linux安全和调优
2016-06-12 12:00
369 查看
一. Linux安全
1. Linux发行版本
选择主流的,更新较快的。
从官网获取安装镜像
2. 硬件和物理安全
设置bios密码
设置grub密码
设置系统密码
选择有安全保障的idc机房
3. 系统和用户方面
关闭用不到的服务 (http://www.aminglinux.com/study_v2/chapter16.html#id5)
尽量升级到最新稳定版程序包
设置防火墙规则 (http://www.aminglinux.com/study_v2/chapter16.html#id3)
不需要登录的用户要禁止登录
root远程登录限制 ( http://www.aminglinux.com/bbs/thread-5546-1-1.html and http://www.aminglinux.com/bbs/thread-5545-1-1.html)
打开系统日志记录一切信息
配置合适的sudoer
4. 文件系统安全 (参考 http://www.aminglinux.com/bbs/thread-6917-1-2.html)
使用ext3或者ext4
严格控制目录和文件的权限 umask
尽量少使用suid/sgid权限
重要的数据或配置文件要制定备份计划
5. pam (参考资料 http://www.infoq.com/cn/articles/linux-pam-one)
/etc/pam.conf
/etc/pam.d/
pam类型
auth 用户验证相关 要求用户输入一个口令
account 用户账户管理相关 检查一个用户的账户或者口令是否过期
session 与连接或者会话管理相关 比如将用户登录会话信息记录到日志
password 密码管理
pam 级别
required:表示该行以及所涉及模块的成功是用户通过鉴别的必要条件。换句话说,只有当对应于应用程序的所有带 required标记的模块全部成功后,该程序才能通过鉴别。同时,如果任何带required标记的模块出现了错误,PAM并不立刻将错误消息返回给应用程序,而是在所有模块都调用完毕后才将错误消息返回调用他的程序。 反正说白了,就是必须将所有的模块都执行一次,其中任何一个模块验证出错,验证都会继续进行,并在执行完成之后才返回错误信息。这样做的目的就是不让用户知道自己被哪个模块拒绝,通过一种隐蔽的方式来保护系统服务。就像设置防火墙规则的时候将拒绝类的规则都设置为drop一样,以致于用户在访问网络不成功的时候无法准确判断到底是被拒绝还是目标网络不可达。
requisite:与required相仿,只有带此标记的模块返回成功后,用户才能通过鉴别。不同之处在于其一旦失败就不再执行堆中后面的其他模块,并且鉴别过程到此结束,同时也会立即返回错误信息。与上面的required相比,似乎要显得更光明正大一些。
sufficient: 表示该行以及所涉及模块验证成功是用户通过鉴别的充分条件。也就是说只要标记为sufficient的模块一旦验证成功,那么PAM便立即向应用程序返回成功结果而不必尝试任何其他模块。
optional: 他表示即便该行所涉及的模块验证失败用户仍能通过认证。
6. 应用安全
各种常用服务 ftp、samba、nfs、rsync、mysql、http
web安全(漏洞:文件上传、xss、sql注入、CSRF、访问控制)
文件上传: 就像discuz论坛的图片上传,如果图片上传服务器时的目录可以执行php脚本,那么这就意味着,用户可以上传木马脚本,然后可以执行
xss:跨站脚本漏洞(Cross Site Scripting,常简写作XSS)是Web应用程序在将数据输出到网页的时候存在问题,导致攻击者可以将构造的恶意数据显示在页面的漏洞。因为跨站脚本攻击都是向网页内容中写入一段恶意的脚本或者HTML代码,故跨站脚本漏洞也被叫做HTML注入漏洞(HTML Injection)。
sql注入:所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。PHP + MYSQL编程,引发SQL注入攻击的主要原因有两点:(1) PHP配置文件php.ini中的magic_quotes_gpc选项没有打开,被设置为off。(2) 开发者没有对数据类型进行检查和转义。第二点最为重要,如果没有第二点的保证,magic_quotes_gpc选项不论为on,还是off,都可能引发SQL注入攻击。
CSRF: (Cross-site request forgery,跨站请求伪造)伪造用户的请求利用受信任的网站来做一些用户不知道的事。当用户访问网站通过登录操作会得到身份标识的cookie,在不关闭浏览器并未注销登录的情况下会带着cookie,这种状态下就有可能会让攻击者去伪造请求。因为CSRF不容易被发现,所以用户通常不容易察觉但是其危害性是很明显的。
访问控制:
apache配置:
apache的order allow deny http://www.aminglinux.com/bbs/thread-832-1-1.html
apache限制某个目录下的php文件没有执行权限 http://www.aminglinux.com/bbs/thread-1000-1-1.html
apache 针对访问uri 限制ip http://www.aminglinux.com/bbs/thread-5365-1-1.html
几种限制ip的方法 http://www.aminglinux.com/bbs/thread-6519-1-1.html
nginx配置
限制只让某个ip访问 http://www.aminglinux.com/bbs/thread-450-1-1.html
禁止通过ip访问站点 http://www.aminglinux.com/bbs/thread-38-1-1.html
禁止某个IP或者IP段访问站点的设置方法 http://www.aminglinux.com/bbs/thread-546-1-1.html
使用 user_agent 控制客户端访问 http://www.aminglinux.com/bbs/thread-846-1-1.html
7. 入侵检测
snort (https://www.snort.org/)
snort中文手册: http://www.360doc.com/content/08/0114/14/25127_972488.shtml
二. Linux调优
参考资料:
http://os.51cto.com/art/201303/385726.htm(调优那些事)
http://www.111cn.net/sys/linux/58433.htm(io/系统/内存性能调优)
http://hong.im/2013/04/20/linux-tcp-tuning/ (高流量大并发Linux TCP 性能调优)
http://wenku.baidu.com/view/0985c9dba58da0116c1749ae.html (文库--LINUX性能调优方法总结)
http://my.oschina.net/sharelinux/blog?catalog=289503 (浅谈linux性能调优系列)
http://colobu.com/2014/09/18/linux-tcpip-tuning/ (TCP/IP协议栈)
https://blog.linuxeye.com/379.html(mysql调优)
http://www.tuicool.com/articles/RbUNn2 (nignx+php-fpm 高并发参数配置及linux内核参数优化)
/article/10794366.html (nignx参数优化)
http://os.51cto.com/art/201003/192112.htm (apache参数优化)
http://www.phpboy.net/apache/488.html(apache参数优化)
http://www.360doc.com/relevant/178008993_more.shtml (apache参数优化文档库)
/article/7088207.html (php.ini参数优化)
/article/4630723.html (tomcat调优)
http://www.php-oa.com/2008/02/03/squidyouhua.html (squid调优)
http://www.neters.cn/archives/548.html(squid优化指南)
http://handao.blog.techweb.com.cn/archives/134.html (squid优化相关的内核参数调整)
【硬件方面】
1. cpu
2. 内存 (增加内存)
3. 存储 (使用raid,使用ssd)
4. 网卡 (使用千兆网卡,或者双网卡绑定)
【系统方面 】
1. 内核参数优化(网络相关、内存相关、缓冲缓存相关)
2. 文件系统方面(分区调优,格式化时根据存储文件特性,指定合适的块大小,noatime,日志隔离,软raid,有效使用/dev/shm,关闭不必要的服务)
3. cpu优化 (进程绑定,中断绑定)
numa架构cpu: /article/8299719.html
taskset 把进程和cpu绑定 http://blog.csdn.net/ttyttytty12/article/details/11726569
【应用程序方面】
1. nginx、apache、php-fpm、mysql、tomcat、squid等应用,是可以通过调节各个参数获得性能优化的。
2. web优化,比如可以把用户请求合并(js、css合并),使用cdn加速静态页访问速度,把图片文档压缩减少带宽传输,
3. 优化网站程序
【架构方面】
1. 使用简单并且稳定的架构方案
2. 多使用缓存(squid,varnish,memcache,nosql相关:redis,mongodb)
redis 资料分析 http://www.apelearn.com/bbs/thread-7422-1-1.html
mongodb汇总 http://www.apelearn.com/bbs/thread-7423-1-1.html
1. Linux发行版本
选择主流的,更新较快的。
从官网获取安装镜像
2. 硬件和物理安全
设置bios密码
设置grub密码
设置系统密码
选择有安全保障的idc机房
3. 系统和用户方面
关闭用不到的服务 (http://www.aminglinux.com/study_v2/chapter16.html#id5)
尽量升级到最新稳定版程序包
设置防火墙规则 (http://www.aminglinux.com/study_v2/chapter16.html#id3)
不需要登录的用户要禁止登录
root远程登录限制 ( http://www.aminglinux.com/bbs/thread-5546-1-1.html and http://www.aminglinux.com/bbs/thread-5545-1-1.html)
打开系统日志记录一切信息
配置合适的sudoer
4. 文件系统安全 (参考 http://www.aminglinux.com/bbs/thread-6917-1-2.html)
使用ext3或者ext4
严格控制目录和文件的权限 umask
尽量少使用suid/sgid权限
重要的数据或配置文件要制定备份计划
5. pam (参考资料 http://www.infoq.com/cn/articles/linux-pam-one)
/etc/pam.conf
/etc/pam.d/
pam类型
auth 用户验证相关 要求用户输入一个口令
account 用户账户管理相关 检查一个用户的账户或者口令是否过期
session 与连接或者会话管理相关 比如将用户登录会话信息记录到日志
password 密码管理
pam 级别
required:表示该行以及所涉及模块的成功是用户通过鉴别的必要条件。换句话说,只有当对应于应用程序的所有带 required标记的模块全部成功后,该程序才能通过鉴别。同时,如果任何带required标记的模块出现了错误,PAM并不立刻将错误消息返回给应用程序,而是在所有模块都调用完毕后才将错误消息返回调用他的程序。 反正说白了,就是必须将所有的模块都执行一次,其中任何一个模块验证出错,验证都会继续进行,并在执行完成之后才返回错误信息。这样做的目的就是不让用户知道自己被哪个模块拒绝,通过一种隐蔽的方式来保护系统服务。就像设置防火墙规则的时候将拒绝类的规则都设置为drop一样,以致于用户在访问网络不成功的时候无法准确判断到底是被拒绝还是目标网络不可达。
requisite:与required相仿,只有带此标记的模块返回成功后,用户才能通过鉴别。不同之处在于其一旦失败就不再执行堆中后面的其他模块,并且鉴别过程到此结束,同时也会立即返回错误信息。与上面的required相比,似乎要显得更光明正大一些。
sufficient: 表示该行以及所涉及模块验证成功是用户通过鉴别的充分条件。也就是说只要标记为sufficient的模块一旦验证成功,那么PAM便立即向应用程序返回成功结果而不必尝试任何其他模块。
optional: 他表示即便该行所涉及的模块验证失败用户仍能通过认证。
6. 应用安全
各种常用服务 ftp、samba、nfs、rsync、mysql、http
web安全(漏洞:文件上传、xss、sql注入、CSRF、访问控制)
文件上传: 就像discuz论坛的图片上传,如果图片上传服务器时的目录可以执行php脚本,那么这就意味着,用户可以上传木马脚本,然后可以执行
xss:跨站脚本漏洞(Cross Site Scripting,常简写作XSS)是Web应用程序在将数据输出到网页的时候存在问题,导致攻击者可以将构造的恶意数据显示在页面的漏洞。因为跨站脚本攻击都是向网页内容中写入一段恶意的脚本或者HTML代码,故跨站脚本漏洞也被叫做HTML注入漏洞(HTML Injection)。
sql注入:所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。PHP + MYSQL编程,引发SQL注入攻击的主要原因有两点:(1) PHP配置文件php.ini中的magic_quotes_gpc选项没有打开,被设置为off。(2) 开发者没有对数据类型进行检查和转义。第二点最为重要,如果没有第二点的保证,magic_quotes_gpc选项不论为on,还是off,都可能引发SQL注入攻击。
CSRF: (Cross-site request forgery,跨站请求伪造)伪造用户的请求利用受信任的网站来做一些用户不知道的事。当用户访问网站通过登录操作会得到身份标识的cookie,在不关闭浏览器并未注销登录的情况下会带着cookie,这种状态下就有可能会让攻击者去伪造请求。因为CSRF不容易被发现,所以用户通常不容易察觉但是其危害性是很明显的。
访问控制:
apache配置:
apache的order allow deny http://www.aminglinux.com/bbs/thread-832-1-1.html
apache限制某个目录下的php文件没有执行权限 http://www.aminglinux.com/bbs/thread-1000-1-1.html
apache 针对访问uri 限制ip http://www.aminglinux.com/bbs/thread-5365-1-1.html
几种限制ip的方法 http://www.aminglinux.com/bbs/thread-6519-1-1.html
nginx配置
限制只让某个ip访问 http://www.aminglinux.com/bbs/thread-450-1-1.html
禁止通过ip访问站点 http://www.aminglinux.com/bbs/thread-38-1-1.html
禁止某个IP或者IP段访问站点的设置方法 http://www.aminglinux.com/bbs/thread-546-1-1.html
使用 user_agent 控制客户端访问 http://www.aminglinux.com/bbs/thread-846-1-1.html
7. 入侵检测
snort (https://www.snort.org/)
snort中文手册: http://www.360doc.com/content/08/0114/14/25127_972488.shtml
二. Linux调优
参考资料:
http://os.51cto.com/art/201303/385726.htm(调优那些事)
http://www.111cn.net/sys/linux/58433.htm(io/系统/内存性能调优)
http://hong.im/2013/04/20/linux-tcp-tuning/ (高流量大并发Linux TCP 性能调优)
http://wenku.baidu.com/view/0985c9dba58da0116c1749ae.html (文库--LINUX性能调优方法总结)
http://my.oschina.net/sharelinux/blog?catalog=289503 (浅谈linux性能调优系列)
http://colobu.com/2014/09/18/linux-tcpip-tuning/ (TCP/IP协议栈)
https://blog.linuxeye.com/379.html(mysql调优)
http://www.tuicool.com/articles/RbUNn2 (nignx+php-fpm 高并发参数配置及linux内核参数优化)
/article/10794366.html (nignx参数优化)
http://os.51cto.com/art/201003/192112.htm (apache参数优化)
http://www.phpboy.net/apache/488.html(apache参数优化)
http://www.360doc.com/relevant/178008993_more.shtml (apache参数优化文档库)
/article/7088207.html (php.ini参数优化)
/article/4630723.html (tomcat调优)
http://www.php-oa.com/2008/02/03/squidyouhua.html (squid调优)
http://www.neters.cn/archives/548.html(squid优化指南)
http://handao.blog.techweb.com.cn/archives/134.html (squid优化相关的内核参数调整)
【硬件方面】
1. cpu
2. 内存 (增加内存)
3. 存储 (使用raid,使用ssd)
4. 网卡 (使用千兆网卡,或者双网卡绑定)
【系统方面 】
1. 内核参数优化(网络相关、内存相关、缓冲缓存相关)
2. 文件系统方面(分区调优,格式化时根据存储文件特性,指定合适的块大小,noatime,日志隔离,软raid,有效使用/dev/shm,关闭不必要的服务)
3. cpu优化 (进程绑定,中断绑定)
numa架构cpu: /article/8299719.html
taskset 把进程和cpu绑定 http://blog.csdn.net/ttyttytty12/article/details/11726569
【应用程序方面】
1. nginx、apache、php-fpm、mysql、tomcat、squid等应用,是可以通过调节各个参数获得性能优化的。
2. web优化,比如可以把用户请求合并(js、css合并),使用cdn加速静态页访问速度,把图片文档压缩减少带宽传输,
3. 优化网站程序
【架构方面】
1. 使用简单并且稳定的架构方案
2. 多使用缓存(squid,varnish,memcache,nosql相关:redis,mongodb)
redis 资料分析 http://www.apelearn.com/bbs/thread-7422-1-1.html
mongodb汇总 http://www.apelearn.com/bbs/thread-7423-1-1.html
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Websphere优化设置
- Linux常见解压命令
- 使用linux的alternatives管理多版本的软件
- 【Linux】硬盘格式化--mkfs
- Linux驱动中的异步通知
- vim 插件综述
- 虚拟机中Linux系统的安装和卸载
- (十四)Linux基础之设备、查找、链接
- Linux流量控制器TC
- jni运行错误 symbol lookup error
- linux和windows路径处理
- CentOS6.5升级内核从2.6.32到3.2.14
- linux node&& npm 安装方式
- linux系统644、755、777权限详解
- ceph存储 centos文件系统变为只读的解决处理
- 嵌入式linux系统重新加载DNS配置
- (十三)Linux基础之软件安装―yum、rpm
- 在Linux中增加swap空间
- linux scp远程拷贝文件及文件夹
- Linux SSH远程文件/目录传输命令scp