suse linux系統安全的示例分析

這期內容當中小編將會給大家帶來有關suse linux系統安全的示例分析，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

     SUSE Linux Enterprise Server 10是眾多Linux發行版本中比較優秀出色的主流商業版本，它不僅具有Linux的通用功能外，還因其有比較出色的性能和對安全有較好的控制，吸引了很多企業級用戶，在國內也開始有大量的關鍵應用。我也在接觸到的具體項目中根據客戶要求部署和應用了這個版本，就個人感覺而言，整體性的安全還是不錯的，在加密和認證方面做的比較好，但是SUSE里還有很多安全細節需要我們注意。在此總結一下自己的應用經驗，未必全面算是一個總結和交流吧。
一、帳戶管理方面
1、鎖定不必要的系統賬戶

　　有很多賬戶是系統賬戶，在日常管理中也一直不會被人使用，鎖定這些賬戶有助于減少***者的利用。方法是：將賬戶直接刪除或設置一個無效的shell(比如/bin/false)。SUSE里使用/bin/false而不是/bin/nologin。

 在這里，我們通過VI修改/etc/passwd文件，可以把不常用的at、bin、deamon、ftp、games、lp、man、news、nobody等用戶的的登陸shell改為/bin/false，這樣該用戶就不能登錄了。

2、設置賬戶定期修改密碼參數

　　強制用戶定期改變密碼，根據你的實際情況在/etc/login.defs進行調整。比如：設置成90天更改密碼。只需把PASS_MAX_DAYS的默認99999改為90天保持即可。
#vi  /etc/login.defs

 關閉不必要或暫時不用的服務：
#chkconfig  slpd  off
#chkconfig  portmap off
#chkconfig  postfix   off
比如RPC端口映射服務，由于RPC的驗證機制很薄弱，很容易被繞過，卻可以利用RPC得到很多重要的信息。除非是需要NIS，最好禁用。
另外在SUSE中Postfix服務默認是激活狀態。如果這臺服務器是郵件服務器的話，需要注意的是，有權限在web界面上搜索附件是一個安全隱患。另外，如果你對郵件服務器管理有經驗的話，你會知道為postfix規劃一個chroot環境有多么重要。在chroot環境下，即使有人闖入了smtpd daemon，能夠造成的損害也比較有限。加固方法：

打開：vi /etc/sysconfig/mail,設置SMTPD_LISTEN_REMOTE="yes"。

關閉：vi /etc/sysconfig/mail,設置SMTPD_LISTEN_REMOTE="no"。

另外不必要的端口也都可以關閉，以免留下漏洞。
#netstat -antp

輸出CPU使用情況的統計信息，每秒輸出一次，一共輸出10次

輸出網絡設備狀態的統計信息

四、其他需要注意的方面：

1、查找無主文件
不要讓你的系統上有任何無主文件，無主文件可能是一個***者已經訪問了你的系統，或者是軟件包的不正確維護安裝造成的。比如刪除了用戶或者組，但是相關文件沒有刪除。另一種常見情況是軟件安裝時，沒有正確的設置所有者。NFS掛載文件，會忽視用戶ID和系統之間的映射同步，也有可能造成無主文件的產生。
檢查命令：
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do
find $PART -nouser -o -nogroup -print
done
注意：不用管“/dev”目錄下的那些文件。如果是/tmp目錄下存在大量沒有屬主的文件，建議查明用途并添加屬主或消除。

2、刪除空密碼賬戶

使用awk -F: '($2 == "") { print $1 }' /etc/shadow命令查找空密碼賬戶。空密碼賬戶是指任何人都可以登錄，而不用提供密碼。所有的賬戶都應該有健壯的密碼，避免弱口令。
3、ssh的安全加固

SUSE上默認安裝了OpenSSH，OpenSSH是目前比較流行并且免費的加密連接工具，但OpenSSH的低版本也存在不少安全漏洞，所以最好還是下載最新版本的。另外我們還需要限制ROOT賬戶的遠程登錄、更改默認端口、指定可訪問的網絡等等。它的版本1的安全問題比較嚴重甚至可以截獲密碼，所以建議你將協議版本修改為2。因為FTP不是很安全，建議大家利用SCP命令來傳輸文件。

　　通過VI來修改，方法如下：

　　vi  /etc/ssh/sshd_config

6、內核網絡優化
/proc/sys/net/目錄主要包括了許多網絡相關的主題，通過改變這些目錄中的文件參數，可以很方便調整和優化相關網絡參數。在/proc/sys/net/目錄下有兩個目錄就是/proc/sys/net/core和/proc/sys/net/ipv4，調整這兩個目錄下的某些文件的參數，能為我們的網絡應用帶到某些意想不到的效果。
建議修改：

　　net.ipv4.tcp_max_syn_backlog = 4096
記錄的那些尚未收到客戶端確認信息的連接請求的最大值。

　　net.ipv4.conf.all.accept_source_route = 0

　　net.ipv4.conf.all.accept_redirects = 0

　　net.ipv4.conf.all.secure_redirects = 0

　　net.ipv4.conf.default.rp_filter = 1

　　net.ipv4.conf.default.accept_source_route = 0

　　net.ipv4.conf.default.accept_redirects = 0

　　net.ipv4.conf.default.secure_redirects = 0

　　net.ipv4.icmp_echo_ignore_broadcasts = 1

關于SUSE LINUX的系統安全，暫且總結這么多，也希望使用SUSE LINUX的朋友一起來交流和學習。

上述就是小編為大家分享的suse linux系統安全的示例分析了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。