IT運(yùn)維：教你如何搭建一個(gè)安全的Linux服務(wù)器教程

2020-04-10 15:48 作者：admin 瀏覽量：

教你如何搭建一個(gè)安全的Linux服務(wù)器教程

要建立一個(gè)安全Linux服務(wù)器就首先要了解Linux環(huán)境下和網(wǎng)絡(luò)服務(wù)相關(guān)的配置文件的含義及如何進(jìn)行安全的配置。在Linux系統(tǒng)中，TCP/IP網(wǎng)絡(luò)是通過(guò)若干個(gè)文本文件進(jìn)行配置的，也許你需要編輯這些文件來(lái)完成聯(lián)網(wǎng)工作，但是這些配置文件大都可以通過(guò)配置命令linuxconf (其中網(wǎng)絡(luò)部分的配置可以通過(guò)netconf命令來(lái)實(shí)現(xiàn))。下面介紹基本的 TCP/IP網(wǎng)絡(luò)配置文件。
服務(wù)器運(yùn)維
　　* /etc/conf.modules文件

　　該配置文件定義了各種需要在激活時(shí)加載的模塊的參數(shù)信息。這里主要著重討論關(guān)于網(wǎng)卡的配置。在使用Linux做網(wǎng)關(guān)的情況下，Linux服務(wù)器至少需要配置兩塊網(wǎng)卡。為了減少激活時(shí)可能出現(xiàn)的問(wèn)題，Linux內(nèi)核不會(huì)自動(dòng)檢測(cè)多個(gè)網(wǎng)卡。對(duì)于沒(méi)有將網(wǎng)卡的驅(qū)動(dòng)編譯到內(nèi)核而是作為模塊動(dòng)態(tài)加載的系統(tǒng)若需要安裝多塊網(wǎng)卡，應(yīng)該在“conf.modules”文件中進(jìn)行相應(yīng)的配置。

　　若設(shè)備驅(qū)動(dòng)被編譯為模塊(內(nèi)核的模塊)：對(duì)于PCI設(shè)備，模塊將自動(dòng)檢測(cè)到所有已經(jīng)安裝到系統(tǒng)上的設(shè)備;對(duì)于ISA卡，則需要向模塊提供IO地址，以使模塊知道在何處尋找該卡，這些信息在“/etc/conf.modules”中提供。

　　例如，我們有兩塊ISA總線的3c509卡，一個(gè)IO地址是0x300，另一個(gè)是0x320。編輯“conf.modules”文件如下：alias eth0 3c509alias eth1 3c509options 3c509 io=0x300，0x320這是說(shuō)明3c509的驅(qū)動(dòng)程序應(yīng)當(dāng)分別以eth0或eth1的名稱被加載(alias eth0，eth1)，并且它們應(yīng)該以參數(shù)io=0x300，0x320被裝載，來(lái)通知驅(qū)動(dòng)程序到哪里去尋找網(wǎng)卡，其中0x是不可缺少的。

　　對(duì)于PCI卡，僅僅需要alias命令來(lái)使ethN和適當(dāng)?shù)尿?qū)動(dòng)模塊名關(guān)聯(lián)，PCI卡的IO地址將會(huì)被自動(dòng)的檢測(cè)到。對(duì)于PCI卡，編輯“conf.modules”文件如下：alias eth0 3c905alias eth1 3c905若驅(qū)動(dòng)已經(jīng)被編譯進(jìn)了內(nèi)核：系統(tǒng)激活時(shí)的PCI檢測(cè)程序?qū)?huì)自動(dòng)找到所有相關(guān)的網(wǎng)卡。ISA卡一般也能夠被自動(dòng)檢測(cè)到，但是在某些情況下，ISA卡仍然需要做下面的配置工作：

　　在“/etc/lilo.conf”中增加配置信息，其方法是通過(guò)LILO程序?qū)⒓せ顓?shù)信息傳遞給內(nèi)核。對(duì)于ISA卡，編輯“lilo.conf”文件，增加如下內(nèi)容：append=" ether="0，0，eth0 ether="0，0，eth1"注：先不要在“lilo.conf”中加入激活參數(shù)，測(cè)試一下你的ISA卡，若失敗再使用激活參數(shù)。

　　如果用傳遞激活參數(shù)的方法，eth0和eth1將按照激活時(shí)被發(fā)現(xiàn)的順序來(lái)設(shè)置。

　　* /etc/HOSTNAME文件：IT外包

　　該文件包含了系統(tǒng)的主機(jī)名稱，包括完全的域名，如：

　　deep.openarch.com

　　*/etc/sysconfig/network-scripts/ifcfg-ethN文件：

　　在RedHat中，系統(tǒng)網(wǎng)絡(luò)設(shè)備的配置文件保存在“/etc/sysconfig/network-scripts”目錄下，ifcfg-eth0包含第一塊網(wǎng)卡的配置信息，ifcfg-eth1包含第二塊網(wǎng)卡的配置信息。

　　下面是“/etc/sysconfig/network-scripts/ifcfg-eth0”文件的示例：DEVICE=eth0IPADDR=208.164.186.1NETMASK=255.255.255.0NETWORK=208.164.186.0BROADCAST=208.164.186.255ONBOOT=yesBOOTPROTO=noneUSERCTL=no

　　若希望手工修改網(wǎng)絡(luò)地址或在新的接口上增加新的網(wǎng)絡(luò)界面，可以通過(guò)修改對(duì)應(yīng)的文件(ifcfg-ethN)或創(chuàng)建新的文件來(lái)實(shí)現(xiàn)。

　　DEVICE=name name表示物理設(shè)備的名字

　　IPADDR=addr addr表示賦給該卡的IP地址

　　NETMASK=mask mask表示網(wǎng)絡(luò)掩碼

　　NETWORK=addr addr表示網(wǎng)絡(luò)地址

　　BROADCAST=addr addr表示廣播地址

　　ONBOOT=yes/no 激活時(shí)是否激活該卡

　　none：無(wú)須激活協(xié)議

　　bootp：使用bootp協(xié)議

　　dhcp：使用dhcp協(xié)議

　　USERCTL=yes/no 是否允許非root用戶控制該設(shè)備

　　*/etc/resolv.conf文件：

　　該文件是由域名解析器(resolver，一個(gè)根據(jù)主機(jī)名解析IP地址的庫(kù))使用的配置文件，示例如下：

　　search openarch.comnameserver 208.164.186.1nameserver 208.164.186.2

　　“search domainname.com”表示當(dāng)提供了一個(gè)不包括完全域名的主機(jī)名時(shí)，在該主機(jī)名后添加domainname.com的后綴;“nameserver”表示解析域名時(shí)使用該地址指定的主機(jī)為域名服務(wù)器。其中域名服務(wù)器是按照文件中出現(xiàn)的順序來(lái)查詢的。
*/etc/host.conf文件：

　　該文件指定如何解析主機(jī)名。Linux通過(guò)解析器庫(kù)來(lái)獲得主機(jī)名對(duì)應(yīng)的IP地址。下面是一個(gè)“/etc/host.conf”的示例：

　　order bind，hosts

　　multi on

　　ospoof on

　　“order bind，hosts”指定主機(jī)名查詢順序，這里規(guī)定先使用DNS來(lái)解析域名，然后再查詢“/etc/hosts”文件(也可以相反)。

　　“multi on”指定是否“/etc/hosts”文件中指定的主機(jī)可以有多個(gè)地址，擁有多個(gè)IP地址的主機(jī)一般稱為多穴主機(jī)。

　　“nospoof on”指不允許對(duì)該服務(wù)器進(jìn)行IP地址欺騙。IP欺騙是一種攻擊系統(tǒng)安全的手段，通過(guò)把IP地址偽裝成別的計(jì)算器，來(lái)取得其它計(jì)算器的信任。

　　*/etc/sysconfig/network文件

　　該文件用來(lái)指定服務(wù)器上的網(wǎng)絡(luò)配置信息，下面是一個(gè)示例：

　　NETWORK=yesRORWARD_IPV4=yesHOSTNAME=deep.openarch.comGAREWAY=0.0.0.0GATEWAYDEV=NETWORK=yes/no 網(wǎng)絡(luò)是否被配置;FORWARD_IPV4=yes/no 是否開(kāi)啟IP轉(zhuǎn)發(fā)功能HOSTNAME=hostname hostname表示服務(wù)器的主機(jī)名GAREWAY=gw-ip gw-ip表示網(wǎng)絡(luò)網(wǎng)關(guān)的IP地址GAREWAYDEV=gw-dev gw-dw表示網(wǎng)關(guān)的設(shè)備名，如：etho等

　　注意：為了和老的軟件相兼容，“/etc/HOSTNAME”文件應(yīng)該用和HOSTNAME=hostname相同的主機(jī)名。

　　*/etc/hosts文件

　　當(dāng)機(jī)器激活時(shí)，在可以查詢DNS以前，機(jī)器需要查詢一些主機(jī)名到IP地址的匹配。這些匹配信息存放在/etc/hosts文件中。在沒(méi)有域名服務(wù)器情況下，系統(tǒng)上的所有網(wǎng)絡(luò)程序都通過(guò)查詢?cè)撐募?lái)解析對(duì)應(yīng)于某個(gè)主機(jī)名的IP地址。

　　下面是一個(gè)“/etc/hosts”文件的示例：

　　IP Address Hostname Alias127.0.0.1 Localhost Gate.openarch.com208.164.186.1 gate.openarch.com Gate

　　最左邊一列是主機(jī)IP信息，中間一列是主機(jī)名。任何后面的列都是該主機(jī)的別名。一旦配置完機(jī)器的網(wǎng)絡(luò)配置文件，應(yīng)該重新激活網(wǎng)絡(luò)以使修改生效。使用下面的命令來(lái)重新激活網(wǎng)絡(luò)：/etc/rc.d/init.d/network restart

　　* /etc/inetd.conf文件

　　眾所周知，作為服務(wù)器來(lái)說(shuō)，服務(wù)端口開(kāi)放越多，系統(tǒng)安全穩(wěn)定性越難以保證。所以提供特定服務(wù)的服務(wù)器應(yīng)該盡可能開(kāi)放提供服務(wù)必不可少的端口，而將與服務(wù)器服務(wù)無(wú)關(guān)的服務(wù)關(guān)閉，比如：一臺(tái)作為www和Ftp服務(wù)器的機(jī)器，應(yīng)該只開(kāi)放80 和25端口，而將其它無(wú)關(guān)的服務(wù)如：finger auth等服務(wù)關(guān)掉，以減少系統(tǒng)漏洞。

　　而inetd，也叫作“超級(jí)服務(wù)器”，就是監(jiān)視一些網(wǎng)絡(luò)請(qǐng)求的守護(hù)進(jìn)程，其根據(jù)網(wǎng)絡(luò)請(qǐng)求來(lái)調(diào)用相應(yīng)的服務(wù)進(jìn)程來(lái)處理連接請(qǐng)求。inetd.conf則是inetd的配置文件。inetd.conf文件告訴inetd監(jiān)聽(tīng)哪些網(wǎng)絡(luò)端口，為每個(gè)端口激活哪個(gè)服務(wù)。在任何的網(wǎng)絡(luò)環(huán)境中使用Linux系統(tǒng)，第一件要做的事就是了解一下服務(wù)器到底要提供哪些服務(wù)。不需要的那些服務(wù)應(yīng)該被禁止掉，最好卸載掉，這樣黑客就少了一些攻擊系統(tǒng)的機(jī)會(huì)。查看“/etc/inetd.conf”文件，了解一下inetd提供哪些服務(wù)。用加上注釋的方法(在一行的開(kāi)頭加上#號(hào))，禁止任何不需要的服務(wù)，再給inetd進(jìn)程發(fā)一個(gè)SIGHUP信號(hào)。

　　第一步：把文件的權(quán)限限改成600。

　　[root@deep]# chmod 600 /etc/inetd.conf

　　第二步：確信文件的所有者是root。

　　[root@deep]# stat /etc/inetd.conf

　　第三步：編輯“inetd.conf”文件(vi /etc/inetd.conf)，禁止所有不需要的服務(wù)，如：ftp、 telnet、 shell、 login、 exec、talk、ntalk、 imap、 pop-2、pop-3、finger、auth，等等。如果你覺(jué)得某些服務(wù)有用，可以不禁止這些服務(wù)。但是，把這些服務(wù)禁止掉，系統(tǒng)受攻擊的可能性就會(huì)小很多。改變后的“inetd.conf”文件的內(nèi)容如下面所示：

# To re-read this file after changes， just do a 'killall -HUP inetd'##echo stream tcp nowait root internal#echo dgram udp wait root internal#discard stream tcp nowait root internal#discard dgram udp wait root internal#daytime stream tcp nowait root internal#daytime dgram udp wait root internal#chargen stream tcp nowait root internal#chargen dgram udp wait root internal#time stream tcp nowait root internal#time dgram udp wait root internal## These are standard services.##ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd## Shell， login， exec， comsat and talk are BSD protocols.