Linux服務器安全策略

1 服務器一般安全策略：

1） 最好使用硬件防火墻，如果沒有，則使用iptables+TCP_Wrappers構建安全策略。

2） 密碼絕對安全，24位以上

3） 采取密鑰登陸，防止暴力破解，禁止root登陸，普通用戶+密鑰認證+IP限制+用戶限制

4） 定期分析系統的日志文件，如last，lastlog，

5） 定期采用grep error /var/log/messages檢查服務器是否存在硬件損壞的情況

6） 停掉不必要的服務，強化內核。

iptables主機型防火墻腳本：

#!/bin/bash

iptables -F

iptables -F -t nat

iptables -X

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -A INPUT -p tcp -m multiport --dport 80,22,3306 -j ACCEPT

TCP_Wrappers訪問控制：

[root@localhost ~]# rpm -q tcp_wrappers

tcp_wrappers-7.6-58.el6.i686

[root@localhost ~]# ldd /usr/sbin/sshd | grep 'libwrap'

libwrap.so.0 => /lib/libwrap.so.0 (0x00c4f000)

/etc/hosts.allow：允許策略

/etc/hosts.deny：拒絕策略

訪問控制基本原則：首先檢查/etc/hosts.allow，如果找到匹配策略則允許訪問，否則繼續查找/etc/hosts.deny，如果找到匹配的策略，則拒絕訪問，如果以上兩個文件都沒有找到則允許訪問。

• 寬松的策略：允許所有，拒絕個別
  

vim /etc/hosts.deny 

sshd:192.168.154.1

• 嚴格的策略：拒絕所有，允許個別

vim /etc/hosts.allow

sshd:192.168.154.1

vim /etc/hosts.deny 

sshd:ALL

ALL:103.197.244.10    #拒絕訪問所有服務

2 服務器遭受***后的一般處理流程：

1）切斷網絡；

2）查找***源：分析系統日志文件和登陸日志文件，（如發現可疑用戶，中斷其遠程連接）

如：

[root@localhost ~]# tail -f /var/log/messages

[root@localhost ~]# lastlog

[root@localhost ~]# lastb                            #查看失敗的登陸記錄

[root@localhost ~]# tail -f /var/log/secure          #查看用戶相關的安全日志

[root@localhost ~]# pkill -kill -t  pts/0              #把異常登陸用戶踢出去

3）分析***原因和途徑；

遭受***的原因是多方面的，可能是系統漏洞，也可能是程序漏洞導致的，需要找到***源和途徑，才能刪除和修復漏洞。

4）備份數據；

5）重裝系統（根據實際情況決定，如提供在線服務顯然不可行）

6）修復程序或系統漏洞

7）恢復數據和網絡；