Windows system >> Windowsの知識 >  >> Linuxシステムチュートリアル >> Linuxチュートリアル >> ルーキーの教室:Linuxシステムのセキュリティの保護10のヒント

ルーキーの教室:Linuxシステムのセキュリティの保護10のヒント

  

Linuxには機能、価格、またはパフォーマンスの面で多くの利点がありますが、オープンオペレーティングシステムとしては、必然的にセキュリティ上のリスクがあります。これらの隠れた危険性を解決し、アプリケーションに安全なオペレーティングプラットフォームを提供する方法について、この記事では最も基本的な、最も一般的な、そして最も効果的なトリックのいくつかを紹介します。


LinuxはUnixライクなオペレーティングシステムです。理論的には、Unixの設計自体に大きなセキュリティ上の欠陥はありません。長年にわたり、Unixオペレーティングシステムに見られるセキュリティ問題の大部分は個々のプログラムに存在していたので、ほとんどのUnixベンダーはこれらの問題を解決して安全なUnixオペレーティングシステムを提供できると主張しています。しかし、Linuxは特定のベンダに属しておらず、ベンダがセキュリティ保証を提供していると主張していないという点で少し異なります。したがって、ユーザはセキュリティ問題を自分で解決するだけで済みます。


LinuxはWeb上で多くの市販のプログラムやツールを見つけることができるオープンシステムです。ユーザーやハッカーにとっては、プログラムやツールを簡単に見つけることができるため便利です。 Linuxシステムに潜入する、またはLinuxシステムに関する重要な情報を盗むこと。ただし、Linuxのさまざまなシステム機能を慎重に設定し、必要なセキュリティ対策を追加する限り、ハッカーがそれを利用することが可能になります。


一般に、Linuxシステムのセキュリティ設定には、不要なサービスの削除、リモートアクセスの制限、重要な情報の隠蔽、セキュリティの脆弱性の修正、セキュリティツールの使用、およびセキュリティチェックの繰り返しが含まれます。 。この記事では、Linuxシステムのセキュリティを向上させるための10のコツを紹介します。トリックはそれほど大きくはありませんが、トリックは機能しますが、試してみるとよいでしょう。


最初のトリック:不要なサービスをキャンセルする


初期のUnixバージョンでは、それぞれのWebサービスはバックグラウンドで実行されているサービスプログラムを持っていました。バージョンはこのタスクを引き受けるために統一された/etc /inetdサーバープログラムを使用します。 InetdはInternetdaemonの略で、複数のネットワークポートを同時に監視し、外部から接続情報を受信すると、対応するTCPまたはUDPネットワークサービスを実行します。


inetdの統一されたコマンドのため、LinuxのほとんどのTCPまたはUDPサービスは/etc/inetd.confファイルに設定されています。そのため、不要なサービスをキャンセルする最初の手順は、/etc /inetd.confファイルを確認し、不要なサービスの前に「#」を追加することです。


一般に、http、smtp、telnet、ftpに加えて、単純なファイル転送プロトコルtftp、ネットワークメールストレージ、受信imap /ipopトランスポートプロトコルなどの他のサービスもキャンセルする必要があります。データの検索と検索、曜日と時刻の同期のための時刻など


finger、efinger、systat、netstatなど、システムの状態を報告するサービスもいくつかありますが、システムのトラブルシューティングやユーザーの発見には非常に便利ですが、ハッカーにとっても便利な方法です。たとえば、ハッカーはユーザーの電話、ディレクトリ、およびその他の重要な情報を見つけるためにfingerサービスを使用することができます。したがって、多くのLinuxシステムは、システムのセキュリティを強化するためにこれらのサービスをキャンセルまたは部分的にキャンセルします。


/etc/inetd.confを使用してシステムサービス項目を設定するだけでなく、Inetdは/etc /servicesファイルも使用して各サービスで使用されるポートを見つけます。そのため、セキュリティ上の脆弱性を回避するために、ファイル内の各ポートの設定を慎重に確認する必要があります。


Linuxには2つの異なるサービスタイプがあります。1つはフィンガーサービスのように必要なときにだけ実行されるサービスであり、もう1つは実行されていない終わりのないサービスです。サービスこの種のサービスはシステムの起動時に開始されるため、inetdを変更してinetdを停止することはできませんが、/etc/rc.d/rc[n].d/ファイルを変更するかRun-level-editorを使用することによってのみ変更できます。それです。ファイルサービスを提供するNFSサーバーとNNTPニュースサービスを提供するニュースはこのタイプのサービスに属します。必要でない場合はこれらのサービスをキャンセルするのが最善です。


2番目のトリック:システムへのアクセスを制限する


Linuxシステムに入る前に、すべてのユーザーがログインする必要があります。つまり、ユーザーはユーザーアカウントとパスワードを入力する必要があります。システム検証に合格した後に初めて、ユーザーはシステムに入ることができます。


他のUnixオペレーティングシステムと同様に、Linuxは通常パスワードを暗号化して/etc /passwdファイルに保存します。 Linuxシステムのすべてのユーザーが/etc /passwdファイルを読み取ることができますファイルに格納されているパスワードは暗号化されていますが、まだ安全ではありません。平均的なユーザーは、網羅的な方法でパスワードを推測するために市販のパスワード解読ツールを使用することができます。より安全な方法は、シャドウファイル/etc /shadowを設定して、特別な権限を持つユーザーだけがファイルを読み込めるようにすることです。


Linuxシステムでシャドウファイルを使用したい場合は、シャドウファイルをサポートするためにすべてのユーティリティを再コンパイルする必要があります。この方法は面倒で、簡単な方法はプラグイン検証モジュール(PAM)を使用することです。多くのLinuxシステムには、LinuxユーティリティーPAMが付属しています。これは、他のユーティリティーの再コンパイルを必要とせずに認証の方法と要件を動的に変更するために使用できる認証メカニズムです。これは、PAMがモジュール内の認証に関連するすべてのロジックを隠すためにクローズドパッケージを使用するため、シャドウファイルを使用するのが最善の方法だからです。


さらに、PAMには多くのセキュリティ機能があります。従来のDES暗号化方式を他のより強力な暗号化方式に書き換えて、ユーザーのパスワードが容易に解読されないようにすることができます。各ユーザーのコンピューターリソースの使用量の上限を設定すると、ユーザーの時間と場所を設定することもできます。


Linuxシステム管理者は、PAMのインストールと設定に数時間を費やすことができます。これにより、Linuxシステムのセキュリティが大幅に向上し、システム外の多くの攻撃を防ぐことができます。


3番目の動き:最新のシステムコアを維持する


多くのLinuxディストリビューションチャネルがあり、システムセキュリティを強化するために更新されたプログラムとシステムパッチが頻繁に表示されるためシステムカーネルを頻繁にアップデートするようにしてください。


カーネルは、Linuxオペレーティングシステムの中核をなすもので、メモリ内に存在し、オペレーティングシステムの他の部分をロードし、オペレーティングシステムの基本機能を実装するために使用されます。カーネルはコンピュータやネットワークのさまざまな機能を制御するため、そのセキュリティはシステム全体のセキュリティにとって非常に重要です。


初期のバージョンのカーネルには、よく知られているセキュリティ上の脆弱性が多くあり、安定していません。カーネルの機能を設定するとき、必要な機能だけを選択し、全体としてすべての機能を受け入れないでください。そうしないと、カーネルが非常に大きくなり、システムリソースを消費し、ハッカーに良い機会を残します。


インターネット上には最新のセキュリティパッチがあることがよくありますが、Linuxシステム管理者には、よく知られたセキュリティニュースグループを頻繁に入手し、新しいパッチをチェックする必要があります。


ステップ4:ログインパスワードの確認


ログインパスワードの設定は非常に重要なセキュリティ対策ですユーザーのパスワードが正しく設定されていない場合は簡単です。解読された、特にスーパーユーザーのアクセス権を持っている人は、良いパスワードがなければ良いセキュリティホールを作りません。


マルチユーザーシステムで、推測しにくいパスワードを各ユーザーに選択させると、システムのセキュリティが大幅に向上します。ただし、パスワードのセキュリティを確保するためにpasswdプログラムが各ユーザーに適切なパスワードの使用を強制できない場合は、パスワードクラッキングプログラムに頼ることしかできません。


実際、パスワードクラッキングプログラムはハッカーツールボックスのツールです。これは一般的に使用されるパスワード、またはパスワードとして暗号化されるパスワードとして使用できる英語の辞書内のすべての単語を使用します。次に、Linuxシステムの/etc /passwdパスワードファイルまたは/etc /shadow shadowファイルと比較して、一致するパスワードが見つかったら、明確なコードを入手できます。


多くのパスワードクラッキングプログラムがネットワーク上にありますが、もっと有名なプログラムはクラックです。ユーザーは自分でパスワード解読手順を実行して、ハッカーによって簡単に解読されるパスワードを見つけることができます。

Linuxチュートリアル
Windowsの知識
Linuxのexeclp関数は、基本チュートリアル

execlpを使用してPATH環境変数からファイルを検索し、定義を実行します。int execlp(const char * file、const char * arg、…&hellip
Linuxの終わりはキーワードプロセスを含んでいます(バッチキルプロセス方法)

プロセスは単にプログラム実行のプロセスです、それは動的な概念です。どんなシステムでも、より多くのタスクが関係します、それはシステムのスピードに影響します、多くのプロセスは何の役割も果たさず、まだシステ
Linuxカーネルの待ち行列メカニズムの原理分析

1. 1.待ち行列のデータ構造 待ち行列は、要素がプロセス記述子へのポインタを含む二重リンクリストによって実装されています。各待機キューには待機キューヘッドがあります。これは、wait_queque_
xenをインストールした後、ブートは黒です、何が起こっていますか?

singleを押してシングルユーザーモードに入り、起動モードを/etc /inittabのid:3:initdefault:に変更します(デフォルト値は5です)、つまり、システムをテキストモードで起動
Linux

でchroot SFTPを設定する方法いくつかのシナリオでは、システム管理者がほんの少数のユーザにだけファイルをsshではなくLinuxボックスに転送することを許可するようにします。 SFTPをchr
CentOS Linuxのlftpコマンドのバックアップファイル

  lftpはLinux上のftpクライアントで、リモートのFTPサーバーへのログインに使用されます。 mirrorコマンドを使用して、lftpを介してローカルファイルをリモートFTPサーバーにバック
  • LinuxシステムFAQ
  • Linuxチュートリアル
  • Linuxについて

    • Win7システムの検索機能は使用できません

    Win7のタスクバーの設定方法Fun Win7のタスクバーのトリック

    Linuxのyumリポジトリファイル

    win7システムでリダンダントネットワークカードを無効にするにはどうすればいいですか?

    Windows RTは

    Wordユーティリティのヒント8

    Windowsのファイル名を指定して実行コマンドDaquanの

    Windows 7 Home Editionの最適化を行うためのグループポリシーはありません。

    win7

  • Windows XPシステムチュートリアル
  • Windows 7システムチュートリアル
  • Windows 8システムチュートリアル
  • Windows 10システムチュートリアル
  • Windows 2003システムチュートリアル
  • Windows 2008システムチュートリアル
  • Windows Vistaシステムチュートリアル
  • Windowsチュートリアル合成
  • Windows Serverシステムのチュートリアル
  • Linuxシステムチュートリアル
  • コンピュータソフトウェアのチュートリアル
  • Windows NTチュートリアル
    • Copyright © Windowsの知識 All Rights Reserved