安全linux服务器 linux服务器安全策略配置

linux服务器所需要的杀毒软件

1、首先在clamav官网上下载安装包，在官网download的界面里下载，可以看到当前最新的稳定版本。点击名称下载即可。

在资阳等地区，都构建了全面的区域性战略布局，加强发展的系统性、市场前瞻性、产品创新能力，以专注、极致的服务理念，为客户提供成都做网站、网站建设、外贸营销网站建设 网站设计制作按需求定制制作,公司网站建设,企业网站建设,品牌网站制作,全网营销推广,外贸网站制作,资阳网站建设费用合理。

2、然后解压安装。在安装之前先创建一个clamav的用户组和组成员。

3、解压安装：这一步最好在root权限下进行，安装杀毒软件查杀的就是root下的文件。依次做扒执行图片中的指令进行config、编译、安装。

4、然后执行make，没有报错，编枣蚂译成功。然后make install，目前clamav的安装就完成了。

5、使用clamsan扫描一下，发现出现下面的错误。仔细查看了一下，目前没有可用的病毒库。

6、这时创建几个目录并设定权限。设置配置文件。

7、更新配置文件，在配置文件中加入下面的内容。需要把freshclam.conf和clamd.conf配置文件中的Example那一行去掉。

8、最后更新病毒库，这个需要一段时间纯岩昌。更新完成后，再次执行第5个步骤的命令进行扫描，就可以了。

防黑加固Linux服务器安全加固？

使用一些安全测试的办法与工具对服务器进行风险检测，找出服务器的脆弱点以及存在的安全缺陷。

针对服务器操作系统自身的安全测试，包括一些系统配置、主机漏洞扫描等等

查看服务器操作系统当前用户是否为root用户，尽量避免使用root用户登录，启动其他服务程序，除非是一些需要root权限的安全工具，前提需要保证猛竖工具来源可信。终端需要 who 既可以查看当前登录用户。

登录到Linux系统，此时切换到root用户，下载lynis安全审计工具，切换到lynis运行脚本目录，执行 ./lynis --check-all –Q 脚本语句，开始对本地主机扫描审计，等待扫描结束，查看扫描结果。

登录到Linux系统，切换到root用户，使用命令行方式安装Clamav 杀毒软件，安装完毕需要更新病毒库，执行扫描任务，等待扫描结束获取扫描结果，根据扫描结果删除恶意代码病毒；

登录到Linux系统，切换到尺念root用户，下载Maldetect Linux恶意软件检测工具，解压缩后完成安装。运行扫描命令检测病毒，等待扫描结束获取扫描报告，根据扫描报告删除恶意病毒软件；

登录到Linux系统，切换到root用户，下载Chkrootkit后门检测工具包，解压缩后进入 Chkrootkit目录，使用gcc安装Chkrootkit，安装成功即开始Chkrootkit扫描工作，等待扫描结束，根据扫描结果恢复系统；

登录到Linux系统，切换到root用户，下载RKHunter 后门检测工具包，解压缩后进入 RKHunter 目录，执行命令安装RKHunter ，安装成功即开始启用后门检测工作，等待检测结束，根据检测报告更新操作系统，打上漏洞对应补丁；

使用下面工具扫描Web站点：nikto、wa3f、sqlmap、safe3 … …

扫描Web站点的信息：操作系统类型、操作系统版本、端口、服务器类型、服务器版本、Web站点错误详细信息、Web目录索引、Web站点结构、Web后台管理页面 …

测试sql注入，出现几个sql注入点

测试xss攻击，出现几个xss注入点

手动测试某些网页的输入表单，存在没有进行逻辑判断的表单，例如：输入邮箱的表单，对于非邮箱地址的输入结果，任然会继续处理，而不是提示输入错枝困大误，返回继续输入。

针对风险测试后得到的安全测试报告，修复系统存在的脆弱点与缺陷，并且进一步加强服务器的安全能力，可以借助一些安全工具与监控工具的帮助来实现。

对服务器本身存在的脆弱性与缺陷性进行的安全加固措施。

使用非root用户登录操作系统，使用非root用户运行其他服务程序，如：web程序等；

web权限，只有web用户组用户才能操作web应用，web用户组添加当前系统用户；

数据库权限，只有数据库用户组用户才能操作数据库，数据库用户组添加当前系统用户；

根据安全审计、恶意代码检查、后门检测等工具扫描出来的结果，及时更新操作系统，针对暴露的漏洞打上补丁。

对于发现的恶意代码病毒与后门程序等及时删除，恢复系统的完整性、可信行与可用性。

部署在服务器上的Web站点因为程序员编写代码时没有注意大多的安全问题，造成Web服务站点上面有一些容易被利用安全漏洞，修复这些漏洞以避免遭受入侵被破坏。

配置当前服务器隐藏服务器信息，例如配置服务器，隐藏服务器类型、服务器的版本、隐藏服务器管理页面或者限制IP访问服务器管理页面、Web站点错误返回信息提供友好界面、隐藏Web索引页面、隐藏Web站点后台管理或者限制IP访问Web站点后台。

使用Web代码过滤sql注入或者使用代理服务器过滤sql注入，这里更加应该使用Web代码过滤sql注入，因为在页面即将提交给服务器之前过滤sql注入，比sql注入到达代理服务器时过滤，更加高效、节省资源，用户体验更好，处理逻辑更加简单。

如何保证Linux服务器的安全

博客 – 伯乐在线

首页最新文章在线课程业界开发 IT技术 设计 创业IT职场投稿更多 »

伯乐在线 首页 所有文章 IT技术 如何保证Linux服务器的安全

如何保证Linux服务器的安全

2013/06/29 | 分类： IT技术 | | 标签： Linux, 服务器

分享到： 99

less即学即用

iOS-动画进阶

洪大师带你解读Symfony2框架

HTML5存储磨启段

本文由 伯乐在线 - 贾朝藤 翻译。未经许可，禁止转载！

英文出处：Spenser Jones。欢迎加入翻译小组。

很少见有人马上为一台新安装的服务器做安全措施，然而我们生活所在的这个社会使得这件事情是必要的。不过为什么仍旧这么多人把它拖在最后？我也做过相同的事，这通常可以归结为我们想要马上去折腾那些有趣的东西。希望这篇文章将向大家展示，确保服务器安全没有你想得那样难。在攻击开始后，俯瞰你的“堡垒”，也相当享受。

这篇文章为 Ubuntu 12.04.2 LTS 而写，你也可以在任何其他 Linux 分发版上做相同的事情。

我从哪儿开始？

如果服务器已经有了一个公有IP，你会希瞎誉望立即锁定 root 访问。事实上，你得锁定整个ssh访问，并确保只有你可以访问。增加一个新用户，把它加入admin组（在/etc/sudoers预配置以拥有sudo访问权限）。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

$ sudo addgroup admin

Adding group 'admin' (GID 1001)

Done.

$ sudo adduser spenserj

Adding user `spenserj' ...

Adding new group `spenserj' (1002) ...

Adding new user `spenserj' (1001) with group `spenserj' ...

Creating home directory `/home/spenserj' ...

Copying files from `/etc/skel' ...

Enter new UNIX password:

Retype new UNIX password:

passwd: password updated successfully

Changing the user information for spenserj

Enter the new value, or press ENTER for the default

Full Name []: Spenser Jones

Room Number []:

Work Phone []:

Home Phone []:

Other []:

Is the information correct? [Y/n] y

$ sudo usermod -a -G admin spenserj

你也将希望在你电脑上创建一个旁带私有key，并且在服务器上禁用讨厌的密码验证。

1

2

$ mkdir ~/.ssh

$ echo "ssh-rsa [your public key]" ~/.ssh/authorized_keys

/etc/ssh/sshd_config

1

2

3

4

PermitRootLogin no

PermitEmptyPasswords no

PasswordAuthentication no

AllowUsers spenserj

重新加载SSH，使用修改生效，之后尝试在一个新会话中登陆来确保所有事情正常工作。如果你不能登陆，你将仍然拥有你的原始会话来做修改。

1

2

3

$ sudo service ssh restart

ssh stop/waiting

ssh start/running, process 1599

更新服务器

既然你是访问服务器的唯一用户，你就不用担心黑客鬼鬼祟祟进入，再次正常呼吸。当有一些针对你服务器的更新时，正是修补的机会，所以动手吧，就现在。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

$ sudo apt-get update

...

Hit precise-updates/universe Translation-en_CA

Hit precise-updates/universe Translation-en

Hit precise-backports/main Translation-en

Hit precise-backports/multiverse Translation-en

Hit precise-backports/restricted Translation-en

Hit precise-backports/universe Translation-en

Fetched 3,285 kB in 5s (573 kB/s)

Reading package lists... Done

$ sudo apt-get upgrade

Reading package lists... Done

Building dependency tree

Reading state information... Done

The following packages have been kept back:

linux-headers-generic-lts-quantal linux-image-generic-lts-quantal

The following packages will be upgraded:

accountsservice apport apt apt-transport-https apt-utils aptitude bash ...

73 upgraded, 0 newly installed, 0 to remove and 2 not upgraded.

Need to get 61.0 MB of archives.

After this operation, 151 kB of additional disk space will be used.

Do you want to continue [Y/n]? Y

...

Setting up libisc83 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libdns81 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libisccc80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libisccfg82 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up libbind9-80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up liblwres80 (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up bind9-host (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up dnsutils (1:9.8.1.dfsg.P1-4ubuntu0.6) ...

Setting up iptables (1.4.12-1ubuntu5) ...

...

安装防火墙

安装现在正最流行的防火墙软件？好，行动吧。那就配置一个防火墙。之后你总是可以增加另一个异常，几分钟额外的工作并不会折腾死你。Iptables在Ubuntu里预装了，所以去设置一些规则吧。

1

$ sudo mkdir /etc/iptables

/etc/iptables/rules

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT DROP [0:0]

# Accept any related or established connections

-I INPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

-I OUTPUT 1 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Allow all traffic on the loopback interface

-A INPUT -i lo -j ACCEPT

-A OUTPUT -o lo -j ACCEPT

# Allow outbound DHCP request - Some hosts (Linode) automatically assign the primary IP

#-A OUTPUT -p udp --dport 67:68 --sport 67:68 -j ACCEPT

# Outbound DNS lookups

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

# Outbound PING requests

-A OUTPUT -p icmp -j ACCEPT

# Outbound Network Time Protocol (NTP) request

-A OUTPUT -p udp --dport 123 --sport 123 -j ACCEPT

# SSH

-A INPUT -i eth0 -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT

# Outbound HTTP

-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT

-A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT

COMMIT

通过 iptables-apply 命令为规则集生效。如果你丢失连接，修补你的规则，在继续之前再试一下

1

2

3

4

$ sudo iptables-apply /etc/iptables/rules

Applying new ruleset... done.

Can you establish NEW connections to the machine? (y/N) y

... then my job is done. See you next time.

创建文件 /etc/network/if-pre-up.d/iptables，然后写入下面内容。当你启动服务器的时候，将自动载入你的iptables规则。

/etc/network/if-pre-up.d/iptables

1

2

#!/bin/sh

iptables-restore /etc/iptables/rules

现在给它执行权限，执行文件，以确保它正常载入