- 9 物理安全
物理安全非常重要。Linux 生产服务器应位于已锁定且只有通过安全检查的人员才能访问的数据中心内。根据环境和情况,您还可以考虑启动加载程序密码。
- 10 软件管理
在保护 Linux 系统时,一个重要的步骤是确定 Linux 服务器的主要功能或角色。否则,很难理解需要保护什么,并且保护这些 Linux 系统可能会证明是无效的。因此,关键在于查看默认的软件列表…
- 11 文件管理
服务器应至少为
/、/boot、/var、/tmp和/home分配单独的文件系统。这可以防止例如/var和/tmp下的日志空间和临时空间填满根分区。第三方应用程序也应放在单独的文件系统上,例如在/opt下。- 12 加密分区和文件
加密文件、分区和整个磁盘可以防止未经授权访问您的数据,并保护您的机密文件和文档。
- 13 使用 cryptctl 加密托管应用程序的存储
数据库和类似应用程序通常托管在由第三方人员维护的外部服务器上。某些数据中心维护任务需要第三方人员直接访问受影响的系统。在这种情况下,隐私要求需要磁盘加密。
- 14 用户管理
重要的是锁定所有未用于登录的系统和供应商帐户。要获取系统上解锁的帐户列表,您可以检查 /etc/shadow 文件中没有以 ! 或 * 开头的加密密码字符串的帐户。如果您使用 p…锁定帐户,
- 15 限制
cron和at 本章介绍如何限制对
cron和at守护程序访问以提高系统安全性。- 16 Spectre/Meltdown 检查器
spectre-meltdown-checker是一个 shell 脚本,用于测试您的系统是否容易受到过去 20 年来制造的几乎所有 CPU 的几种推测执行漏洞的影响。这是一个硬件缺陷,可能允许攻击者读取系统上的所有数据。在云计算服务中,多个虚拟机位于单个物理主机上,攻击者可以访问所有虚拟机。修复这些漏洞需要重新设计和更换 CPU。在此期间,有几个软件补丁可以缓解这些漏洞。如果您已使您的 SUSE 系统保持最新,则应已安装所有这些补丁。spectre-meltdown-checker生成详细的报告。无法保证您的系统是安全的,但它会向您显示哪些缓解措施已到位,以及潜在的漏洞。- 17 使用 YaST 配置安全设置
YaST 模块 为 openSUSE Leap 提供了一个用于配置安全相关设置的中央控制面板。使用它来配置安全方面,例如登录过程和密码创建的设置、启动权限、用户创建或默认文件权限。从 YaST 控制中心使用 › 启动它。 对话框打开到 ,左侧和右侧窗格中包含其他配置对话框。
- 18 Polkit 身份验证框架
Polkit 是图形 Linux 桌面环境使用的身份验证框架,用于对系统上的访问权限进行细粒度管理。传统上,在 Linux 中,在完全授权的管理员帐户
root用户和系统上的所有其他帐户和组之间存在很强的权限分离。这些非管理员帐户可能具有某些额外的权限,例如通过audio组访问声音硬件。但是,这种权限是固定的,无法在特定情况下或特定持续时间内授予。与其完全切换到
root用户(使用诸如sudo之类的程序)以获取更高的权限,不如 Polkit 根据需要向用户或组授予特定的权限。这由配置文件控制,这些配置文件描述了需要在动态上下文中授权的单个操作。- 19 Linux 中的访问控制列表
POSIX ACL(访问控制列表)可以用作文件系统对象传统权限概念的扩展。使用 ACL,可以比传统权限概念更灵活地定义权限。
- 20 使用 AIDE 进行入侵检测
保护您的系统是任何关键任务系统管理员必须完成的强制性任务。由于不可能始终保证系统没有受到损害,因此定期进行额外的检查(例如使用
cron)以确保系统仍在您的控制之下非常重要。这就是 AIDE(高级入侵检测环境)发挥作用的地方。