linux服务器的安全与备份策略

Linux服务器的日常运维安全与备份一．网络基础

首先当服务器的linux系统搭建起来以后，我们首先需要考虑的就是连接上Internet了，这就需要我们通过网卡来实现这个目的。一块网卡足以提供服务器的链接至网络的需求。但是为了服务器日常运行的稳定性，这里还是建议采用双网卡绑定的方案。

双网卡绑定的话有一般有两种工作模式：

1.主备模式：,当一个网络接口失效时(例如主交换机掉电等),不会出现网络中断，系统会

按照/etc/rc.d/rc.local里指定网卡的顺序工作,机器仍能对外服务,起到

了失效保护的功能.

2.负载均衡工作模式：他能提供两倍的带宽,在这种情况下出现一块网卡失效,仅仅会是

服务器出口带宽下降,也不会影响网络使用.

建议可以根据实际需求在这两种模式下进行二选一

二．linux服务器基本的安全配置

一、Linux系统的安全策略

1.仔细设置每个内部用户的权限

为了保护Linux网络系统的资源，在给内部网络用户开设帐号时，要仔细设置每个内部用户的权限，一般应遵循“最小权限”原则，也就是仅给每个用户授予完成他们特定任务所必须的服务器访问权限，确保用户口令文件/etc/shadow的安全

2.谨慎设置登录口令

对于网络系统而言，口令是比较容易出问题的地方，应告诉用户在设置口令时要使用安全口令（在口令序列中使用非字母，非数字等特殊字符）并适当增加口令的长度（大于6个字符）。要保护好/etc/passwd和/etc/shadow这两个文件的安全，不让无关的人员获得这两个文件，这样黑客利用John等程序对/etc/passwd和/etc/shadow文件进行了字典攻击获取用户口令的企图就无法进行。要定期用John等程序对本系统的/etc/passwd和/etc/shadow文件进行模拟字典攻击，一旦发现有不安全的用户口令，要强制用户立即修改。

3.加强对系统运行的监控和记录

保证对整个网络系统的运行状况进行监控和记录，这样通过分析记录数据，可以发现可疑的网络活动，并采取措施预先阻止今后可能发生的入侵行为。如果进攻行为已经实施，则可以利用记录数据跟踪和识别侵入系统的黑客。

4.合理划分子网和设置防火墙

如果内部网络要进入Internet，必须在内部网络与外部网络的接口处设置防火墙，以确保内部网络中的数据安全。对于内部网络本身，为了便于管理，合理分配IP地址资源，应该将内部网络划分为多个子网，这样做也可以阻止或延缓黑客对整个内部网络的入侵。

5.定期对Linux网络进行安全检查

Linux网络系统的运转是动态变化的，因此对它的安全管理也是变化的，没有固定的模式，在为系统设置了安全防范策略后，应定期对系统进行安全检查，并尝试对自己管理的服务器进行攻击，如果发现安全机制中的漏洞应立即采取措施补救，不给黑客以可乘之机。

6.制定适当的数据备份计划确保系统万无一失

没有一种操作系统的运转是百分之百可靠的，也没有一种安全策略是万无一失的，因此必须为系统制定适当的数据备份计划，充分利用磁带机、光盘刻录机、双机热备份等技术手段为系统保存数据备份，使系统一旦遭到破坏或黑客攻击而发生瘫痪时，能迅速恢复工作，把损失减少到最小。

7.利用记录工具，记录对Linux系统的访问

可以利用前面所述的记录文件和记录工具记录事件，可以每天查看或扫描记录文件，这些文件记录了系统运行的所有信息。如果需要，还可以把高优先级的事件提取出来传送给相关人员处理，如果发现异常可以立即采取措施。

8.慎用Telnet服务

在Linux下，用Telnet进行远程登录时，用户名和用户密码是明文传输的，这就有可能被在网上监听的其他用户截获。另一个危险是黑客可以利用Telnet登入系统，如果他又获取了超级用户密码，则对系统的危害将是灾难性的。因此，如果不是特别需要，不要开放Telnet服务。如果一定要开放Telnet服务，应该要求用户用特殊的工具软件进行远程登录，这样就可以在网上传送加密过的用户密码，以免密码在传输过程中被黑客截获。

9.合理设置NFS服务和NIS服务

NFS（Network File System）服务，允许工作站通过网络共享一个或多个服务器输出的文件系统。但对于配置得不好的NFS服务器来讲，用户不经登录就可以阅读或者更改存储在NFS服务器上的文件，使得NFS服务器很容易受到攻击。如果一定要提供NFS服务，要确保基于Linux的NFS服务器支持Secure RPC(Secure Remote Procedure Call)，以便利用DES（Data Encryption Standard）加密算法和指数密钥交换（Exponential Key Exchange）技术验证每个NFS请求的用户身份。

NIS（Network Information System）服务，是一个分布式数据处理系统，它使网络中的计算机通过网络共享passwd文件，group文件，主机表文件和其他共享的系统资源。通过NIS服务和NFS服务，在整个网络中的各个工作站上操作网络中的数据就像在操作和使用单个计算机系统中的资源一样，并且这种操作过程对用户是透明的。但是NIS服务也有漏洞，在NIS系统中，不怀好意的用户可以利用自己编写的程序来模仿Linux系统中的ypserv 响应ypbind的请求，从而截获用户的密码。因此，NIS的用户一定要使用ypbind的secure 选项，并且不接受端口号小于1024（非特权端口）的ypserv响应。

10.小心配置FTP服务

FTP服务与前面讲的Telnet服务一样，用户名和用户密码也是明文传输的。因此，为了系统的安全，必须通过对/etc/ftpusers文件的配置，禁止root，bin，daemon，adm等特殊用户对FTP服务器进行远程访问，通过对/etc/ftphosts的设定限制某些主机不能连入FTP服务器，如果系统开放匿名FTP服务，则任何人都可以下载文件（有时还可以上载文件），