著root特權用戶，能對系統直接更改權限，要定期檢測除了特權用戶之外是否還有別的用戶，一般來說，一個Linux系統建議只有一個root特權用戶，如果還存在別的特權用戶的話，需要給予降權或刪除的方式來保證系統的安全性。

命令：gawk-F‘：’（S=3&&S1！=“root”）{print s1}.etc. password

（6）‘.’路徑在Linux系統中存在安全隱患，黑客往往通過侵入‘.’的方式來侵害系統。所以，要定期刪除系統中設置的‘.’路徑，而且刪除‘.’路徑對系統的正常運行不會產生影響。

命令：echo PATH

3 系統服務配置

Linux系統中存在著一系列的服務進程，是Linux中不可缺少的組成部分，這些進程支持Linux系統的正常運行，但是在實際運行的過程中這些服務進程并不是每一個都要開啟的，這不僅會拖慢系統運行的速度，而且也會增大系統資源占用，加大系統的安全隱患。所以在具體運行中，一些服務進程可以關閉，以下介紹可以關閉的系統服務：

（1）apmd是在BIOS主板中的高級電源管理服務，可以用來自動檢測電池電量，當電池出現電量較低的問題時，可以通過自動關機來保護電腦的數據和主機硬件。但是對于機房的電腦來說，一般不存在電量不足的問題，所以對于這個功能可以關閉服務，從而減少對系統資源的占用。

（2）Bluetooth是系統中的藍牙設備，一般是針對筆記本設備來連接平板電腦和手機的，但是一般在服務器的機房中是不會用到這個功能，所以可以直接關閉。

（3）arpwatch記錄日志是通過構建一個在LAN接口看到的以太網地址和IP地址，然后建立在數據庫的基礎上，配合arptables使用，就可以起到保護系統的作用。但是在機房的電腦中，服務器的外圍一般都會有設立硬件防火墻來保障整個機房和服務器的安全，所以此程序用處不大，建議關閉。

（4）memcached是高性能的緩存裝載系統，開啟后可以加快動態web應用程序，減輕數據庫的負載。如果服務器中有數據庫服務器作為緩存，那么強烈建議開啟此服務，如果沒有數據庫服務器，那就沒有必要開啟。

4 防火墻配置

防火墻是保護系統最直接有效的配置，Linux系統也不例外。在Linux系統中，防火墻為iptables保護程序，存在于計算器和網絡之間，通過判斷網絡中的遠程訪問途徑是否使用和侵犯了計算機中的資源，來判斷是否給予攔截。防火墻一般由驗證工具、服務器訪問規則、包過濾和應用網關四個部分構成。

現在的網絡環境安全性能較高，一般是在服務器群之外都會配置相應的硬件防護防火墻，甚至有的還配置Web防火墻，也就是數據在經過兩層防火墻的時候已經經過了雙重過濾，一般來說這樣的數據對系統已經基本構不成威脅。但是，為預防突發性事故的發生，防火墻iptables程序的開啟是有其必要性的。例如服務器群組外的硬件防火墻突然斷電、防火墻內部的系統出現錯誤，系統崩潰等一系列問題，在這種情況下，Linux系統中的iptables防火墻就起到了應有的作用，能夠在其他防火墻功能都缺失的情況下，采取最后一道防線來保護系統，在最重要和關鍵的時候保護整個服務器的安全，減少服務器不必要的數據損失。

5 系統優化

在裝好Linux系統時，有必要對系統進行優化和瘦身，從而保證系統的效率運行。可以從以下六個方面來對系統進行優化。

（1）交換分區是Linux系統中一個重要的功能，其初衷是為了通過設置物理內存和虛擬內存的容量，來提高系統運行的效率，往往是通過將交換分區swap設置為物理內存的1.5-2倍，但是在實際使用過程中，往往用不到那么多的內存，這不僅會產生很大的浪費，還會拖慢系統運行速度，增大系統的能耗。所以，在實際使用中，要觀察系統實際的使用率，如果實際使用率低于35%，就可以將swap設置關閉，從而提高系統的運行效率。

命令：free–m查看交換分區情況

swapoff-a關閉交換分區

swapon-a開啟交換分區

（2）網絡接口優化管理。正常情況下，網絡接口會通過RX-ERR,TX-ERR,RX-DRP.TX-DRP,TX-OVR和RX-OVR等端口來優化，其端口值一般為0，如果在使用中發現這幾個選項不是0值，且數值變動相差很大，那么就可以斷定網絡質量存在問題，網絡性能有可能下降，有必要對網絡接口進行檢查。可以首先檢查硬件設備，例如網絡接口是否連接良好，網卡驅動是否正常，如果網絡硬件沒有問題，就要進一步檢查軟件，檢查網絡部署內部和外部環境是否合理。

命令：netstat

（3）緩存內存處理與保存。Linux系統雖然較為穩定，但是在運行過程中依然會出現突然崩潰、假死和重啟的情況，這時操作系統就會自動緩存程序當前運行的臨時數據，保存在系統的Core Dump文件中，方便用戶再次重啟系統時保存尚未儲存的數據。可是Core Dump文件會占用大量的存儲空間，拖慢系統的速度，所以，在系統正常的時候，可以將Core Dump文件關閉。

命令：vi.Etc.security.limuts.conf

Soft core 0

Hard core 0

（4）電腦的IP是電腦的身份標識，黑客和入侵者往往會偽造成用戶電腦的IP來侵入用戶的系統，同時為了防止被用戶發現，偽造大量的源IP數據包，再通過侵入用戶的系統對其他用戶的系統進行進一步的IP詐騙。因此，用戶需要在系統中采取措施防止IP詐騙。

命令：vi host.Conf

Order bind,hosts

Multi off

Nospoof on

6 日志管理

在Linux操作系統中，日志是非常重要的一個組成部分，它記錄了系統發生的每一個事件，在系統發生問題的時候，管理人員可以通過查看日志來了解系統的每一個程序記錄，通過分析這些記錄進一步了解系統是怎樣被入侵的，以及系統該采取怎樣的措施進行防御。

命令：cat.war.log.messages查看系統日志

cat.war.log.secure查看系統安全日志

last查看使用者登錄日志

lastlog查看最近每個使用者登錄系統的時間

dmesg查看最后一次系統引導日志

cat.var log.cron查看定時任務日志

cat.var.log.maillog查看郵件系統日志

7 結語

當今社會是信息技術高速發展的社會，信息對各行各業乃至整個國家的發展至關重要。完善的信息基礎設施和信息網絡，是社會發展的重要保證。而信息網絡則是需要完善穩定的系統作為支撐，Linux系統具有自身獨特的穩定性與安全性，越來越多的企業、單位和個人都開始使用Linux系統。在Linux系統正常運行的時候，通過采取多種措施進行安全防護部署，可以有效提升系統的安全性。希望本文提出的諸多安全措施能夠對Linux服務器實際操作起到參考和借鑒作用。

[1]蔡德明．鳥哥的Li n u x私房菜服務器篇[M]．3版．北京：人民郵電出版社，2 0 10．

[2]黃楓．Li n u x服務器安全配置策略[J]．華南金融電，2 0 0 6(12)：15-18．

[3]A r o nH s i a o．Li n u x系統安全基礎[M]．北京：人民郵電出版社，2 0 0 8．

[4]黃楓．Li n u x網絡安全問題的探討及其解決策略[J]．北京工業職業技術學院學報，2 0 0 4(3)：2 5-2 8．

The Security of Linux Server Deployment

Shen Lixiang
(Fuzhou Power Supply Company,State Grid Fujian Electric Power Co.Ltd.,Fuzhou 350000,Fujian)

This paper briefly introduces the Linux system,and puts forward some specific measures to solve the security of the server.It includes five aspects:user rights configuration,system service configuration,firewall configuration,system optimization and log management.In the user configuration,the order strategies of user,password,logout and permissions are proposed;in the service configuration,the solutions of the motherboard,Bluetooth,network interface and storage are put forward;it is proposed that the firewall should be kept open;in the system optimization,the optimization strategies of the swap partition,management interface network and IP logo are proposed;it puts forward a series of commands in the log management.It is hoped that the Linux server security and deployment discussed in this paper can provide reference for practical operation.

Linux server;security;firewall;system optimization

TP393.08；TP316.81

A

1008-6609(2016)11-0050-03

沈立翔（19 8 9-），男，福建長泰人，研究生，中級工程師，研究方向為信息工程、信息技術。