总结:Linux系统安全与优化配置(2)

时间:2013-09-04 11:17来源:网络资源 作者:sunplusedu 点击:
    3. 防火墙
    开启防火墙
    lokkit --enabled
    3.1. 策略
    默认INPUT,FORWARD,OUTPUT 三个都是ACCEPT
    -P INPUT ACCEPT
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
    从安全的角度出发,INPUT,FORWARD,OUTPUT 三个都是DROP最安全,但配置的时候会给你带来非常多的不可预料的麻烦。
    -P INPUT DROP
    -P FORWARD DROP
    -P OUTPUT DROP
    折中的方案,也是打多少硬件防火墙厂商所采用的方案,他们都是采用INPUT默认禁用所有,OUTPUT默认允许所有,你只要关注INPUT规则即可。
    -P INPUT DROP
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
    3.2. 防止成为跳板机
    封锁22等端口,避免相互跳转
    iptables -A OUTPUT -p tcp -m multiport --dports 22,21,873 -j REJECT
    /etc/init.d/iptables save
    iptables -L -n
    web 服务器禁止使用ssh,作为跳板机
    用户将不能使用ssh命令登陆到其他电脑
    4. Linux 系统资源调配
    4.1. /etc/security/limits.conf
    很多资料上是这么写的
    * soft nofile 65535
    * hard nofile 65535
    这样做是偷懒,会带来很多问题,如果你的服务器被攻击,由于你的设置,系统将耗光你的资源,直到没有任何响应为止,你可能键盘输入都成问题,你不得不重启服务器,但你会发现重启只能维持短暂几分钟,又会陷入无响应状态。
    nobody soft nofile 4096
    nobody hard nofile 8192
    为什么会设置为nobody用户呢?因为root用户启动系统后web 服务器会使用nobody用户创建子进程,socket连接实际上是nobody用户在处理。root 仅仅是守护父进程。
    mysql soft nofile 2048
    mysql hard nofile 2048
    针对 mysql 做限制
    提示
    关于 nofile 即打开文件数,这个跟socket有非常紧密的关系,在linux系统中任何设备都被看做是一个文件(字符设备),你连接一个鼠标,键盘,摄像头,硬盘等等都被看作打开一个设备文件,所以默认1024是远远不够的。
    4.2. 关闭写磁盘I/O功能
    对于某些文件没必要记录文件的访问时间,由其是在高并发的IO密集操作的环境下,通过两个参数可以实现noatime,nodiratime减少不必要的系统IO资源。
    编辑/etc/fstab 添加 noatime,nodiratime 参数
    /dev/sdb1    /www          ext4    noatime,nodiratime        0 0
   
分享到:

凌阳教育嵌入式培训——全国唯一“原厂嵌入式培训”机构,全国唯一“按班公布学员就业去向”的诚信机构

关注我们:

全国免费咨询电话:156-0117-5697或010-62981113(转2824) 服务监督电话:010-62981113-2800

京ICP备09010168号  京公网安备11010802010586号

北京嵌入式培训中心:海淀区上地信息产业基地中黎科技园1号楼3层A段

Copyright © 2017 SunplusEdu Inc. All Rights Reserved