服务器操作系统的安全防范

服务器操作系统的安全防范？

停止运行不需要的软件；（很可能成为外部攻击的入口） 定期实施漏洞防范措施；（选定软件时确认软件的升级状况，确定打补丁方式， 关注各种漏洞信息，确认漏洞后调查补丁状况以及防范对策，并制定对应计划） 对不需要对外公开的端口或者服务加以访问限制；（通过端口扫描确认各端口服 务状态） 提高认证强度。

1：用户与口令安全。避免使用脆弱口令，连续多次登录失败将禁止再次登录。

2：对象访问的安全性。对文件，目录和进程等对象的访问采用强制访问控制（MAC）来实现，不同的用户只能访问到与其有关的，指定范围的对象信息。用户不用，对这些对象的授权也应不用。

3：系统配置的安全性。（1）设置BIOS密码。（2）配置系统在启动LILO时就要求密码验证可以防止破坏者启动系统。（3）linux系统采用EXT2文件系统或扩展.EXT2文件系统，数据分区存储，设置分区属性和文件的只添加或不可变属性来提高文件的安全性。将不同的应用程序安装在不同的主分区并设置关键的分区为只读，将系统目录设置为711模式，仅将少量的目录设置为读写模式以保护系统目录。只要可能，就将磁盘设置为只读，对重要文件设置为只添加或不可变属性，这将让入侵者无法清除或变更重要的系统文件。

（4）用户登录时系统提示信息可能暴露系统，应尽可能隐藏系统信息。（5）限制系统管理员允许登录的控制台设备，取消普通用户的shutdown,reboot和halt等控制台访问权限

（6）设置无操作时间超越限制时，账户被强制注销以防止用户离开时忘记注销。（7）管理员强制所有用户在注销时删除运行过的命令历史记录，不同用户修带自己的profile文件来消除运行过的历史命令。（8）暂存文件和目录的安全。linux系统中暂存目录为/tmp/和/usr/tmp，如果对这些目录存放暂存文件，别的用户肯那个会破坏这些文件，使用暂存文件最后将文件屏蔽值定义为0070，最保险的办法是建立自己的暂存文件和目录$Home/mytemo,并且不要将重要文件存放于公共的暂存目录。（9）suid/sgid的安全，少写suid/sgid程序，in为现有文件建立一个链，即建立一个引用同一文件的新名字，如果目录已经存在，该文件被删除而代之以新的链，或存在的目录的文件不允许用户写，则请求用户确认是否删除该文件，因为只允许在同一文件系统内建链。若要删除一二suid文件，就要确定文件的链接数，只有一个链时才能确保该文件被删除。若suid文件已有多个链，一种方法是改变其存取方式，这将同时修改所有链的存取许可，也可用chmod000文件名命令取消文件的suid和sgid许可，同时也取消文件的全部链。暂存

4：慎用某些命令：例如cpio。

5：启用安全审计技术：记录系统发生的安全事件，对各种系统日志文件，包括一般信息日志，网络连接日志，文件传输日志及用户登录日志等进行审核，察觉潜在问题。

数据安全防范：

1：采用加密文件系统。例如可以利用TCFS或者用crypt命令，但是最好在加密前用pack或compress命令对文件进行压缩，然后再加密。这样防止木马植入。

2：数据传输加密。数据线路加密（对需要保密的信息在通过各种传输线路时，采用不同的加密密钥进行安全保护） 端-端加密（在发送端自动加密，并进入TCP／IP数据包，然后作为不可阅读和不可识别的数据穿过因特网，当这些信息一旦到达目的地，将被自动重组，解密，重新变为可读数据）。

3：数据存储加密技术。密文存储（将要保密的信息经过加密算法转换后存储）存取控制（对用户资格和存取权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据）

4：数据完整性鉴别技术。对信息传送，存取，处理者的身份和相关数据内容进行验证，一般包括口令，密钥，身份，数字签名等的鉴别。

5：密钥管理技术。密钥技术包括密钥的产生，分配保存，更换与销毁等措施。

网络安全防范：

1：保证主机安全。使用中间软件阻止和限制入侵者从特定的机器入侵系统。

2：设置防火墙。阻止非授权用户进入。

3：采用端口入侵检测。关闭不必要的端口，采用端口检测程序来检测扫描并阻止入侵者。

4：禁止设置缺省路由。default routeo为每一个子网或网段设置一个路由。

服务安全防范：

1：有效使用linux系统的安全认证方法。通过可插式认证模块PAM来实现。

2：取消目前不使用的服务限制并限制一般用户添加或删除服务。

3：对安全性低的服务进行重点监控。例如telnet rlogin rcp等等。

应用程序安全防范：

1：一般的方法为设置陷阱和设置蜜罐。

日常维护安全防范：

1：对系统及时备份。

2：及时使用安全补丁。

3：发现入侵及时处理。

4：预防病毒