浅谈Linux服务器安全防护部署

沈立翔

(国网福建省电力有限公司福州供电公司，福建 福州 350000)

浅谈Linux服务器安全防护部署

沈立翔

(国网福建省电力有限公司福州供电公司，福建 福州 350000)

对Linux系统进行简要介绍，并对其服务器安全防护部署提出具体可操作的解决措施。主要体现在用户权限配置、系统服务配置、防火墙配置、系统优化和日志管理五个方面。在用户权限配置方面，对用户、密码、注销、权限提出命令策略；在系统服务配置方面，对主板、蓝牙、网络接口、存储方面提出解决措施；并提出防火墙应尽量保持开启；以及在系统优化配置方面，对交换分区，网络接口优化管理，IP标识提出优化管理策略；并对日志管理提出具体连串的命令。希望本文提出的Linux服务器安全防护部署能对实际运用操作提供参考和借鉴价值。

Linux服务器；安全；防火墙；系统优化

1 引言

Linux是一款相对来讲比较开放的源代码操作系统，它与Windows系统、Mac系统称为三大操作系统。其中，相比另两款操作系统，Linux系统具有自身独特的特征和功能，它的稳定性、开源性、安全性和强大的负载能力使得它具有明显不同于Windows系统和Mac系统的特点，而受到强大的用户群体支持。然而，Linux系统虽然安全，但是也存在着自身的安全漏洞，需要针对其服务器进行必要的安全防护配置，来增强Linux服务器的安全性，减少被病毒和黑客攻击的可能性。具体的安全防护部署配置体现在用户权限配置、系统服务配置、防火墙配置、系统优化和日志管理五个方面。

2 用户权限配置

用户权限配置主要是通过一些具体的设置来提升或者降低用户进入系统的权限。具体可以从以下六个方面来进行配置。

（1）如果Linux系统存在很多用户，就要针对不同的用户进行分类和分组，当一些用户经常不在使用或者对系统本身构成危害时，就要考虑对这些用户进行删除和屏蔽操作。较多的用户对Linux系统本身就构成了不安全的因素，所以有必要通过删除和屏蔽用户来提升系统安全性。

命令：userdel用户名

Groupdel用户组名

（2）用户登录Linux系统时，为了提升系统安全性，常常需要在登录系统的时候输入密码，而有些用户设置的密码过于简单，或者是用自己的生日和身份证号作为密码，往往很容易被破解。所以为了提升系统的安全性，可以在Linux系统中强制要求用户密码的长度必须不能小于8位，且必须是数字，小写字母和大写字母的组合。

命令：vi.etc.login.defs

PASS_MAX_DAYS 60

PASS_MIN_LENGTH 8

（3）用户在使用系统时，往往会因为有事而中途离开一会，有的会忘记注销，而在这段时间就容易遭到系统侵入，从而对用户系统产生威胁，所以有必要在系统中设置用户在一段时间没有操作就采用强制注销的命令，通过强制注销来保证用户自身的数据和资料的安全和保障隐私。

命令：vi.etc.profile

TMOUT=300

（4）有些用户为了自己方面，没有设置密码，这大大增加用户系统被侵犯和盗取信息的可能性。所以，系统应当定时检测是否存在空密码的用户，如果存在的话强行给予更改密码，对不正常的黑名单用户将给予直接删除。

命令：gawk-F‘：’（S=2）{print s1}.etc.shadow

（5）系统中往往存在着root特权用户，能对系统直接更改权限，要定期检测除了特权用户之外是否还有别的用户，一般来说，一个Linux系统建议只有一个root特权用户，如果还存在别的特权用户的话，需要给予降权或删除的方式来保证系统的安全性。

命令：gawk-F‘：’（S=3&&S1！=“root”）{print s1}.etc. password

（6）‘.’路径在Linux系统中存在安全隐患，黑客往往通过侵入‘.’的方式来侵害系统。所以，要定期删除系统中设置的‘.’路径，而且删除‘.’路径对系统的正常运行不会产生影响。

命令：echo PATH

3 系统服务配置

Linux系统中存在着一系列的服务进程，是Linux中不可缺少的组成部分，这些进程支持Linux系统的正常运行，但是在实际运行的过程中这些服务进程并不是每一个都要开启的，这不仅会拖慢系统运行的速度，而且也会增大系统资源占用，加大系统的安全隐患。所以在具体运行中，一些服务进程可以关闭，以下介绍可以关闭的系统服务：

（1）apmd是在BIOS主板中的高级电源管理服务，可以用来自动检测电池电量，当电池出现电量较低的问题时，可以通过自动关机来保护电脑的数据和主机硬件。但是对于机房的电脑来说，一般不存在电量不足的问题，所以对于这个功能可以关闭服务，从而减少对系统资源的占用。

（2）Bluetooth是系统中的蓝牙设备，一般是针对笔记本设备来连接平板电脑和手机的，但是一般在服务器的机房中是不会用到这个功能，所以可以直接关闭。

（3）arpwatch记录日志是通过构建一个在LAN接口看到的以太网地址和IP地址，然后建立在数据库的基础上，配合arptables使用，就可以起到保护系统的作用。但是在机房的电脑中，服务器的外围一般都会有设立硬件防火墙来保障整个机房和服务器的安全，所以此程序用处不大，建议关闭。

（4）memcached是高性能的缓存装载系统，开启后可以加快动态web应用程序，减轻数据库的负载。如果服务器中有数据库服务器作为缓存，那么强烈建议开启此服务，如果没有数据库服务器，那就没有必要开启。

4 防火墙配置

防火墙是保护系统最直接有效的配置，Linux系统也不例外。在Linux系统中，防火墙为iptables保护程序，存在于计算器和网络之间，通过判断网络中的远程访问途径是否使用和侵犯了计算机中的资源，来判断是否给予拦截。防火墙一般由验证工具、服务器访问规则、包过滤和应用网关四个部分构成。

现在的网络环境安全性能较高，一般是在服务器群之外都会配置相应的硬件防护防火墙，甚至有的还配置Web防火墙，也就是数据在经过两层防火墙的时候已经经过了双重过滤，一般来说这样的数据对系统已经基本构不成威胁。但是，为预防突发性事故的发生，防火墙iptables程序的开启是有其必要性的。例如服务器群组外的硬件防火墙突然断电、防火墙内部的系统出现错误，系统崩溃等一系列问题，在这种情况下，Linux系统中的iptables防火墙就起到了应有的作用，能够在其他防火墙功能都缺失的情况下，采取最后一道防线来保护系统，在最重要和关键的时候保护整个服务器的安全，减少服务器不必要的数据损失。

5 系统优化

在装好Linux系统时，有必要对系统进行优化和瘦身，从而保证系统的效率运行。可以从以下六个方面来对系统进行优化。

（1）交换分区是Linux系统中一个重要的功能，其初衷是为了通过设置物理内存和虚拟内存的容量，来提高系统运行的效率，往往是通过将交换分区swap设置为物理内存的1.5-2倍，但是在实际使用过程中，往往用不到那么多的内存，这不仅会产生很大的浪费，还会拖慢系统运行速度，增大系统的能耗。所以，在实际使用中，要观察系统实际的使用率，如果实际使用率低于35%，就可以将swap设置关闭，从而提高系统的运行效率。

命令：free–m查看交换分区情况

swapoff-a关闭交换分区

swapon-a开启交换分区

（2）网络接口优化管理。正常情况下，网络接口会通过RX-ERR,TX-ERR,RX-DRP.TX-DRP,TX-OVR和RX-OVR等端口来优化，其端口值一般为0，如果在使用中发现这几个选项不是0值，且数值变动相差很大，那么就可以断定网络质量存在问题，网络性能有可能下降，有必要对网络接口进行检查。可以首先检查硬件设备，例如网络接口是否连接良好，网卡驱动是否正常，如果网络硬件没有问题，就要进一步检查软件，检查网络部署内部和外部环境是否合理。

命令：netstat

（3）缓存内存处理与保存。Linux系统虽然较为稳定，但是在运行过程中依然会出现突然崩溃、假死和重启的情况，这时操作系统就会自动缓存程序当前运行的临时数据，保存在系统的Core Dump文件中，方便用户再次重启系统时保存尚未储存的数据。可是Core Dump文件会占用大量的存储空间，拖慢系统的速度，所以，在系统正常的时候，可以将Core Dump文件关闭。

命令：vi.Etc.security.limuts.conf

Soft core 0

Hard core 0

（4）电脑的IP是电脑的身份标识，黑客和入侵者往往会伪造成用户电脑的IP来侵入用户的系统，同时为了防止被用户发现，伪造大量的源IP数据包，再通过侵入用户的系统对其他用户的系统进行进一步的IP诈骗。因此，用户需要在系统中采取措施防止IP诈骗。

命令：vi host.Conf

Order bind,hosts

Multi off

Nospoof on

6 日志管理

在Linux操作系统中，日志是非常重要的一个组成部分，它记录了系统发生的每一个事件，在系统发生问题的时候，管理人员可以通过查看日志来了解系统的每一个程序记录，通过分析这些记录进一步了解系统是怎样被入侵的，以及系统该采取怎样的措施进行防御。

命令：cat.war.log.messages查看系统日志

cat.war.log.secure查看系统安全日志

last查看使用者登录日志

lastlog查看最近每个使用者登录系统的时间

dmesg查看最后一次系统引导日志

cat.var log.cron查看定时任务日志

cat.var.log.maillog查看邮件系统日志

7 结语

当今社会是信息技术高速发展的社会，信息对各行各业乃至整个国家的发展至关重要。完善的信息基础设施和信息网络，是社会发展的重要保证。而信息网络则是需要完善稳定的系统作为支撑，Linux系统具有自身独特的稳定性与安全性，越来越多的企业、单位和个人都开始使用Linux系统。在Linux系统正常运行的时候，通过采取多种措施进行安全防护部署，可以有效提升系统的安全性。希望本文提出的诸多安全措施能够对Linux服务器实际操作起到参考和借鉴作用。

[1]蔡德明．鸟哥的Li n u x私房菜服务器篇[M]．3版．北京：人民邮电出版社，2 0 10．

[2]黄枫．Li n u x服务器安全配置策略[J]．华南金融电，2 0 0 6(12)：15-18．

[3]A r o nH s i a o．Li n u x系统安全基础[M]．北京：人民邮电出版社，2 0 0 8．

[4]黄枫．Li n u x网络安全问题的探讨及其解决策略[J]．北京工业职业技术学院学报，2 0 0 4(3)：2 5-2 8．

The Security of Linux Server Deployment

Shen Lixiang
(Fuzhou Power Supply Company,State Grid Fujian Electric Power Co.Ltd.,Fuzhou 350000,Fujian)

This paper briefly introduces the Linux system,and puts forward some specific measures to solve the security of the server.It includes five aspects:user rights configuration,system service configuration,firewall configuration,system optimization and log management.In the user configuration,the order strategies of user,password,logout and permissions are proposed;in the service configuration,the solutions of the motherboard,Bluetooth,network interface and storage are put forward;it is proposed that the firewall should be kept open;in the system optimization,the optimization strategies of the swap partition,management interface network and IP logo are proposed;it puts forward a series of commands in the log management.It is hoped that the Linux server security and deployment discussed in this paper can provide reference for practical operation.

Linux server;security;firewall;system optimization

TP393.08；TP316.81

A

1008-6609(2016)11-0050-03

沈立翔（19 8 9-），男，福建长泰人，研究生，中级工程师，研究方向为信息工程、信息技术。