以下說明假定您使用的是CentOS / RHEL或基于Ubuntu / Debian的Linux發(fā)行版。

　　#1：加密數(shù)據(jù)通信

　　所有通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)都可以進行監(jiān)控。盡可能使用密碼或使用密鑰/證書加密傳輸?shù)臄?shù)據(jù)。

　　使用scp，ssh，rsync或sftp進行文件傳輸。您還可以使用特殊的sshfs和保險絲工具來掛載遠程服務器文件系統(tǒng)或您自己的主目錄。

　　GnuPG允許加密和簽名您的數(shù)據(jù)和通信，具有多功能密鑰管理系統(tǒng)以及各種公共密鑰目錄的訪問模塊。

　　OpenVPN是一款經(jīng)濟高效，輕量級的SSL VPN。另一個選擇是嘗試使用隧道和加密的tinc在Internet上的主機或私有的不安全LAN上創(chuàng)建安全的專用網(wǎng)絡。

　　Lighttpd SSL(安全服務器層)https配置和安裝

　　Apache SSL(安全服務器層)Https(mod_ssl)配置和安裝

　　如何免費配置Nginx讓我們在Debian或Ubuntu Linux上加密SSL證書

　　#2：避免使用FTP，Telnet和Rlogin / Rsh服務

　　在大多數(shù)網(wǎng)絡配置下，用戶名，密碼，F(xiàn)TP / telnet / rsh命令和傳輸?shù)奈募�可以被同一網(wǎng)絡上的任何人使用數(shù)據(jù)包嗅探器捕獲。解決此問題的常見方法是使用OpenSSH，SFTP或FTPS(FTP over SSL)，它向FTP添加SSL或TLS加密。輸入以下yum命令刪除NIS，rsh和其他過時的服務：

　　# yum erase xinetd ypserv tftp-server telnet-server rsh-server

　　如果您使用的是基于Debian / Ubuntu Linux的服務器，請嘗試使用apt-get命令 / apt命令刪除不安全的服務：

　　$ sudo apt-get --purge remove xinetd nis yp-tools tftpd atftpd tftpd-hpa telnetd rsh-server rsh-redone-server

　　#3：盡量減少軟件以減少漏洞

　　你真的需要安裝各種網(wǎng)絡服務嗎?避免安裝不必要的軟件以避免軟件中的漏洞。使用RPM軟件包管理器(例如yum或apt-get和/或dpkg)查看系統(tǒng)上已安裝的所有軟件包集。刪除所有不需要的軟件包。要么

　　# yum list installed

　　# yum list packageName

　　# yum remove packageName

　　# dpkg --list

　　# dpkg --info packageName

　　# apt-get remove packageName

　　#4：每個系統(tǒng)或VM實例一個網(wǎng)絡服務

　　在不同的服務器或VM實例上運行不同的網(wǎng)絡服務。這限制了可能受到威脅的其他服務的數(shù)量。例如，如果攻擊者能夠成功利用諸如Apache流等軟件，他或她將能夠訪問整個服務器，包括其他服務，如MySQL / MariaDB / PGSql，電子郵件服務器等。了解更多信息，請參閱如何安裝虛擬化軟件：

　　在CentOS Linux 5上安裝和設置XEN虛擬化軟件

　　如何在RHEL / CentOS Linux下安裝OpenVZ

　　#5：保持Linux內(nèi)核和軟件最新

　　應用安全補丁是維護Linux服務器的重要部分。Linux提供了所有必要的工具來保持系統(tǒng)更新，并且可以輕松升級版本。應盡快審查和應用所有安全更新。再次使用RPM軟件包管理器(例如yum和/或apt-get和/或dpkg)來應用所有安全更新。

　　# yum update

　　或者

　　# apt-get update && apt-get upgrade

　　您可以配置Red Hat / CentOS / Fedora Linux 通過電子郵件發(fā)送yum軟件包更新通知。另一種選擇是通過cron作業(yè)應用所有安全更新。在Debian / Ubuntu Linux下，您可以使用apticron發(fā)送安全通知。也是可以使用apt-get命令 / apt命令配置Debian / Ubuntu Linux服務器的無人值守升級：

　　$ sudo apt-get install unattended-upgrades apt-listchanges bsd-mailx

　　#6：使用Linux安全擴展

　　Linux附帶了各種安全補丁，可用于防止錯誤配置或妥協(xié)的程序。如果可能，請使用SELinux和其他Linux安全擴展來強制限制網(wǎng)絡和其他程序。例如，SELinux為Linux內(nèi)核提供了各種安全策略。

　　#7：SELinux

　　我強烈建議使用SELinux，它提供了一個靈活的強制訪問控制(MAC)。在標準Linux自主訪問控制(DAC)下，作為用戶(UID或SUID)運行的應用程序或進程具有用戶對諸如文件，套接字和其他進程的對象的權(quán)限。運行MAC內(nèi)核可保護系統(tǒng)免受惡意或有缺陷的應用程序的破壞或破壞系統(tǒng)。請參閱說明SELinux配置的官方Redhat文檔。

　　#8：用戶帳戶和強密碼策略

　　使用useradd / usermod命令來創(chuàng)建和維護用戶帳戶。確保你有一個好的和強大的密碼政策。例如，一個好的密碼至少包含8個字符，并且包含字母，數(shù)字，特殊字符，上下字母等。最重要的是選擇一個您可以記住的密碼。使用諸如“ John the ripper ”之類的工具來查找服務器上的弱用戶密碼。配置pam_cracklib.so以強制執(zhí)行密碼策略。

　　#9：密碼老化

　　該CHAGE命令更改的天密碼更改和上次更改密碼的日期之間的數(shù)字。系統(tǒng)使用此信息來確定用戶何時必須更改其密碼。所述/etc/login.defs中文件定義了陰影密碼套件，包括密碼老化配置特定于站點的配置。要禁用密碼老化，請輸入：

　　# chage -M 99999 userName

　　要獲取密碼過期信息，請輸入：

　　# chage -l userName

　　最后，還可以在以下字段中編輯/ etc / shadow文件：

　　{用戶名}：{密碼}：{lastpasswdchanged}：{MINIMUM_DAYS}：{Maximum_days}：{警告}：{無效}：{過期}：

　　哪里，

　　Minimum_days：密碼更改之間所需的最少天數(shù)，即允許用戶更改其密碼之前剩余的天數(shù)。

　　Maximum_days：密碼有效的最大天數(shù)(在該用戶被強制更改其密碼之后)。

　　警告：密碼到期前的天數(shù)警告用戶必須更改其密碼。

　　有效期：1970年1月1日以來該帳戶被禁用的天數(shù)，即絕對日期，指定登錄可能不再使用的日期。

　　我推薦chage命令而不是手工編輯/ etc / shadow文件：

　　# chage -M 60 -m 7 -W 7 userName

　　推薦閱讀：

　　Linux：強制用戶在首次登錄時更改其密碼

　　Linux打開/關(guān)閉密碼過期/老化

　　鎖定用戶密碼

　　搜索沒有密碼的所有帳戶并鎖定它們

　　使用Linux組來增強安全性

　　#10：限制使用以前的密碼

　　您可以防止所有用戶在Linux下使用或重復使用相同的舊密碼。該pam_unix模塊中的參數(shù)記可以用來配置不能再用以前的密碼的數(shù)量。

　　#11：登錄失敗后鎖定用戶帳戶

　　在Linux下，您可以使用faillog命令顯示faillog記錄或設置登錄失敗限制。faillog從/ var / log / faillog數(shù)據(jù)庫/日志文件中格式化失敗日志的內(nèi)容。它還可以用于維護失敗計數(shù)器和限制。要查看失敗的登錄嘗試，請輸入：

　　faillog

　　要在登錄失敗后解鎖帳戶，請運行：

　　faillog -r -u userName

　　請注意，您可以使用passwd命令鎖定和解鎖帳戶：

　　# lock account

　　passwd -l userName

　　# unlocak account

　　passwd -u userName

　　#12：如何確認沒有帳戶有空密碼?

　　輸入以下命令

　　# awk -F: '($2 == "") {print}' /etc/shadow

　　鎖定所有空密碼帳戶：

　　# passwd -l accountName

　　#13：確保沒有非根帳戶將UID設置為0

　　只有root帳戶具有UID 0，具有訪問系統(tǒng)的完全權(quán)限。鍵入以下命令以顯示UID設置為0的所有帳戶：

　　# awk -F: '($3 == "0") {print}' /etc/passwd

　　您應該只看到一行，如下所示：

　　根：X：0：0：根：/根：/斌/慶典

　　如果您看到其他行，請刪除它們或確保其他帳戶由您授權(quán)使用UID 0。

　　#14：禁用root登錄

　　永遠不要以root用戶身份登錄。您應該在需要時使用sudo執(zhí)行根級命令。sudo確實可以大大增強系統(tǒng)的安全性，而不會與其他用戶和管理員共享root密碼。sudo也提供簡單的審計和跟蹤功能。

　　#15：物理服務器安全

　　您必須保護Linux服務器物理控制臺訪問。配置BIOS并禁用從外部設備(如DVD / CD / USB筆)啟動。設置BIOS和grub 啟動加載器密碼以保護這些設置。所有生產(chǎn)箱必須鎖定在IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)中，并且所有人員在訪問您的服務器之前都必須通過某種安全檢查。也可以看看：

　　保護Linux服務器物理控制臺訪問的9個提示。

　　#16：禁用不需要的服務

　　禁用所有不必要的服務和守護進程(在后臺運行的服務)。您需要從系統(tǒng)啟動中刪除所有不需要的服務。鍵入以下命令以列出在運行級別#3中引導時啟動的所有服務：

　　# chkconfig --list | grep '3:on'

　　要禁用服務，請輸入：

　　# service serviceName stop

　　# chkconfig serviceName off

　　#17：查找偵聽網(wǎng)絡端口

　　使用以下命令列出所有打開的端口和關(guān)聯(lián)的程序：

　　netstat -tulpn

　　或按以下方式使用ss命令：

　　$ ss -tulpn

　　或

　　nmap -sT -O localhost

　　nmap -sT -O server.example.com

　　系統(tǒng)/網(wǎng)絡管理員提供32個Nmap命令示例以獲取更多信息。使用iptables關(guān)閉開放端口或使用上述服務和chkconfig命令停止所有不需要的網(wǎng)絡服務。

　　在Redhat Enterprise / CentOS Linux上使用update-rc.d命令。

　　Ubuntu / Debian Linux：用于啟動/停止系統(tǒng)服務的服務配置工具。

　　使用netstat命令獲取有關(guān)特定IP地址連接的詳細信息。

　　#18：刪除X Windows

　　X服務器上的Windows不是必需的。沒有理由在專用郵件和Apache Web服務器上運行X Windows。您可以禁用和刪除X Windows以提高服務器的安全性和性能。編輯/ etc / inittab并將運行級別設置為3.最后，刪除X Windows系統(tǒng)，輸入：在CentOS 7 / RHEL 7服務器上，使用以下命令：

　　# yum groupremove "X Window System"

　　# yum group remove "GNOME Desktop"

　　# yum group remove "KDE Plasma Workspaces"

　　# yum group remove "Server with GUI"

　　# yum group remove "MATE Desktop"

　　#19：配置Iptables和TCPWrappers

　　Iptables是一個用戶空間應用程序，允許您配置Linux內(nèi)核提供的防火墻(Netfilter)。使用防火墻過濾流量并只允許必要的流量。還可以使用基于主機的網(wǎng)絡ACL系統(tǒng)TCPWrappers過濾網(wǎng)絡對Internet的訪問。借助Iptables，您可以防止許多拒絕服務攻擊：

　　如何在Ubuntu 16.04 LTS服務器上設置UFW防火墻

　　Linux：20個Iptables示例用于新系統(tǒng)管理員

　　CentOS / Redhat Iptables防火墻配置教程

　　Lighttpd流量調(diào)整：每個IP的油門連接(速率限制)

　　如何：Linux Iptables阻止常見攻擊。

　　psad：Linux實時檢測并阻止端口掃描攻擊。

　　在CentOS / RHEL或基于Ubuntu / Debian Linux的服務器上使用shorewall來保護您的系統(tǒng)。

　　#20：Linux Kernel /etc/sysctl.conf強化

　　/etc/sysctl.conf文件用于在運行時配置內(nèi)核參數(shù)。Linux在啟動時從/etc/sysctl.conf讀取并應用設置。示例/etc/sysctl.conf：

　　#打開execshield

　　kernel.exec屏蔽= 1

　　kernel.randomize_va_space = 1

　　#啟用IP欺騙保護

　　net.ipv4.conf.all.rp_filter = 1

　　#禁止IP源路由

　　net.ipv4.conf.all.accept_source_route = 0

　　#忽略廣播請求

　　net.ipv4.icmp_echo_ignore_broadcasts = 1

　　net.ipv4.icmp_ignore_bogus_error_messages = 1

　　#確保欺騙數(shù)據(jù)包被記錄

　　net.ipv4.conf.all.log_martians = 1

　　#21：分離磁盤分區(qū)

　　從用戶文件中分離操作系統(tǒng)文件可能會導致更好和更安全的系統(tǒng)。確保以下文件系統(tǒng)安裝在單獨的分區(qū)上：

　　在/ usr

　　/家

　　/ var和/ var / tmp

　　/ tmp目錄

　　為Apache和FTP服務器根目錄創(chuàng)建單獨的分區(qū)。編輯/ etc / fstab文件并確保添加以下配置選項：

　　noexec - 不要在該分區(qū)上設置任何二進制文件的執(zhí)行(防止執(zhí)行二進制文件，但允許腳本)。

　　nodev - 不允許此分區(qū)上的字符或特殊設備(防止使用設備文件，如零，sda等)。

　　nosuid - 不要在此分區(qū)上設置SUID / SGID訪問權(quán)限(防止setuid位)。

　　將/ etc / fstab條目示例以限制/ dev / sda5(ftp服務器根目錄)上的用戶訪問權(quán)限：

　　/ dev / sda5 / ftpdata ext3默認值，nosuid，nodev，noexec 1 2

　　#22：磁盤配額

　　確保為所有用戶啟用磁盤配額。要實施磁盤配額，請使用以下步驟：

　　通過修改/ etc / fstab文件來啟用每個文件系統(tǒng)的配額。

　　重新安裝文件系統(tǒng)。

　　創(chuàng)建配額數(shù)據(jù)庫文件并生成磁盤使用情況表。

　　分配配額策略。

　　有關(guān)詳細信息，請參閱實施磁盤配額教程。

　　#23：關(guān)閉IPv6

　　Internet協(xié)議版本6(IPv6)提供了替代Internet協(xié)議版本4(IPv4)的TCP / IP協(xié)議套件的新Internet層，并提供了許多優(yōu)點。如果您不使用IPv6，則禁用它：

　　RedHat / Centos禁用IPv6網(wǎng)絡。

　　Debian / Ubuntu和其他Linux發(fā)行版禁用IPv6網(wǎng)絡。

　　Linux IPv6 Howto - 第19章。安全性。

　　Linux的IPv6的防火墻的配置和腳本，并可以在這里找到。

　　#24：禁用不需要的SUID和SGID二進制文件

　　當SUID / SGID可執(zhí)行文件存在安全問題或錯誤時，所有SUID / SGID位啟用文件都可能被濫用。所有本地或遠程用戶都可以使用此文件。找到所有這樣的文件是個好主意。使用find命令如下：您需要調(diào)查每個報告的文件。請參閱報告的文件手冊頁獲取更多詳細信

　　#See all set user id files:

　　find / -perm +4000

　　# See all group id files

　　find / -perm +2000

　　# Or combine both in a single command

　　find / \( -perm -4000 -o -perm -2000 \) -print

　　find / -path -prune -o -type f -perm +6000 -ls

　　#25：世界可寫入的文件

　　任何人都可以修改導致安全問題的世界可寫文件。使用以下命令來查找所有世界可寫和粘滯位設置文件：

　　find /dir -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print

　　您需要調(diào)查每個報告的文件，并設置正確的用戶和組權(quán)限或?qū)⑵鋭h除。

　　#26：Noowner文件

　　不屬于任何用戶或組的文件可能會造成安全問題。只需使用以下不屬于有效用戶和有效組的命令查找它們

　　find /dir -xdev \( -nouser -o -nogroup \) -print

　　您需要調(diào)查每個報告的文件，并將其分配給適當?shù)挠脩艉徒M，或?qū)⑵鋭h除。

　　#27：使用集中認證服務

　　如果沒有集中的身份驗證系統(tǒng)，用戶身份驗證數(shù)據(jù)就會變得不一致，這可能會導致過時的憑證和被遺忘的賬戶，這些賬戶應該首先被刪除。集中式身份驗證服務允許您維護對Linux / UNIX帳戶和身份驗證數(shù)據(jù)的集中控制。您可以保持服務器之間的身份驗證數(shù)據(jù)同步。不要使用NIS服務進行集中身份驗證。使用OpenLDAP作為客戶端和服務器。

　　#28：Kerberos

　　在假設可以讀取，修改和插入沿不安全網(wǎng)絡傳輸?shù)臄?shù)據(jù)包的情況下，Kerberos通過使用加密共享機密來執(zhí)行身份驗證，作為受信任的第三方身份驗證服務。Kerberos基于對稱密鑰加密技術(shù)，需要密鑰分發(fā)中心。您可以使用Kerberos進行遠程登錄，遠程復制，安全跨系統(tǒng)文件復制和其他高風險任務，從而更安全，更可控。因此，當用戶使用Kerberos對網(wǎng)絡服務進行身份驗證時，試圖通過監(jiān)控網(wǎng)絡流量收集密碼的未經(jīng)授權(quán)的用戶將受到有效阻止。了解如何設置和使用Kerberos。

　　#29：記錄和審計

　　您需要配置日志記錄和審計來收集所有黑客攻擊和破解嘗試。默認情況下，syslog將數(shù)據(jù)存儲在/ var / log /目錄中。這對于發(fā)現(xiàn)軟件配置錯誤也很有用，這可能會使您的系統(tǒng)受到各種攻擊。請參閱以下與日志相關(guān)的文章：

　　Linux日志文件位置。

　　如何將日志發(fā)送到遠程日志主機。

　　我如何旋轉(zhuǎn)日志文件?。

　　man頁面syslogd，syslog.conf和logrotate。

　　#30：使用Logwatch / Logcheck監(jiān)控可疑日志消息

　　使用logwatch命令(logcheck)讀取日志。這些工具使您的日志閱讀生活更輕松。您可以通過電子郵件獲得系統(tǒng)日志中異常項目的詳細報告。示例系統(tǒng)日志報告：

　　################### Logwatch 7.3(03/24/06)####################

　　處理啟動：周五10月30日04:02:03 2009

　　處理日期范圍：昨天

　　(2009年10月29日)

　　時間是一天。

　　詳細輸出級別：0

　　輸出類型：無格式

　　主機的日志文件：www-52.nixcraft.net.in

　　################################################## ################

　　---------------------命名開始------------------------

　　**無與倫比的參賽作品**

　　一般：信息：區(qū)域XXXXXX.com/IN：傳送開始。：3時間(s)

　　一般：信息：區(qū)XXXXXX.com/IN：刷新：超過主ttttttttttttttttttt#53的重試限制(源::#0)：3時間(s)

　　一般：信息：區(qū)域XXXXXX.com/IN：開始轉(zhuǎn)移。：4時間(s)

　　一般：信息：區(qū)XXXXXX.com/IN：刷新：超過主ttttttttttttttttttt#53的重試限制(來源::#0)：4時間(s)

　　----------------------命名結(jié)束-------------------------

　　--------------------- iptables防火墻開始------------------------

　　在接口eth0上記錄了87個數(shù)據(jù)包

　　從58.y.xxx.tw - 1數(shù)據(jù)包到tcp(8080)

　　從59.www.zzz.yyy - 1包到tcp(22)

　　從60.32.nnn.yyy - 2個數(shù)據(jù)包到tcp(45633)

　　從222.xxx.ttt.zz - 5個數(shù)據(jù)包到tcp(8000,8080,8800)

　　---------------------- iptables防火墻結(jié)束-------------------------

　　--------------------- SSHD開始------------------------

　　通過sshd登錄的用戶：

　　根：

　　123.xxx.ttt.zzz：6次

　　---------------------- SSHD結(jié)束-------------------------

　　---------------------磁盤空間開始------------------------

　　使用的文件系統(tǒng)大小可用使用%

　　/ dev / sda3 450G 185G 241G 44%/

　　/ dev / sda1 99M 35M 60M 37%/ boot

　　----------------------磁盤空間結(jié)束-------------------------

　　###################### Logwatch End #########################

　　#31：系統(tǒng)會計與審計

　　審計是為系統(tǒng)審計提供的。它負責將審計記錄寫入磁盤。在啟動過程中，這個守護進程讀取/etc/audit.rules中的規(guī)則。您可以打開/etc/audit.rules文件并進行更改，如安裝審核文件日志位置和其他選項。通過auditd，您可以回答以下問題：

　　系統(tǒng)啟動和關(guān)閉事件(重新啟動/暫停)。

　　活動的日期和時間。

　　用戶可以重新定位事件(例如試圖訪問/path/to/topsecret.dat文件)。

　　事件類型(編輯，訪問，刪除，寫入，更新文件和命令)。

　　事件的成功或失敗。

　　記錄修改日期和時間的事件。

　　了解誰進行了更改以修改系統(tǒng)的網(wǎng)絡設置。

　　記錄修改用戶/組信息的事件。

　　查看誰對文件進行了更改等。

　　請參閱我們的快速教程，其中介紹了如何啟用和使用auditd服務。

　　#32：保護OpenSSH服務器

　　建議使用SSH協(xié)議進行遠程登錄和遠程文件傳輸。但是，ssh對許多攻擊都是開放的。了解如何保護OpenSSH服務器：

　　前20名OpenSSH服務器最佳安全實踐。

　　使用雙因素Google身份驗證程序保護您的Linux桌面和SSH登錄。

　　#33：安裝和使用入侵檢測系統(tǒng)

　　網(wǎng)絡入侵檢測系統(tǒng)(NIDS)是一種入侵檢測系統(tǒng)，它試圖檢測諸如拒絕服務攻擊，端口掃描等惡意活動，甚至通過監(jiān)視網(wǎng)絡流量來破解計算機。

　　在系統(tǒng)在生產(chǎn)環(huán)境中聯(lián)機之前部署任何完整性檢查軟件是一種很好的做法。如果可能，請在系統(tǒng)連接到任何網(wǎng)絡之前安裝AIDE軟件。AIDE是一個基于主機的入侵檢測系統(tǒng)(HIDS)，它可以監(jiān)控和分析計算系統(tǒng)的內(nèi)部結(jié)構(gòu)。我建議您也安裝并使用rkhunter root工具包檢測軟件。

　　#34：禁用USB / firewire / thunderbolt設備

　　輸入以下命令以禁用Linux系統(tǒng)上的USB設備：

　　# echo 'install usb-storage /bin/true' >> /etc/modprobe.d/disable-usb-storage.conf

　　您可以使用相同的方法禁用Firewire和Thunderbolt模塊：完成后，用戶無法將敏感數(shù)據(jù)快速復制到USB設備，或者在基于Linux的系統(tǒng)上安裝惡意軟件/病毒或后門程序。

　　# echo "blacklist firewire-core" >> /etc/modprobe.d/firewire.conf

　　# echo "blacklist thunderbolt" >> /etc/modprobe.d/thunderbolt.conf

　　#35：禁用未使用的服務

　　您可以使用service command / systemctl命令禁用未使用的服務：例如，如果您暫時不打算使用Nginx服務禁用它：

　　$ sudo systemctl stop service

　　$ sudo systemctl disable service

　　$ sudo systemctl stop nginx

　　$ sudo systemctl disable nginx

　　#36：使用fail2ban / denyhost作為IDS(安裝入侵檢測系統(tǒng))

　　Fail2ban或denyhost會掃描日志文件以查找太多失敗的登錄嘗試，并阻止顯示惡意標志的IP地址。了解如何安裝和使用Linux的denyhost�？梢暂p松安裝fail2ban：

　　$ sudo apt-get install fail2ban

　　或

　　$ sudo yum install fail2ban

　　根據(jù)需要編輯配置文件：

　　$ sudo vi /etc/fail2ban/jail.conf

　　重新啟動服務：

　　$ sudo systemctl restart fail2ban.service

　　Debian / Ubuntu Linux安裝高級入侵檢測環(huán)境(AIDE)軟件

　　psad：Linux實時檢測并阻止端口掃描攻擊

　　#37：安全的Apache / PHP / Nginx服務器

　　編輯httpd.conf文件并添加以下內(nèi)容：

　　ServerTokens Prod

　　服務器簽名關(guān)閉

　　TraceEnable關(guān)閉

　　選項全部 - 索引

　　標題始終未設置X-Powered-By

　　在Linux上重新啟動httpd / apache2服務器，運行：

　　$ sudo systemctl restart apache2.service

　　或者

　　$ sudo systemctl restart httpd.service

　　您必須在RHEL / CentOS服務器上安裝并啟用mod_security。它建議您修改php.ini并保證過它。

　　前25名Nginx Web服務器最佳安全實踐

　　如何分析Nginx配置文件在Linux或Unix上的安全配置錯誤

　　#38：保護文件，目錄和電子郵件

　　Linux為未經(jīng)授權(quán)的數(shù)據(jù)訪問提供了出色的保護。文件 權(quán)限和MAC防止未經(jīng)授權(quán)的訪問訪問數(shù)據(jù)。但是，如果攻擊者能夠物理訪問計算機，并且只需將計算機的硬盤驅(qū)動器移動到其他系統(tǒng)以復制和分析敏感數(shù)據(jù)，則Linux設置的權(quán)限就無關(guān)緊要。您可以使用以下工具輕松保護Linux下的文件和部分：

　　要使用密碼加密和解密文件，請使用gpg命令。

　　Linux或UNIX密碼使用openssl和其他工具保護文件。

　　全盤加密是保護數(shù)據(jù)的必備條件，并且受到大多數(shù)Linux發(fā)行版的支持。了解如何使用Linux上的LUKS加密硬盤。確保交換也被加密。需要密碼才能編輯引導加載程序。

　　確保將根郵件轉(zhuǎn)發(fā)到您檢查的帳戶。

　　Howto：Linux移動設備中的磁盤和分區(qū)加密。

　　Linux使用SSL配置保護Dovecot IMAPS / POP3S服務器。

　　Linux Postfix SMTP(郵件服務器)SSL證書安裝和配置。

　　快遞IMAP SSL服務器證書安裝和配置。

　　配置Sendmail SSL加密以發(fā)送和接收電子郵件。

　　#39。備份

　　對于對Linux系統(tǒng)進行備份是非常重要的。正確的非現(xiàn)場備份允許您從破解的服務器中恢復，即入侵。傳統(tǒng)的UNIX備份程序也是推薦的轉(zhuǎn)儲和恢復。您必須將加密備份設置為NAS服務器或FreeNAS服務器等外部存儲或使用AWS等云計算服務：

　　Debian / Ubuntu Linux使用rsnapshot增量備份實用程序安裝和配置遠程文件系統(tǒng)快照

　　如何設置紅帽/ CentOS Linux遠程備份/快照服務器

　　如何備份Web服務器

　　如何在Linux下使用rsync命令備份目錄

　　#40。其他建議：

　　如何在基于Linux的服務器上查找Rootkits。

　　如何在基于Linux的服務器上啟用ExecShield緩沖區(qū)溢出保護。

　　EUD安全指導：Ubuntu 16.04 LTS

　　保護RHEL的指南7

　　SELINUX的基本和高級配置

　　訂閱Redhat或Debian Linux安全郵件列表或RSS提要。