以下是每个运维管理员应采取的必要步骤:
1.禁用Firewire和Thunderbolt模块。
2.检查防火墙,确保所有入口已过滤。
3.确保将root邮件转发到您验证的帐户。
4.设置操作系统自动更新时间表,或更新提醒内容。
此外,还应考虑进一步加固系统的最佳步骤之一:
1.检查确保SSHD服务在默认情况下被禁用。
2.在闲置一段时间后自动锁定屏幕保护程序。
3.安装logwatch。
4.安装和使用rkhunter。
5.安装入侵检测系统。
一、将相关模块列入黑名单。
想把Firewire和Thunderbolt模块列入黑名单,在/etc/modprobe.d/blacklist-dma.conf中添加以下几行文件:
blacklistfire-core。
blacklisthunderbolt。
一旦系统重启,上述模块将被列入黑名单。即使你没有这些端口,这样做也没有害处。
二.root邮件。
默认情况下,root邮件完全保存在系统中,永远不会读取。确保您设置/etc/aliases,将root邮件转发到您实际读取的邮箱,否则您可能会错过重要的系统通知和报告:
#Personwhosholdgetrotsmail。
bob@#
编辑后,运行newaliases进行测试,以确保电子邮件确实已经发送,因为一些电子邮件提供商拒绝从根本不存在的域名或无法通过的域名发送电子邮件。如果是这样,您需要调整电子邮件转发配置,直到它真的可行。
三、防火墙.sshd及侦听守护过程。
默认的防火墙设置将依赖于您的发行版本,但许多允许进入sshd端口。除非你有足够和合法的理由允许进入ssh,否则你应该过滤掉这个过程,并禁止sshd保护过程。
systemctldisableshd.service。
systemctlstopshd.service。
若需使用,可暂时启动。
一般来说,除了响应ping,你的系统应该没有侦听端口。这将有助于你防止网络层面的零日漏洞。
四、自动更新或通知。
建议打开自动更新,除非你有足够的理由不这样做,比如担心自动更新会导致你的系统无法使用(这以前发生过,所以这种担心并非毫无根据)。至少,您应该使用自动通知可用更新机制。大多数发行版本都允许这项服务自动为您运行,因此您可能不需要进行任何操作。查阅发行版本的描述文档,了解更多信息。
五、查看日志。
你应该密切关注系统中发生的所有活动。因此,应安装logwatch并配置logwatch,以便每晚发送活动报告,以显示系统中发生的所有活动。这并不能阻止全身心投入的攻击者,但它是一个很好的安全网功能,需要部署。
请注意:许多systemd发行版本不再自动安装logwatch所需的syslog服务器(这是因为systemd依赖于自己的日志),因此您需要安装和使用rsyslog,以确保/var/log在logwatch有任何用途之前不是空的。
六、rkhunter和IDS。
除非你有效地理解工作原理,并采取必要的步骤进行合理的设置(如将数据库放在外部介质上,从可靠的环境运行检查、执行系统更新和配置住更新哈希数据库等),否则安装入侵检测系统(IDS),如rkhunter和aide或tripwire不是很有用。如果你不想采取这些步骤。调整在工作站执行任务的方式,这些工具只会带来麻烦,没有任何实际的安全效益。
我们确实建议你在晚上安装rkhunter。它很容易学习和使用;虽然它找不到狡猾的攻击者,但它可以帮助你发现自己的错误。更多关于云计算培训的问题,欢迎咨询千锋教育在线名师。千锋教育拥有多年IT培训服务经验,采用全程面授高品质、高体验培养模式,拥有国内一体化教学管理及学员服务,助力更多学员实现高薪梦想。