首页
技术博客
PHP教程
数据库技术
前端开发
HTML5
Nginx
php论坛
新用户注册
|
会员登录
PHP教程
技术博客
编程问答
PNG素材
编程语言
前端技术
Android
PHP教程
HTML5教程
数据库
Linux技术
Nginx技术
PHP安全
WebSerer
职场攻略
JavaScript
开放平台
业界资讯
大话程序猿
登录
极速注册
取消
热门标签 | HotTags
容器
touch
tomcat
vagrant
centos7
sudo
sftp
shell
apache
kubectl
运维
4层
curl
port
压力测试
cron
dns
log4j
nginx
docker
linux
路由器
zsh
syslog
tengine
服务器
stdout
jenkins
grafana
server
grep
ssh
debian
ubuntu
k8s
devops
fabric
负载均衡
colors
7层
centos
crontab
ftp
awk
service
交换机
当前位置:
开发笔记
>
运维
> 正文
构建安全Linux系统十二守则
作者:想要把迩贴上私人标签92 | 来源:互联网 | 2017-11-06 21:31
文章标题:构建安全Linux系统十二守则。Linux是中国IT实验室的一个技术频道。包含桌面应用,Linux系统管理,内核研究,嵌入式系统和开源等一些基本分类
计算机系统的核心是操作系统,因此,操作系统的安全与否直接决定着信息是否安全。是开放源代码的操作系统安全还是不开放源代码的操作系统安全?这一点在业界有不同的声音。但有一点可以肯定,开放源代码有利于迅速地对缺乏安全性的代码进行及时修改,以达到安全要求。
由于Linux的开放性,使得我们可以通过修改系统源代码,结合现有的系统安全技术以及加入我们自有的加密算法,构建一个安全的Linux操作系统。这里需要解决以下12个方面的问题。
1. 身份识别和认证
身份识别和认证是信息系统的最基本要求。一般的Linux系统采用用户名和口令对的形式来进行身份识别和认证。这包含了一些不安全因素,比如系统的密码文件被窃,入侵者采用穷举的方式侵入等。我们可以通过加入其他认证形式来提高系统身份识别和认证的安全性,例如使用公钥算法,将用户的私钥存于用户随身携带的硬件介质上(如IC卡、USB钥匙),系统只保留用户认证信息中的公钥信息。这样,即使公钥信息被窃,入侵者也不可能算出私钥,攻入系统。
2. 基本的入口控制
通过提供明显的警告信息,用户登录时相关信息的显示,以及对登录失败次数的限制,也能有效的防范入侵者。
3. 安全的审计
改善Linux原有的审计功能,对用户、进程及其他客体行为进行完善的跟踪审计。首先,审计要保证本身的审计信息不会被篡改或者删除。其次,系统要能够对所有的敏感操作进行记录。
4. 访问控制
在Linux系统中加入必须的访问控制的实现,比如强制访问控制(MAC)以及自主访问控制(DAC)。自主访问控制允许系统的用户对于属于自己的客体,按照自己的意愿,允许或者禁止其他用户访问。目前Linux提供类似传统UNIX系统的“属主用户/同组用户/其他组”权限保护机制。为了对用户信息提供更好的保护,应能够为用户提供用户级的控制力度。使自主存取控制更接近真实的情况。强制存取控制是由系统管理员进行的安全访问权限设置,提供比自主存取控制更严格的访问约束。
5. 加密文件系统
通过在系统中加入加密文件系统机制,保证系统的数据安全,即使系统的存储介质被窃,在入侵者没有取得密钥的情况下,数据依然是不可读的。Linux的开放源代码为我们了解认识Linux的文件系统构架成为可能,也方便了我们对文件系统进行修改,这就使得加密文件系统的实施成为可能。
6. 完整性保护
通过对文件和文件系统的跟踪及维护相应的数据库,我们可以对系统中的变化一清二楚,在系统的某些数据发生非法的变化时,我们能够迅速地发现,从而避免入侵者后门程序的存在。这种保护与备份机制相结合,使系统能够迅速地进行自我恢复。
7. 入侵攻击检测与防范
采用对敏感资源、IP或者端口进行监测等办法,可以及时地发现入侵行为,并采取相应的措施。比如大量半开的TCP连接,源地址为非法IP的外部数据包,对138和139端口的操作等等,都有可能是入侵的特征。我们通过编写相应的代码,和系统有机地结合在一起,就能有效地防范这类入侵。
8. 提供完善的安全API
在系统中为用户提供一套完善的安全API,有利于用户结合系统实现自己的安全应用。
9. 修改系统中的服务,加入安全的机制
升级系统服务版本,修改服务中的安全漏洞。
10.提供安全的服务和应用
比如支持SSL的Web服务、SSH、IPSEC、支持PGP的邮件程序等。
11.提供完善的系统安全扫描与检测工具
在系统中提供完善的安全扫描与检测工具,管理员可以经常对系统进行安全检测,及时发现安全隐患。
12.采用安全的加密算法
采用更长密钥(128位以上)的公认安全加密算法来实现系统中的加密应用。
开放源代码的Linux为我们实现安全的操作系统平台提供了新的机遇。通过对基于Linux的安全操作系统的研究,将有助于我们实现自有版权的安全操作系统,构建国人自己的信息安全平台。
安全
linux
算法
ssh
写下你的评论吧 !
吐个槽吧,看都看了
会员登录
|
用户注册
推荐阅读
服务器
Linux服务器密码过期策略、登录次数限制、私钥登录等配置方法
本文介绍了在Linux服务器上进行密码过期策略、登录次数限制、私钥登录等配置的方法。通过修改配置文件中的参数,可以设置密码的有效期、最小间隔时间、最小长度,并在密码过期前进行提示。同时还介绍了如何进行公钥登录和修改默认账户用户名的操作。详细步骤和注意事项可参考本文内容。 ...
[详细]
蜡笔小新 2023-12-14 17:57:01
server
Centos7.6安装Gitlab教程及注意事项
本文介绍了在Centos7.6系统下安装Gitlab的详细教程,并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时,还强调了使用阿里云服务器时的特殊配置需求,以及建议至少4GB的可用RAM来运行GitLab。 ...
[详细]
蜡笔小新 2023-12-14 14:01:06
server
图解redis的持久化存储机制RDB和AOF的原理和优缺点
本文通过图解的方式介绍了redis的持久化存储机制RDB和AOF的原理和优缺点。RDB是将redis内存中的数据保存为快照文件,恢复速度较快但不支持拉链式快照。AOF是将操作日志保存到磁盘,实时存储数据但恢复速度较慢。文章详细分析了两种机制的优缺点,帮助读者更好地理解redis的持久化存储策略。 ...
[详细]
蜡笔小新 2023-12-13 20:24:11
server
如何在服务器主机上实现文件共享的方法和工具
本文介绍了在服务器主机上实现文件共享的方法和工具,包括Linux主机和Windows主机的文件传输方式,Web运维和FTP/SFTP客户端运维两种方式,以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外,还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK,以及主机迁移服务会收集的源端服务器信息。 ...
[详细]
蜡笔小新 2023-12-13 13:23:48
server
SpringBoot整合SpringSecurity+JWT实现单点登录
SpringBoot整合SpringSecurity+JWT实现单点登录,Go语言社区,Golang程序员人脉社 ...
[详细]
蜡笔小新 2023-12-11 08:21:41
服务器
Python高级之网络编程及TCP/IP协议簇的OSI七层模型介绍
本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容,主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ...
[详细]
蜡笔小新 2023-12-14 18:16:27
linux
学习SLAM的女生,很酷
本文介绍了学习SLAM的女生的故事,她们选择SLAM作为研究方向,面临各种学习挑战,但坚持不懈,最终获得成功。文章鼓励未来想走科研道路的女生勇敢追求自己的梦想,同时提到了一位正在英国攻读硕士学位的女生与SLAM结缘的经历。 ...
[详细]
蜡笔小新 2023-12-14 17:55:18
linux
大数据就业前景及人才需求
近年来,大数据成为互联网世界的新宠儿,被列入阿里巴巴、谷歌等公司的战略规划中,也在政府报告中频繁提及。据《大数据人才报告》显示,目前全国大数据人才仅46万,未来3-5年将出现高达150万的人才缺口。根据领英报告,数据剖析人才供应指数最低,且跳槽速度最快。中国商业结合会数据剖析专业委员会统计显示,未来中国基础性数据剖析人才缺口将高达1400万。目前BAT企业中,60%以上的招聘职位都是针对大数据人才的。 ...
[详细]
蜡笔小新 2023-12-14 16:25:20
linux
Android中高级面试必知必会,积累总结
本文介绍了Android中高级面试的必知必会内容,并总结了相关经验。文章指出,如今的Android市场对开发人员的要求更高,需要更专业的人才。同时,文章还给出了针对Android岗位的职责和要求,并提供了简历突出的建议。 ...
[详细]
蜡笔小新 2023-12-14 14:53:02
linux
树莓派Linux基础(一):查看文件系统的命令行操作
本文介绍了在树莓派上通过SSH服务使用命令行查看文件系统的操作,包括cd命令用于变更目录、pwd命令用于显示当前目录位置、ls命令用于显示文件和目录列表。详细讲解了这些命令的使用方法和注意事项。 ...
[详细]
蜡笔小新 2023-12-14 13:33:39
linux
相机防抖设置详解及使用方法
本文详细介绍了相机防抖的设置方法和使用技巧,包括索尼防抖设置、VR和Stabilizer档位的选择、机身菜单设置等。同时解释了相机防抖的原理,包括电子防抖和光学防抖的区别,以及它们对画质细节的影响。此外,还提到了一些运动相机的防抖方法,如大疆的Osmo Action的Rock Steady技术。通过本文,你将更好地理解相机防抖的重要性和使用技巧,提高拍摄体验。 ...
[详细]
蜡笔小新 2023-12-13 20:39:20
server
计算机存储系统的层次结构及其优势
本文介绍了计算机存储系统的层次结构,包括高速缓存、主存储器和辅助存储器三个层次。通过分层存储数据可以提高程序的执行效率。计算机存储系统的层次结构将各种不同存储容量、存取速度和价格的存储器有机组合成整体,形成可寻址存储空间比主存储器空间大得多的存储整体。由于辅助存储器容量大、价格低,使得整体存储系统的平均价格降低。同时,高速缓存的存取速度可以和CPU的工作速度相匹配,进一步提高程序执行效率。 ...
[详细]
蜡笔小新 2023-12-13 17:32:41
linux
SSH免密登录步骤及注意事项
本文介绍了使用SSH免密登录的步骤,包括生成公私钥、传递公钥给被登录机、修改文件权限的操作。同时提醒用户注意私钥的传递方式,建议使用U盘等离线方式传递。 ...
[详细]
蜡笔小新 2023-12-11 23:42:42
server
LVS 实现负载均衡的原理
LVS实现负载均衡的原理LVS负载均衡负载均衡集群是LoadBalance集群。是一种将网络上的访问流量分布于各个节点,以降低服务器压力,更好的向客户端 ...
[详细]
蜡笔小新 2023-12-10 12:10:22
server
GSIOpenSSH PAM_USER 安全绕过漏洞
漏洞名称:GSI-OpenSSHPAM_USER安全绕过漏洞CNNVD编号:CNNVD-201304-097发布时间:2013-04-09 ...
[详细]
蜡笔小新 2023-12-10 06:34:54
想要把迩贴上私人标签92
这个家伙很懒,什么也没留下!
Tags | 热门标签
容器
touch
tomcat
vagrant
centos7
sudo
sftp
shell
apache
kubectl
运维
4层
curl
port
压力测试
cron
dns
log4j
nginx
docker
linux
路由器
zsh
syslog
tengine
服务器
stdout
jenkins
grafana
server
RankList | 热门文章
1
java 输入数字N,判断N的各位数之和是否为回文数
2
centos6.5下配置jenkins
3
笔记本win7如何升级到win10系统
4
prometheus学习系列十一:Prometheus报警规则配置LinuxPanda
5
mysql中字段唯一索引unique
6
常见问题_项目开发常见问题
7
HTML5中Viewport的参数介绍以及使用方法
8
Oracle参考一
9
.NET Web应用程序安装包的制作经历:Sql数据库安装的3种方式
10
jquery读取json参数的示例
11
数组变量投票统计
12
SQL 子查询之查询所有主表的数据同时统计另一张表的与主表关联的数据
13
Apache系列—虚拟主机配置的三种方式(二)
14
再谈Windows Service一个简单的自我例子和部署
15
开发笔记:父组件访问子组件中的数据(父子组件通信案例:父组件访问子组件$refs[‘子组件‘],子组件传递数据给父组件(父组件中使用vmodel))
PHP1.CN | 中国最专业的PHP中文社区 |
DevBox开发工具箱
|
json解析格式化
|
PHP资讯
|
PHP教程
|
数据库技术
|
服务器技术
|
前端开发技术
|
PHP框架
|
开发工具
|
在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved |
京公网安备 11010802041100号
|
京ICP备19059560号-4
| PHP1.CN 第一PHP社区 版权所有