suse linux系统安全的示例分析

这期内容当中小编将会给大家带来有关suse linux系统安全的示例分析，文章内容丰富且以专业的角度为大家分析和叙述，阅读完这篇文章希望大家可以有所收获。

     SUSE Linux Enterprise Server 10是众多Linux发行版本中比较优秀出色的主流商业版本，它不仅具有Linux的通用功能外，还因其有比较出色的性能和对安全有较好的控制，吸引了很多企业级用户，在国内也开始有大量的关键应用。我也在接触到的具体项目中根据客户要求部署和应用了这个版本，就个人感觉而言，整体性的安全还是不错的，在加密和认证方面做的比较好，但是SUSE里还有很多安全细节需要我们注意。在此总结一下自己的应用经验，未必全面算是一个总结和交流吧。
一、帐户管理方面
1、锁定不必要的系统账户

　　有很多账户是系统账户，在日常管理中也一直不会被人使用，锁定这些账户有助于减少***者的利用。方法是：将账户直接删除或设置一个无效的shell(比如/bin/false)。SUSE里使用/bin/false而不是/bin/nologin。

 在这里，我们通过VI修改/etc/passwd文件，可以把不常用的at、bin、deamon、ftp、games、lp、man、news、nobody等用户的的登陆shell改为/bin/false，这样该用户就不能登录了。

2、设置账户定期修改密码参数

　　强制用户定期改变密码，根据你的实际情况在/etc/login.defs进行调整。比如：设置成90天更改密码。只需把PASS_MAX_DAYS的默认99999改为90天保持即可。
#vi  /etc/login.defs

 关闭不必要或暂时不用的服务：
#chkconfig  slpd  off
#chkconfig  portmap off
#chkconfig  postfix   off
比如RPC端口映射服务，由于RPC的验证机制很薄弱，很容易被绕过，却可以利用RPC得到很多重要的信息。除非是需要NIS，最好禁用。
另外在SUSE中Postfix服务默认是激活状态。如果这台服务器是邮件服务器的话，需要注意的是，有权限在web界面上搜索附件是一个安全隐患。另外，如果你对邮件服务器管理有经验的话，你会知道为postfix规划一个chroot环境有多么重要。在chroot环境下，即使有人闯入了smtpd daemon，能够造成的损害也比较有限。加固方法：

打开：vi /etc/sysconfig/mail,设置SMTPD_LISTEN_REMOTE="yes"。

关闭：vi /etc/sysconfig/mail,设置SMTPD_LISTEN_REMOTE="no"。

另外不必要的端口也都可以关闭，以免留下漏洞。
#netstat -antp

输出CPU使用情况的统计信息，每秒输出一次，一共输出10次

输出网络设备状态的统计信息

四、其他需要注意的方面：

1、查找无主文件
不要让你的系统上有任何无主文件，无主文件可能是一个***者已经访问了你的系统，或者是软件包的不正确维护安装造成的。比如删除了用户或者组，但是相关文件没有删除。另一种常见情况是软件安装时，没有正确的设置所有者。NFS挂载文件，会忽视用户ID和系统之间的映射同步，也有可能造成无主文件的产生。
检查命令：
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do
find $PART -nouser -o -nogroup -print
done
注意：不用管“/dev”目录下的那些文件。如果是/tmp目录下存在大量没有属主的文件，建议查明用途并添加属主或消除。

2、删除空密码账户

使用awk -F: '($2 == "") { print $1 }' /etc/shadow命令查找空密码账户。空密码账户是指任何人都可以登录，而不用提供密码。所有的账户都应该有健壮的密码，避免弱口令。
3、ssh的安全加固

SUSE上默认安装了OpenSSH，OpenSSH是目前比较流行并且免费的加密连接工具，但OpenSSH的低版本也存在不少安全漏洞，所以最好还是下载最新版本的。另外我们还需要限制ROOT账户的远程登录、更改默认端口、指定可访问的网络等等。它的版本1的安全问题比较严重甚至可以截获密码，所以建议你将协议版本修改为2。因为FTP不是很安全，建议大家利用SCP命令来传输文件。

　　通过VI来修改，方法如下：

　　vi  /etc/ssh/sshd_config

6、内核网络优化
/proc/sys/net/目录主要包括了许多网络相关的主题，通过改变这些目录中的文件参数，可以很方便调整和优化相关网络参数。在/proc/sys/net/目录下有两个目录就是/proc/sys/net/core和/proc/sys/net/ipv4，调整这两个目录下的某些文件的参数，能为我们的网络应用带到某些意想不到的效果。
建议修改：

　　net.ipv4.tcp_max_syn_backlog = 4096
记录的那些尚未收到客户端确认信息的连接请求的最大值。

　　net.ipv4.conf.all.accept_source_route = 0

　　net.ipv4.conf.all.accept_redirects = 0

　　net.ipv4.conf.all.secure_redirects = 0

　　net.ipv4.conf.default.rp_filter = 1

　　net.ipv4.conf.default.accept_source_route = 0

　　net.ipv4.conf.default.accept_redirects = 0

　　net.ipv4.conf.default.secure_redirects = 0

　　net.ipv4.icmp_echo_ignore_broadcasts = 1

关于SUSE LINUX的系统安全，暂且总结这么多，也希望使用SUSE LINUX的朋友一起来交流和学习。

上述就是小编为大家分享的suse linux系统安全的示例分析了，如果刚好有类似的疑惑，不妨参照上述分析进行理解。如果想知道更多相关知识，欢迎关注亿速云行业资讯频道。