目前,中石油的Linux系统地学服务器占服务器总数的90% 以上,Linux系统和网络安全漏洞影响着系统安全,影响着科研生产。为了保障保障Linux系统安全,运用防火墙防护、远程访问权限控制、限制访问时间、密码安全设置、入侵系统检测、防火墙安全防护等有效防护措施,保障生产顺利进行。
Linux操作系统以其开源性越来越受到业内的欢迎,其中以石油行业的地学应用服务器居多。目前,各大油田的勘探开发研究院的地学服务器中Linux系统服务器占了总服务器数量的90%以上。近几年,国际黑客高手利用Linux的系统安全漏洞和网络漏洞,对地学服务器进行匿名访问,利用高计算性能服务器计算数字货币谋取暴利,影响着服务器的性能和安全,也影响着科研生产的顺利进行。运用切实可行的安全防护技术来保障Linux系统的安全显得非常紧迫。
Linux系统安全防护技术都有哪些呢?
一、防火墙防护
防火墙的作用是保护计算机网络安全的重要措施,有效隔离内网和外网,阻止外部网络的侵入。Linux系统的防火墙通过系统上的文件就可以设置,修改Linux系统防火墙配置需要修改 /etc/sysconfig/iptables 这个文件,在vi编辑器,会看到以下内容:
1 # Firewall configuration written by system-config-firewall
2 # Manual customization of this file is not recommended.
3 *filter
4 :INPUT ACCEPT [0:0]
5 :FORWARD ACCEPT [0:0]
6 :OUTPUT ACCEPT [0:0]
7 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
8 -A INPUT -p icmp -j ACCEPT
9 -A INPUT -i lo -j ACCEPT
10 -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
11 -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
12 -A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
13 -A INPUT -m state --state NEW -m tcp -p tcp --dport 2181 -j ACCEPT
14 -A INPUT -j REJECT --reject-with icmp-host-prohibited
15 -A FORWARD -j REJECT --reject-with icmp-host-prohibited
16 COMMIT
需要开放端口,需要在里面添加一条一下内容即可:
1 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT
其中1521是开放的端口号,之后重启Linux防火墙服务。
Linux下以root用户身份,停止/启动防火墙服务的命令:
service iptables stop 停止服务
service iptables start 启动服务
若是让其永久性生效,重启后不会复原,运行以下命令
chkconfig iptables on 开启服务
chkconfig iptables off 关闭服务
即时生效,重启后复原:
service iptables start 开启服务
service iptables stop 关闭服务
二、远程访问权限控制
Linux系统安全的第一道防护措施是安全访问设置,即在访问文件里进行设置,主要是在hosts.allow和hosts.deny两个文件里将信任主机的IP添加进去,具体设置如下:
/etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux的某项服务,相当于设置了系统访问的白名单。
比如SSH服务,我们通常只对管理员开放,那我们就可以禁用不必要的IP,而只开放管理员可能使用到的IP段。 使用: 修改/etc/hosts.allow文件
#
# hosts.allow This file describes the names of the hosts which are
# allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
sshd:210.13.218.*:allow
sshd:222.77.15.*:allow
以上写法表示允许210和222两个ip段连接sshd服务(这必然需要hosts.deny这个文件配合使用),当然:allow完全可以省略的。当然如果管理员集中在一个IP那么这样写是减少很多工作量。
all:218.24.129.110//他表示接受110这个ip的所有请求!
/etc/hosts.deny文件,此文件是拒绝服务列表,文件内容如下:
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
sshd:all:deny
注意看:sshd:all:deny表示拒绝了所有sshd远程连接 ,:deny可以省略。
所以:当hosts.allow和 host.deny相冲突时,以hosts.allow设置为准。注意修改完后:
service xinetd restart 才能让刚才的更改生效。
三、限定用户访问时间
根据科研生产实际和加班情况,科研用户多是在早9:00-12:30和15:30-23:00对服务器进行访问,将访问时间限定在这个范围内。黑客访问时间多是在凌晨12点到7点,有效防护不名访问。这个操作是在hosts.allow文件里添加以下命令:
access_times = hour:min-hour:min
例:access_times=9:00-12:30;15:30-23:00 即实现了上班时间正常科研用户对服务器的访问设置,除此之外的时间无权访问。
四、密码安全设置
为了保障Linux的系统安全,密码设置上需要将其设置为较为复杂的,带数字、符号、字母,安全强度较高,不易被破解。同时,定期更改密码,建议是一个月更改一次,这样会明显增强系统的安全性。
例如:某个用户口令是用户名后面跟123,就相对简单了,如果是口令里面有!@#等特殊符号和大小写字母,增加了口令的复杂度,较为安全。
如:用户名为crm 口令设为crm123 就很简单,容易被黑客攻破,若是设置成!@#crm456 那就明显复杂了,安全强度也就提高了。
五、引进入侵检测系统
除了以上安全措施,对于Linux系统较多的机房,有必要安装入侵安全监控系统,对病毒进行监控和预警。在服务器受到外来入侵者的攻击时,服务器的明显“症状”就是系统运行速度慢,性能下降,系统管理员需要在第一时间查看入侵检测平台上的监控信息,按照预警信息提醒,对影响服务器性能的可疑文件进行清理和隔离操作,之后服务器的各方面性能会恢复正常。
六、交换机安全防护
交换机是重要的网络通讯设备,交换机上的安全设置能够过滤访问,阻挡非法用户,保证网络安全。交换机上的安全防护常用的有以下措施:
(一)设置交换机的端口
为了防止黑客通过网络安全设置漏洞对服务器进行攻击和访问,可以在交换机上进行服务和端口的设置,多数是将工作需要的本地IP和远程IP添加到白名单,同时将存在安全隐患和漏洞的端口关闭,这样一来就保证了正常工作的访问,有效将匿名访问拦截挡在门外,无可乘之机。
(二)关闭匿名网络文件传输
为了防止黑客通过匿名文件传输,将蓄意破坏系统性能的文件传到Linux服务器,建议系统管理员在交换机上将匿名文件传输服务ftp关闭,大大提高系统的安全性。2018年年底有新闻报道的挖矿病毒就是利用网络上文件传输的漏洞进入了linux服务器,在凌晨12点到7点之间将相关文件植入Linux服务器,利用高性能服务器计算数字币谋取暴利。
(三)ssh安全网络管理
Telnet远程管理网络时,是以明文形式传输用户名和密码,为黑客高手留下来可乘之机,容易受到攻击,安全隐患很大。而ssh通讯方式,用户名和密码均为加密,有效防止口令被盗听,适合远程的网络管理。
(四)查看syslog
交换机的syslog日志记录了系统错误、系统配置、状态变化、状态定期报告、系统退出等信息,可以帮助网络管理员掌握设备运行状态、及时发现问题,对网络安全进行设置和排出故障,保障网络安全。
综上所述,Linux系统服务器经过防火强防护、远程访问权限控制、限制用户访问时间、密码安全设置、引入入侵检测系统、交换机安全防护等有效的安全防护措施,不仅提高了Linux系统的安全性,保证了服务器正常运行,而且保障了科研生产的顺利进行。
作者:常润明(1982-),女,毕业于新疆大学,工学学士,现就职于吐哈油田公司勘探开发研究院,中级职称,负责地学应用服务器和软件的维护与数据安全。
来源:石油化工信息化技术装备
版权所有:郑州三中网安科技有限公司 豫ICP备2020036495号-1 | 豫公网安备 41019702002241号 | 站点地图 | 人才招聘 | 联系我们 |