您好,登錄后才能下訂單哦!
這篇文章主要為大家展示了“怎么讓Linux工作站變得更加牢固”,內容簡而易懂,條理清晰,希望能夠幫助大家解決疑惑,下面讓小編帶領大家一起研究并學習一下“怎么讓Linux工作站變得更加牢固”這篇文章吧。
對每個系統管理員來說,以下是應該采取的一些必要步驟:
此外,你還應該考慮其中一些最好采取的步驟,進一步加固系統:
想把Firewire和Thunderbolt模塊列入黑名單,將下列幾行添加到/etc/modprobe.d/blacklist-dma.conf中的文件:
blacklist firewire-core blacklist thunderbolt
一旦系統重啟,上述模塊就會被列入黑名單。即便你沒有這些端口,這么做也沒有什么危害。
默認情況下,root郵件完全保存在系統上,往往從不被讀取。確保你設置了/etc/aliases,將root郵件轉發到你實際讀取的郵箱,不然就有可能錯過重要的系統通知和報告:
# Person who should get root’s mailroot: bob@example.com
這番編輯后運行newaliases,對它測試一番,確保郵件確實已送達,因為一些電子郵件提供商會拒絕從根本不存在的域名或無法路由的域名發來的電子郵件。如果是這種情況,你需要調整郵件轉發配置,直到這確實可行。
默認的防火墻設置將依賴你的發行版,但是許多允許入站sshd端口。除非你有一個充足而正當的理由允許入站ssh,否則應該將這個過濾掉,禁用sshd守護進程。
systemctl disable sshd.service systemctl stop sshd.service
如果你需要使用它,總是可以暫時啟動它。
通常來說,你的系統除了響應ping外,應該沒有任何偵聽端口。這將有助于你防范網絡層面的零日漏洞。
建議開啟自動更新,除非你有非常充足的理由不這么做,比如擔心自動更新會導致你的系統無法使用(這種事之前發生過,所以這種擔心并非毫無根據)。起碼,你應該啟用自動通知可用更新的機制。大多數發行版已經讓這項服務自動為你運行,所以你很可能沒必要進行任何操作。查閱發行版的說明文檔,了解更多內容。
你應該密切關注系統上發生的所有活動。由于這個原因,應該安裝logwatch,并對它進行配置,以便每晚發送活動報告,表明系統上發生的一切活動。這防止不了全身心投入的攻擊者,卻是一項很好的安全網功能,有必要部署。
請注意:許多systemd發行版不再自動安裝logwatch需要的syslog服務器(那是由于systemd依賴自己的日志),所以你需要安裝和啟用rsyslog,確保/var/log在logwatch具有任何用途之前不是空的。
除非你切實了解工作原理,并且采取了必要的步驟進行合理的設置(比如將數據庫放在外部介質上,從可信任的環境運行檢查,執行系統更新和配置變更后記得更新哈希數據庫,等等),否則安裝rkhunter以及aide或tripwire之類的入侵檢測系統(IDS)不是很有用。如果你不愿意采取這些步驟、調整在自己的工作站上執行任務的方式,這些工具只會帶來麻煩,沒有任何實際的安全好處。
我們確實建議你應當安裝rkhunter、在晚上運行它。它學習和使用起來相當容易;雖然它發現不了狡猾的攻擊者,但是可幫助你發現自己的錯誤。
以上是“怎么讓Linux工作站變得更加牢固”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。