众所周知,就安全性而言,Linux相对于Windows具有更多的优势。但是,不管选择哪一种Linux发行版本,在安装完成以后都应该进行一些必要的配置,来增强它的安全性。下面就通过几个步骤来安装一个安全的Linux操作系统。
安装和配置一个防火墙
一个配置适当的防火墙不仅是系统有效应对外部攻击的第一道防线,也是最重要的一道防线。在新系统第一次连接上Internet之前,防火墙就应该被安装并且配置好。
把防火墙配置成拒绝接收所有数据包,然后再打开允许接收的数据包,将有利于系统的安全。防火墙的具体设置方法请参见iptables使用方法。
升级所有已经安装的软件包
一个标准的Linux发行版通常会带有超过1000个以上的软件包。时刻保持所安装的所有软件处于最新状态是非常重要的。很显然,这是一个耗费时间的工作,幸运的是现在已经有很多工具可以自动完成这一工作。其中两个最常用的工具是APT(Advanced Package Tool)和Yum(Yellowdog Updater,Modified)。
有些发行版可能会提供自己的升级工具,可以充分利用它们来实现软件的更新。比如,缺省情况下Red Hat和Fedora使用的是up2date;Debian使用的则是APT。
如果想安装一个自己的软件升级工具,那么笔者推荐使用APT。在任何一个搜索引擎中输入所使用发行版的名字和APT,都可以快速找到APT的RPM安装包和所需要的软件仓库位置。
一旦安装好APT,并且设置好软件仓库以后(一般在/etc/apt/sources.list或与之类似的文件中设置),就可以使用以下两个命令来进行软件的更新。以root用户运行:
第一个命令将从指定的软件仓库下载最新的软件包信息,第二个命令将使用这些信息下载和安装系统中已经存在的软件的更新版本(如果有可用更新的话)。管理员应该定期执行命令以确保系统总是处于最新状态。
此外,从Internet下载单个文件或软件包的时候,总是使用MD5SUM来进行检查。MD5SUM可以对从网上下载的软件进行检查,以确保下载的不是被植入木马的版本。
最后,使用者还应该订阅发行版的安全邮件列表。这些邮件列表可以在出现更新软件包,或者对某些软件漏洞进行修正时及时通知使用者。
禁止所有不需要的服务
一个新安装的Linux系统在默认配置情况下,启动时会同时启动很多服务和后台程序。比如有的发行版会启动HTTP(Web服务器)、POP3/IMAP(电子邮件)监控程序、数据库服务器等。而对于大多数用户来说,这些服务实际上是不需要的,并且这些服务会成为攻击者潜在的攻击目标。所以,为了安全起见,应该查看这些服务列表,然后禁止所有不需要的服务。
在Red Hat系统中,用于配置服务器的命令行工具名为chkconfig。要列出所有已经安装的服务,可以执行以下命令:
这时将会显示类似以下形式的内容:
在上面的列表中,0至6的数字表示系统的运行级别。
例如,为了让squid服务可以在2、3、4、5运行级别下运行,应该执行以下命令:
如果要在3和5运行级别上关闭sshd服务,则应该执行以下命令:
使用chkconfig命令设置的服务会在下次启动时生效,而不会对当前运行的服务有任何影响。如果要对当前的服务进行设置,在Red Hat中可以使用以下命令:
上述命令中的service_name和chkconfig --list命令中所列的名字一致。
在禁止了所有不需要的服务后,可以运行netstat --l来查看是否已经达到效果。对于仍然需要运行的服务而言,一定要确保有正确配置的防火墙。
转载保留:http://www.qqread.com/linux/e331213206.html
更多内容请看路由安全配置专题、Windows操作系统安装、系统优化大全专题,或进入讨论组讨论。
安装和配置一个防火墙
一个配置适当的防火墙不仅是系统有效应对外部攻击的第一道防线,也是最重要的一道防线。在新系统第一次连接上Internet之前,防火墙就应该被安装并且配置好。
把防火墙配置成拒绝接收所有数据包,然后再打开允许接收的数据包,将有利于系统的安全。防火墙的具体设置方法请参见iptables使用方法。
升级所有已经安装的软件包
一个标准的Linux发行版通常会带有超过1000个以上的软件包。时刻保持所安装的所有软件处于最新状态是非常重要的。很显然,这是一个耗费时间的工作,幸运的是现在已经有很多工具可以自动完成这一工作。其中两个最常用的工具是APT(Advanced Package Tool)和Yum(Yellowdog Updater,Modified)。
有些发行版可能会提供自己的升级工具,可以充分利用它们来实现软件的更新。比如,缺省情况下Red Hat和Fedora使用的是up2date;Debian使用的则是APT。
如果想安装一个自己的软件升级工具,那么笔者推荐使用APT。在任何一个搜索引擎中输入所使用发行版的名字和APT,都可以快速找到APT的RPM安装包和所需要的软件仓库位置。
一旦安装好APT,并且设置好软件仓库以后(一般在/etc/apt/sources.list或与之类似的文件中设置),就可以使用以下两个命令来进行软件的更新。以root用户运行:
#apt-get update #apt-get upgrade第一个命令将从指定的软件仓库下载最新的软件包信息,第二个命令将使用这些信息下载和安装系统中已经存在的软件的更新版本(如果有可用更新的话)。管理员应该定期执行命令以确保系统总是处于最新状态。
此外,从Internet下载单个文件或软件包的时候,总是使用MD5SUM来进行检查。MD5SUM可以对从网上下载的软件进行检查,以确保下载的不是被植入木马的版本。
最后,使用者还应该订阅发行版的安全邮件列表。这些邮件列表可以在出现更新软件包,或者对某些软件漏洞进行修正时及时通知使用者。
禁止所有不需要的服务
一个新安装的Linux系统在默认配置情况下,启动时会同时启动很多服务和后台程序。比如有的发行版会启动HTTP(Web服务器)、POP3/IMAP(电子邮件)监控程序、数据库服务器等。而对于大多数用户来说,这些服务实际上是不需要的,并且这些服务会成为攻击者潜在的攻击目标。所以,为了安全起见,应该查看这些服务列表,然后禁止所有不需要的服务。
在Red Hat系统中,用于配置服务器的命令行工具名为chkconfig。要列出所有已经安装的服务,可以执行以下命令:
#chkconfig -list这时将会显示类似以下形式的内容:
iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off ... ... ... ... ... ... ... ... squid 0:off 1:off 2:off 3:off 4:off 5:off 6:off xinetd based services: rsync: off ... ... sgi_fam: on在上面的列表中,0至6的数字表示系统的运行级别。
例如,为了让squid服务可以在2、3、4、5运行级别下运行,应该执行以下命令:
#chkconfig --level 2345 squid on如果要在3和5运行级别上关闭sshd服务,则应该执行以下命令:
#chkconfig --level 35 sshd off使用chkconfig命令设置的服务会在下次启动时生效,而不会对当前运行的服务有任何影响。如果要对当前的服务进行设置,在Red Hat中可以使用以下命令:
# service service_name start # service service_name stop # service service_name restart # service service_name status上述命令中的service_name和chkconfig --list命令中所列的名字一致。
在禁止了所有不需要的服务后,可以运行netstat --l来查看是否已经达到效果。对于仍然需要运行的服务而言,一定要确保有正确配置的防火墙。
转载保留:http://www.qqread.com/linux/e331213206.html
更多内容请看路由安全配置专题、Windows操作系统安装、系统优化大全专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- 路由安全配置专题 (11761篇文章)
- Windows操作系统安装 (15501篇文章)
- 系统优化大全 (18003篇文章)
- 系统安全设置 (23411篇文章)
- 操作系统常见故障解析 (4392篇文章)
- 配置安全的操作系统 (9778篇文章)
- 系统安装手册 (20723篇文章)
- 系统备份专题 (17449篇文章)
- Linux集群技术 (8259篇文章)
- 打造安全服务器 (13194篇文章)
- Linux与Windows Vista的桌面之争 (83次浏览)
- 对比评测Vista XP Linux启动时间 (59次浏览)
- Linux 基本概念及常用命令 (57次浏览)
- Linux系统如何判断CPU是双核还是单核 (53次浏览)
- VMware下Linux与真实主机共享上网 (31次浏览)
- Linux系统下如何更改终端显示分辨率 (30次浏览)
- 实用技巧:配置Linux操作系统环境变量 (30次浏览)
- Fedora 8 Linux下安装配置audacious过程 (27次浏览)
- Linux系统下设置环境变量Path的方法 (25次浏览)
- 最流行的发行版:Ubuntu 8.04 Alpha 2发布 (24次浏览)
