解读黑客入侵你Linux服务器的一万种玩法 _Linux服务器

安全是 IT 行业一个老生常谈的话题了，从之前的“棱镜门”事件中折射出了很多安全问题，处理好信息安全问题已变得刻不容缓。

文章插图

因此做为运维人员，就必须了解一些安全运维准则，同时，要保护自己所负责的业务，首先要站在攻击者的角度思考问题，修补任何潜在的威胁和漏洞。
【解读黑客入侵你Linux服务器的一万种玩法】本文主要分为如下五部分展开：

账户和登录安全
远程访问和认证安全
文件系统安全
linux 后门入侵检测工具
服务器遭受攻击后的处理过程

账户和登录安全账户安全是系统安全的第一道屏障，也是系统安全的核心，保障登录账户的安全，在一定程度上可以提高服务器的安全级别，下面重点介绍下 Linux 系统登录账户的安全设置方法。
①删除特殊的账户和账户组
Linux 提供了各种不同角色的系统账号，在系统安装完成后，默认会安装很多不必要的用户和用户组。
如果不需要某些用户或者组，就要立即删除它，因为账户越多，系统就越不安全，很可能被黑客利用，进而威胁到服务器的安全。
Linux系统中可以删除的默认用户和组大致有如下这些：
可删除的用户，如 adm ， lp ， sync ， shutdown ， halt ， news ， uucp ， operator ， games ， gopher 等。
可删除的组，如 adm ， lp ， news ， uucp ， games ， dip ， pppusers ， popusers ， slipusers 等。
②关闭系统不需要的服务
Linux 在安装完成后，绑定了很多没用的服务，这些服务默认都是自动启动的。
对于服务器来说，运行的服务越多，系统就越不安全，越少服务在运行，安全性就越好，因此关闭一些不需要的服务，对系统安全有很大的帮助。
具体哪些服务可以关闭，要根据服务器的用途而定，一般情况下，只要系统本身用不到的服务都认为是不必要的服务。
例如：某台 Linux 服务器用于 www 应用，那么除了 httpd 服务和系统运行是必须的服务外，其他服务都可以关闭。
下面这些服务一般情况下是不需要的，可以选择关闭：
anacron、auditd、autofs、avahi-daemon、avahi-DNSconfd、bluetooth、cpuspeed、firstboot、gpm、haldaemon、hidd、ip6tables、ipsec、isdn、lpd、mcstrans、messagebus、netfs、nfs、nfslock、nscd、pcscd portmap、readahead_early、restorecond、rpcgssd、rpcidmapd、rstatd、sendmail、setroubleshoot、yppasswdd ypserv
③密码安全策略
在 Linux 下，远程登录系统有两种认证方式：

密码认证
密钥认证

密码认证方式是传统的安全策略，对于密码的设置，比较普遍的说法是：至少 6 个字符以上，密码要包含数字、字母、下划线、特殊符号等。
设置一个相对复杂的密码，对系统安全能起到一定的防护作用，但是也面临一些其他问题，例如密码暴力破解、密码泄露、密码丢失等，同时过于复杂的密码对运维工作也会造成一定的负担。
密钥认证是一种新型的认证方式，公用密钥存储在远程服务器上，专用密钥保存在本地，当需要登录系统时，通过本地专用密钥和远程服务器的公用密钥进行配对认证，如果认证成功，就成功登录系统。
这种认证方式避免了被暴力破解的危险，同时只要保存在本地的专用密钥不被黑客盗用，攻击者一般无法通过密钥认证的方式进入系统。
因此，在 Linux 下推荐用密钥认证方式登录系统，这样就可以抛弃密码认证登录系统的弊端。
Linux 服务器一般通过 SecureCRT、Putty、Xshell 之类的工具进行远程维护和管理，密钥认证方式的实现就是借助于 SecureCRT 软件和 Linux 系统中的 SSH 服务实现的。
④合理使用 su、sudo 命令