账户安全是系统安全的第一道屏障,也是系统安全的核心,保障登录账户的安全,在必定程度上可以进步香港服务器的安全级别,下面重点介绍下Linux系统登录账户的安全设置方法。
Linux供给了各种不同角色的系统账号,在系统安装完成后,默认会安装很多不必要的用户和用户组,如果不需要某些用户或者组,就要立即删除它,因为账户越多,系统就越不安全,很可能被黑客利用,进而要挟到
香港服务器的安全。
Linux系统中可以删除的默认用户和组大致有如下这些:
可删除的用户,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。
可删除的组,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。
Linux在安装完成后,绑定了很多没用的服务,这些服务默认都是主动启动的。对于
香港服务器来说,运行的服务越多,系统就越不安全,越少服务在运行,安全性就越好,因此关闭一些不需要的服务,对系统安全有很大的赞助。
具体哪些服务可以关闭,要根据服务器的用处而定,一般情况下,只要系统本身用不到的服务都认为是不必要的服务。
例如:某台
香港Linux服务器用于www利用,那么除了httpd服务和系统运行是一定要的服务外,其他服务都可以关闭。下面这些服务一般情况下是不需要的,可以选择关闭: anacron、auditd、autofs、avahi-daemon、avahi-dnsconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv
在Linux下,远程登录系统有两种认证方法:密码认证和密钥认证。
密码认证方法是传统的安全策略,对于密码的设置,比较广泛的说法是:至少6个字符以上,密码要包含数字、字母、下划线、特别符号等。设置一个相对复杂的密码,对系统安全能起到必定的防护作用,但是也面临一些其他问题,例如密码暴力破解、密码泄漏、密码丧失等,同时过于复杂的密码对运维工作也会造成必定的累赘。
密钥认证是一种新型的认证方法,公用密钥存储在远程服务器上,专用密钥保存在本地,当需要登录系统时,通过本地专用密钥和远程服务器的公用密钥进行配对认证,如果认证成功,就成功登录系统。这种认证方法避免了被暴力破解的危险,同时只要保存在本地的专用密钥不被黑客盗用,攻击者一般无法通过密钥认证的方法进入系统。因此,在Linux下推荐用密钥认证方法登录系统,这样就可以抛弃密码认证登录系统的弊病。
Linux服务器一般通过SecureCRT、putty、Xshell之类的工具进行远程掩护和管理,密钥认证方法的实现就是借助于SecureCRT软件和Linux系统中的SSH服务实现的。
su命令:是一个切换用户的工具,经常用于将普通用户切换到超级用户下,当然也可以从超级用户切换到普通用户。为了保证服务器的安全,几乎所有
香港服务器都禁止了超级用户直接登录系统,而是通过普通用户登录系统,然后再通过su命令切换到超级用户下,履行一些需要超级权限的工作。通过su命令能够给系统管理带来必定的方便,但是也存在不安全的因素,
例如:系统有10个普通用户,每个用户都需要履行一些有超级权限的操作,就一定要把超级用户的密码交给这10个普通用户,如果这10个用户都有超级权限,通过超级权限可以做任何事,那么会在必定程度上对系统的安全造成了威协。
因此su命令在很多人都需要参与的系统管理中,并不是最好的选择,超级用户密码应当控制在少数人手中,此时sudo命令就派上用处了。
sudo命令:容许系统管理员分配给普通用户一些合理的“权利”,并且不需要普通用户知道超级用户密码,就能让他们履行一些只有超级用户或其他特许用户才干完成的任务。
比如:系统服务重启、编辑系统配置文件等,通过这种方法不但能减少超级用户登录次数和管理时间,也进步了系统安全性。
因此,sudo命令相对于权限无穷制性的su来说,还是比较安全的,所以sudo也被称为受限制的su,另外sudo也是需要事先进行授权认证的,所以也被称为授权认证的su。
sudo履行命令的流程是:
将当前用户切换到超级用户下,或切换到指定的用户下,然后以超级用户或其指定切换到的用户身份履行命令,履行完成后,直接退回到当前用户,而这一切的完成要通过sudo的配置文件/etc/sudoers来进行授权。
sudo设计的宗旨是:
赋予用户尽可能少的权限但仍容许它们完成自己的工作,这种设计兼顾了安全性和易用性,因此,强烈推荐通过sudo来管理系统账号的安全,只容许普通用户登录系统,如果这些用户需要特别的权限,就通过配置/etc/sudoers来完成,这也是多用户系统下账号安全管理的基础方法。
系统的一些欢迎信息或版本信息,虽然能给系统管理者带来必定的方便,但是这些信息有时候可能被黑客利用,成为攻击服务器的帮凶,为了保证系统的安全,可以修正或删除某些系统文件,需要修正或删除的文件有4个,分辨是:
/etc/issue、/etc/issue.net、/etc/redhat-release和/etc/motd。
/etc/issue和/etc/issue.net文件都记载了操作系统的名称和版本号,当用户通过本地终端或本地虚拟把持台等登录系统时,/etc/issue的文件内容就会显示,当用户通过ssh或telnet等远程登录系统时,/etc/issue.net文件内容就会在登录后显示。在默认情况下/etc/issue.net文件的内容是不会在ssh登录后显示的,要显示这个信息可以修正/etc/ssh/sshd_config文件,在此文件中添加如下内容即可:
Banner /etc/issue.net
其实这些登录提示很明显泄漏了系统信息,为了安全起见,建议将此文件中的内容删除或修正。
/etc/redhat-release文件也记载了操作系统的名称和版本号,为了安全起见,可以将此文件中的内容删除。
/etc/motd文件是系统的公告信息。每次用户登录后,/etc/motd文件的内容就会显示在用户的终端。通过这个文件系统管理员可以发布一些软件或硬件的升级、系统掩护等通告信息,但是此文件的最大作用就、是可以发布一些警告信息,当黑客登录系统后,会创造这些警告信息,进而产生一些震慑作用。看过国外的一个报道,黑客入侵了一个服务器,而这个服务器却给出了欢迎登录的信息,因此法院不做任何裁决。
实际上除了软件上的优化更重要的是对于
香港服务器供给商的运维和售后服务的能力,选择一家可靠的公司许多问题处理起来便能事半功倍都不需要亲主动手,只需要接洽24小时在线客服即可
桂哥网络特推出香港服务器租用折扣,先抽券后下单,售完即止欢迎点击下图懂得详情
