如何加固Linux系统 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户.口令文件,与系统管理员确认不必要的账号.对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆. 备份方法: #cp -p /etc/passwd /etc/passwd_bak #cp -p /etc/shadow /etc/shadow_…

Linux系统安全加固(一)     去年8月,某所网站遭黑客攻击瘫痪虽然港交所随后及时启用备用系统,但还是致使7支股票1支债卷被迫停牌,次日再次遭受攻击而瘫痪:在去年年底继CSDN信息安全出现之后,网上更是传出包括人人网等多家公司的用户被公开,日益凸显的网络安全事件说明了目前基础网络还面临着诸多威胁,木马僵尸网络终端恶意软件, 跨境化网络攻击都是直接威胁.因此,确保系统安全变得尤为重要,接下来在具体介绍Linux系统的安全性之前,首先介绍一些信息安全的基础知识,这些基础知识看似枯燥,但对于今后…

对于互联网IT从业人员来说,越来越多的工作会逐渐转移到Linux系统之上,这一点,无论是开发.运维.测试都应该是深有体会.曾有技术调查网站W3Techs于2018年11月就发布一个调查报告,报告显示Linux在网站服务器的系统中使用率高达37.2%,这一数据也表明,Linux系统被广泛应用.其实,除了在网站服务器中的应用,Linux系统还被用于DNS域名解析服务器.电子邮件服务器.一些开源软件的应用(大数据应用:据Linux基金会的研究,86%的企业已经使用Linux操作系统进行云计算.大数据平…

linux系统安全加固 一.账号相关 1.禁用或删除无用账号 减少系统无用账号,降低安全风险. 当我们的系统安装完毕后,系统默认自带了一些虚拟账户,比如bin.adm.lp.games.postfix等,这些账号理论上是可以删除的.但是因为它们的登录shell都是/sbin/nologin,所以它们本身也是无法登录的,不用删也可以.我们要注意的是系统安装完成后,自己手动创建的一些账户,比如这些登录shell是/bin/bash,一定要控制好. 1.1.使用cat /etc/passwd 命令查看…

Linux是一套免费使用和自由传播的类Unix操作系统,作为一个开放源代码的操作系统,Linux服务器以其安全.高效和稳定的显著优势而得以广泛应用,但如果不做好权限的合理分配,Linux系统的安全性还是会得不到更好的保障,下面我们将主要使用RHEL7系统,分别从账户安全.登录控制,SeLinux配置等,优化Linux系统的安全性. 早在1985年,美国国防部就已经提出了可信计算机系统评测标准TCSEC,TCSEC将系统分成ABCD四类7个安全级别.D级是安全级别最低的级别,C类为自主保护级别:B…

写在前面:当你部署一台服务器,第一步不应该是部署应用,安全是才是首要任务 如果某一天当你登录服务器发现 /bin/bash –i,python -c 'import pty; pty.spawn("/bin/sh")' 等命令在服务器上出现的时候,那么恭喜你,服务器被入侵了 但是入侵者都是很聪明的,首先会执行以下命令 unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null;…

今天想谈谈关于系统安全:我们都知道,Linux早已成为趋势,在我们互联网中占有不可或缺的地位,在我们眼中,它是神圣的,不可替代的,无懈可击的:真的是这样的吗? 但是关于病毒对Linux所造成的一系列威胁,我们不能置之不理~ 我们运维存在的价值是什么?不就是处理各种故障问题,维护线上业务的稳定运行吗?除了系统bug以及异常操作等等所带来的故障问题,别忘了,还包括外界因素对我们的底层Linux系统环境的所造成的影响,这个时候,我们又该如何应对?这无疑给我们增加了较大的负担和压力,哈哈,这个时候需要一…

Rpm另类用法加固Linux安全   RPM是Red Hat Package Manager的缩写即Red Hat软件管理器.它是一个开放的包管理软件,由Red Hat公司所开发和维护,可以在Red Hat Linux及其他的Linux上运行.用于管理RPM软件包的主要工具是rpm命令,它有六个基本的功能:安装.卸载.升级.更新.查询和校验软件包.此外,它还有鲜为人知的功能—安全维护.本文介绍如何使用rpm来进行安全维护. 1．检查系统公钥     在RPM软件包安装前,rpm命令通过检查软件包…

一.账号和口令 1.1 禁用或删除无用账号 查看 /etc/passwd 文件查看是否有无用的账号,如果存在则删除,降低安全风险. 操作步骤: 使用命令 userdel <用户名> 删除不必要的账号. 使用命令 passwd -l <用户名> 锁定不必要的账号. 使用命令 passwd -u <用户名> 解锁必要的账号. 1.2 检查特殊账号 操作步骤: 查看空口令和root权限账号,确认是否存在异常账号: 使用命令 awk -F: '($2==""…

微信Web开发者工具只有window版本和mac版本,如果想要在Linux系统下运行微信Web开发者工具,需要花费很大周折. 注:带 * 的步骤或文件为不确定是否管用的步骤或文件.本人系统为Linux Mint 18.1版本. 1.下载nwjs 下载nwjs的SDK. 2.将微信web开发者工具拷贝到nwjs 将在window系统下安装的微信web开发者工具文件夹中的package.nw.icon.ico.* 微信web开发者工具.exe拷贝到nwjs sdk解压后的文件夹内. * 解压 微信w…

第六节 Linux系统基础优化 标签(空格分隔):Linux实战教学笔记-陈思齐 第1章 基础环境 第2章 使用网易163镜像做yum源 默认国外的yum源速度很慢,所以换成国内的. 第一步:先备份 mkdir backup mv C* backup/ 第二步:下载163yum源 wget http://mirrors.163.com/.help/CentOS6-Base-163.repo 第三步:清除旧缓存 yum clean all 第四步:创建新缓存 yum makecache 第五步:安…

在linux系统中你使用一些命令时(例如nmon.iostat 如下截图所示),有可能会看到一些名字为dm-xx的设备,那么这些设备到底是什么设备呢,跟磁盘有什么关系呢?以前不了解的时候,我也很纳闷. 其实dm是Device Mapper的缩写,Device Mapper 是 Linux 2.6 内核中提供的一种从逻辑设备到物理设备的映射框架机制,在该机制下,用户可以很方便的根据自己的需要制定实现存储资源的管理策略,当前比较流行的 Linux 下的逻辑卷管理器如 LVM2(Linux Volum…

Linus 说“Just for fun”,而我要说“Just for 折腾”.想知道我是怎样折腾 Linux 的,请看下面这个截图: 从这个截图可以看出,我为了“折腾” Linux 系统,在我的电脑上安装的 5 个不同的发行版.它们分别是 Ubuntu 14.04 桌面版.CentOS 5.10.CentOS 6.5.Fedora 20 和一个 Ubuntu 14.04 Server 版.在以上所有系统中,只有 Ubuntu 14.04 桌面版和 Fedora 20 开启了 GUI,其它的几个…

发博客时,总免不了要用图片说话.经过长时间的磨合,在 Linux 桌面系统下有几款图片处理软件我已经用得比较顺手了.这几款软件在 Linux 世界使用广泛,各个 Linux 发行版的软件仓库中都有自带的安装包,而且这几款软件运行稳定.界面美观.特在这里推荐给大家. 请看我的桌面,左边的 Luancher 中下面的五个图标就是我今天要介绍的五款图片处理工具: 一.截图工具 gnome-screenshot 这个软件不用自己安装,它是 Gnome 桌面自带的截图软件,一般在 Linux 系统安装完成…

引言 之所以想到写这些东西,那是因为我确实想让大家也和我一样,把 Linux 桌面系统打造成真真正正日常使用的工具,而不是安装之后试用几把再删掉.我是真的在日常生活和工作中都使用 Linux,比如在 Linux 下编程.写博客.写论文和做幻灯.当然,对于 LibreOffice 这样的软件使用起来都不会有什么困难,所以在我的博客中就基本没有提到,就像 Windows 下的程序员不会去写 MS Office 的使用指南一样.如果有人不能坚持使用 Linux,那一定是 Linux 中的某些困难打败了…

在linux系统中安装VSCode(Visual Studio Code) 1.从官网下载压缩包(话说下载下来解压就直接可以运行了咧,都不需要make) 访问Visual Studio Code官网 https://code.visualstudio.com/docs?dv=linux64 我是64位的: wget https://az764295.vo.msecnd.net/stable/7ba55c5860b152d999dda59393ca3ebeb1b5c85f/code-stable-…

传统印象下Linux是非常坚不可摧的,具有千年不更新,万年不重启的美名.而随着虚拟化的推进,很多跑在虚拟化上的Linux由于先前基础架构的脆弱,变得适应性“越来越不好”,体现在IP存储如果出现节点故障而且没有冗余线路的保障很容易出现磁盘脱机导致的系统只读,加上LVM固有的习惯使用还会影响到系统在硬盘离线后数据恢复的困难,再者EXT系列的文件系统没有Windows 2008之后所使用的NTFS文件系统的自我修复功能,很多时候会让工作陷入各种深坑不能自拔. 笔者最近遇到一个奇葩的现象,某平台因为IP…

今天在开发中遇到这么个问题,将连接的数据库改为服务器上的时候(服务器是Linux系统的),程序跑起来后一直出错,总提示数据库的表找不到, 而打开数据库看该表明明是存在的,在我的印象中MySQL数据是不区分大小写的,后来查资料才发现,在Linux系统中MySQL默认是严格区分大小 写的,可以在配置文件中添加配置, 用root帐号登录后,在/etc/my.cnf 中的[mysqld]后添加添加lower_case_table_names=1,重启MYSQL服务,这时已设置成功:不区分表名的大小写:…

一台安装了Linux系统的电脑如果想要联网,首先要做的就是进行网络配置.今天小编就以CentOS6.4系统为例为大家介绍整个网络配置的过程,虽然只是以CentOS6.4系统为例,但是其它的Linux系统在流程上也相差不大.相信只要大家能够按照小编的经验熟练掌握配置过程,其它Linux系统的网络配置一定也能够很好的完成. 首先以根用户登录系统,然后使用lspci | grep Ethernet命令检查计算机上的以太网卡设备是否被内核检测到.这里小编要提醒大家,在默认的情况下,只有root也就是根用…

在实际工作中有时需要程序打印出某个进程的内存占用情况以作参考, 下面介绍一种通过Linux下的伪文件系统/proc 计算某进程内存占用的程序实现方法. 首先, 为什么会有所谓的 伪文件 呢. Linux系统的文件类型大致可分为三类: 普通文件, 目录文件和伪文件. 伪文件不是用来存储数据的, 因此这些文件不占用磁盘空间, 只是存在于内存中. /proc 让你可以与内核内部数据进行交互, 获取有关进程的有用信息. 下面主要介绍一下 /proc 下面的四个文件: /proc/stat, /proc/…

Linux系统可以通过top命令查看系统的CPU.内存.运行时间.交换分区.执行的线程等信息.通过top命令可以有效的发现系统的缺陷出在哪里.是内存不够.CPU处理能力不够.IO读写过高. 使用SSHClient客户端连接到远程Linux系统.使用top命令查看系统的当前运行的情况.如图对top命令执行的结果做了简单的图解,下面针对每一项做详细的解释.   top命令的第一行"top - 19:56:47 up 39 min,  3 users,  load average: 0.00, 0.0…

前几天被版本管理困扰了好久,主要是因为 没法回到之前的版本,新版本又出了问题真的很尴尬. 终于决定使用目前网上很火的版本管理工具-------Git 历史啥的就不说了,说些有用的. 我用的是oschina的至于为啥没用github是因为如果想要使用私有项目 github是收费的.好在用法是一样的,开始吧! 首先说明我是linux系统(国产系统deepin , 如果你使用Ubuntu这个教程也适用你哦!) 安装git很简单: sudo install git 输入用户名密码 一路安装很简单不多说.…

文件描述符 进程每打开一个文件的时候,会获得该文件的文件描述符,而后续的读写操作都把文件描述符作为参数.在用户空间或者内核空间,都是通过文件描述符来唯一地索引一个打开的文件.文件描述符使用int类型表示,文件描述符的范围从0开始,到上限值-1,默认情况下,上限值为1024,也就是说,进程默认情况下最多可以打开1024个文件.负数是不合法的文件描述符,当函数调用出错时,返回的文件描述符为-1. 每个进程都至少包含三个文件描述符: 文件描述符 表示 宏 0 标准输入(stdin) STDIN_FIL…

一.环境变量文件介绍 转自:http://blog.csdn.net/cscmaker/article/details/7261921 Linux中环境变量包括系统级和用户级,系统级的环境变量是每个登录到系统的用户都要读取的系统变量,而用户级的环境变量则是该用户使用系统时加载的环境变量. 所以管理环境变量的文件也分为系统级和用户级的,下面贴一个网上找到的讲的比较明白的文件介绍(略作修改)[1]: 1.系统级: (1)/etc/profile:该文件是用户登录时,操作系统定制用户环境时使用的第一个…

1.链接的概念 在Linux系统中链接分为硬链接和软连接两种,一种为硬链接,另一种为软连接或符号链接(symbolic Link).ln命令就是创建链接文件的,在默认不带参数的情况下,执行ln命令创建的链接就是硬链接. 2.硬链接 硬链接是指通过索引节点(inode)来进行链接.在Linux(ext2,ext3)文件系统中,保存在磁盘分区中的文件不管是什么类型都会给它分配一个编号,这个编号被称为索引节点(inode).如果多个文件名指向同一个inode是正常且允许的.这种情况的文件就称为硬链接.…

Linux系统每次重新启动时,不会重新打开无线网卡,需要每次手动去更改. 这里通过两种方式开启无线网卡. 第一种方式就是手动连接到Linux系统,(前提是按照了Linux桌面) 1.找到文件夹为 etc. 2.找到etc文件夹下面的sysconfig文件夹 3.找到sysconfig文件夹下面的network-scripts文件夹 4.打开文件为ifcfg-eth 修改ONBOOT=yes. 第二种方法,没有安装Linux系统桌面,可以通过客户端软件远程连接Linux修改配置. 1.linux系…

Brief: 1./home单独分区:2.不同系统/home建立不同的用户名:3.不同系统/home对其他用户授权 Linux下/home文件夹可以通用吗?例如我机器上同时装了两个Linux系统,可以共用一个/home文件夹吗?又或者我重装Linux系统,原来的/home文件夹还可以使用吗? 问题一. /home共用的问题: 一般来说是可以这么做的.只是你要自己明白/home目录中的哪些更改分别对应哪个系统:再有就是有些个性化配置在不同系统中是否都支持.有个简单办法可以避免混乱,这就是创建不同用…

linux系统加快大文件的写入速度 setvbuf进行优化内存IO…

linux系统CentOS7 到http://mirrors.sohu.com/mysql/下载想要的mysql版本 这里用到的是 mysql-5.6.33-linux-glibc2.5-x86_64.tar.gz 用 WinSCP上传到指定的目录下,这里是 /usr/local/src 也可以直接在shell端提要供下载文件的详细url用wget命令下载到指定文件夹内 wget是一个从网络上自动下载文件的自由工具,它支持HTTP.HTTPS和FTP协议. -c : 接着下载没下载完的文件,允许…

Linux是一套操作系统,按照鸟哥的说法Linux提供了一个完整的操作系统当中最底层的硬件控制与资源管理的完整架构,这个架构是沿袭Unix良好的传统而来的,功能强大而且稳定性卓越.其实Torvalds先生当初在编写Linux时,其内核仅仅就只能达到“驱动386所有硬件”而已,也就是让386计算机能够接受用户输入的指令并完成相应的操作. Unix相比于Linux,他的年龄大约比Linux大上20岁,可以算作Linux的老大哥,那么提及Linux的历史就不可能少了Unix的身影.在1969年以前,计…