Browse Tag: linux研究

十种提高Linux系统安全性的招数

无论你是Linux的普通桌面用户还是管理多个服务器的系统管理员,你都面临着同样的问题:日益增加的各种威胁。Linux是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入Linux系统,或者盗取Linux系统上的重要信息。不过,只要我们仔细地设定Linux的各种系统功能,并且加上必要的安全措施,就能让黑客们无机可乘。

  一般来说,对Linux系统的安全设定包括取消不必要的服务、限制远程存取、隐藏重要资料、修补安全漏洞、采用安全工具以及经常性的安全检查等。本文教你十种提高Linux系统安全性的招数。虽然招数不大,但招招奏效,你不妨一试。

  1.部署防火墙

  这听起来像一条最“明显”的建议(就像使用健壮密码一样),但令人惊奇地是,很少有人真正去设置防火墙。即使你使用的路由器可能内置了防火墙,但是在Linux系统中部署一个软件防火墙是一件非常轻松的事情,你能够从中受益匪浅。

  图形防火墙,例如最近比较流行的Firestarter,非常适合定义口转发和监测活动规则。

  2.禁用不必要的网络

  般来说,除了http、smtp、telnet和ftp之外,其他服务都应该取消,诸如简单文件传输协议tftp、网络邮件存储及接收所用的imap/ipop传输协议、寻找和搜索资料用的gopher以及用于时间同步的daytime和time等。

  还有一些报告系统状态的服务,如finger、efinger、systat和netstat等,虽然对系统查错和寻找用户非常有用,但也给黑客提供了方便之门。例如,黑客可以利用finger服务查找用户的电话、使用目录以及其他重要信息。因此,很多Linux系统将这些服务全部取消或部分取消,以增强系统的安全性。

  3.使用更加安全的传输替代方式

  SSH是安全套接层的简称,它是可以安全地用来取代rlogin、rsh和rcp等公用程序的一套程序组。SSH采用公开密钥技术对网络上两台主机之间的通信信息加密,并且用其密钥充当身份验证的工具。

  由于SSH将网络上的信息加密,因此它可以用来安全地登录到远程主机上,并且在两台主机之间安全地传送信息。实际上,SSH不仅可以保障Linux主机之间的安全通信,Windows用户也可以通过SSH安全地连接到Linux服务器上。

  4.取消非root访问

  开始你可能对此感觉有些不方便,但你应确保正常用户不能访问系统工具—即使fsck和ifconfig等几乎“无害”的功能。达到这一效果的最好方法是使用sudo,Sudo程序允许一般用户经过组态设定后,以用户自己的密码再登录一次,取得超级用户的权限,但只能执行有限的几个指令。例如,应用sudo后,可以让管理磁带备份的管理人员每天按时登录到系统中,取得超级用户权限去执行文档备份工作,但却没有特权去作其他只有超级用户才能作的工作。Sudo不但限制了用户的权限,而且还将每次使用sudo所执行的指令记录下来,

  不管该指令的执行是成功还是失败。

  5.经常查看和拷贝日志

  网络管理人员要经常提高警惕,随时注意各种可疑状况,并且按时检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时,要注意是否有不合常理的时间记载。黑客往往会对日志进行修改已掩盖自己的痕迹,所以你要在一个非常规的地方保存一个日志的副本。最好能将日志单独房子一个远程服务器上。

  6.使用口令老化(password aging)

  口令老化一种增强的系统口令生命期认证机制,虽然它会一定程序的削弱用户使用的便利性,但是它能够确保用户的口令定期更换,这是一种非常好的安全措施。因此,如果一个帐户受到了黑客的攻击并且没有被发现,但是在下一个密码更改周期,他就不能再访问该帐号了。

  7.对root登录进行严格限制

  利用“root”身份登录不是一个好主意。安全的做法是你以普通用户的身份登录,然后利用su或sudo取得超级用户的权限,然后进行相应的工作。

  8.物理保护

  虽然大多数的攻击是依靠网络实施的,而黑客取得物理访问你的计算机的机会也非常渺茫,但这并不意味你无需设防。

  给引导程序加上密码保护,确保在你离开电脑时它总是处于锁定状态。并且你应该完全肯定没有人可以从外部设备启动你的服务器。

  9.安装最新的安全更新

  所有流行的Linux发行版除了定期发布更新外,只要遇到安全漏洞,研发人员也会很快发布相应得更新和补丁,你要做的就是经常关注有没有安全更新和补丁包发布,并及时安装。

  10.留意打开的文件

  很多Linux发行版都包含一些非常使用的小工具,lsof就是其中一个。Lsof能列出当前系统打开的所有文件。在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接和硬件。通过lsof工具能够查看哪些进程正在使用哪些端口,它的进程ID以及是谁在运行它。如果你从中发现了一些异常,那么你肯定值得仔细检查一番。

Centos6.2 中vsftpd 的安装和配置全解析

近期学完了centos linux的80%的知识,常用的功能都烂熟于心了,心里算是稍微松了一口气,今天我把Centos6.2 中vsftpd的配置方法分享给大家,希望能给还不熟悉linux的菜鸟朋友一点帮助,高手飘开,打个小广告,本人善于结交网络技术爱好者,真诚的希望各位志同道合的朋友和我交流。一起学习,一起进步!下面开始切入正题啦!!!
什么是vsftpd
vsftpd是一款在Linux发行版中最受推崇的FTP服务器程序。特点是小巧轻快,安全易用。

vsftpd 的名字代表”very secure FTP daemon”, 安全是它的开发者 Chris Evans 考虑的首要问题之一。在这个 FTP 服务器设计开发的最开始的时候,高安全性就是一个目标。

1 安装并启动服务 (需要以管理员(root)身份执行以下命令的哦)
[root@8090hack.com ~]#rpm –qa | grep vsftpd ;查看是否安装vsftpd服务

[root@8090hack.com ~]#yum install vsftpd //安装vsftpd服务
[root@8090hack.com ~]service vsftpd start //启动vsftpd服务
[root@8090hack.com ~]#chkconfig vsftpd on //设置开机启动vsftpd ftp服务
配置相关文档(默认的配置文件是/etc/vsftpd/vsftpd.conf):

#vi /etc/vsftpd/vsftpd.conf

禁止匿名用户访问:

anonymous_enable=YES //将YES改为NO

在文件末尾加如下的设置:
pasv_enable=YES //允许被动模式

pasv_min_port=10000 //被动模式使用端口范围

pasv_max_port=10010

local_max_rate=200000 //用户宽带限制

chroot_local_user=YES //禁用户离开主目录
注意:设置pasv端口后,需要修改防火墙,加入如下代码(现在先不要加,先往下看,配置防火墙的时候一起加好就是):
iptables -A RH-Firewall-1-INPUT -p tcp –dport 10000:10010 -j ACCEPT
配置防火墙

打开/etc/sysconfig/iptables文件

vi /etc/sysconfig/iptables

在REJECT行之前添加如下代码

-A RH-Firewall-1-INPUT -m state –state NEW -m tcp -p tcp –dport 21 -j ACCEPT

保存和关闭文件,重启防火墙

好了以后,保存和关闭文件,重启防火墙 service iptables start //重启防火墙

2. 添加虚拟主机用户
添加用户8090hack, 用户目录指定为/var/www/ftp/8090hack,且此用户不能登陆系统.

 

#mkdir /var/www/ftp/8090hack //为8090hack这个用户建立一个ftp目录,名字为8090hack

#useradd –s /sbin/nologin -g ftp –d /var/www/ftp/8090hack 8090hack

注:-s /sbin/nologin是让其不能登陆系统,-d 是指定用户目录为/var/www/ftp/8090hack

#passwd 8090hack //这里是设置密码

#chown –R 8090hack:ftp /var/www/ftp/8090hack //将/var/www/ftp/8090hack 这个目录的拥有者设为8090hack,群体的使用者ftp。

[root@localhost var]# chmod go+rwx /var/www/ftp/8090hack 《给8090hack目录分配权限》

 

 

chmod go+rwx /var/www/ftp/8090hack//注意就是在这里,要给ftp这个目录设置好权限,否则会导致网站无法访问,因为在Linux的他的权限并不会继承父目录的权限。权限不够啊。比如。/var/www的权限是777,但是他下面新建立的文件夹的权限就不是777了,需要单独分配权限。

 

 

service vsftpd restart //重新启动vsftpd

这时候你就会看到如下提示,英文你看不懂,OK你总能看懂吧,呵呵~!

[root@8090hack ~]# service vsftpd restart
Shutting down vsftpd: [OK]
Starting vsftpd for vsftpd: [ OK ]

到这,一个ftp服务器的配置算是完成——如果你想加一些更精细的功能,请往下看。下面我就不多说了,大家按照文档配置就是了,不懂的可以M我QQ106-3818-265。11点半了,累了,睡觉去了。88……
--------------------------------------------------
四, VsFTPd相关的配置详解
1.匿名用户相关设置
anonymous_enable=YES ,将YES改为NO, 禁止匿名用户登陆
#non_mkdir_write_enable=YES ,将#注释去掉,允许匿名用户创建目录
#non_upload_enalbe=YES ,将#去掉,允许匿名用户上传
anon_world_readable_only=YES ,允许匿名用户下载,默认是禁止的,这个可以自行添加。
Anon_other_write_enable=YES ,将其设为YES的话,就除了上传和创建目录外,还可以重命名,删除文件,默认是NO
no_anon_password=NO ,将其设为YES,匿名用户不会查询用户密码直接登陆。
ftp_username=ftp ,匿名用户登陆系统的账号默认为ftp,此项最好不要改,否则设置不当会给系统的安全带来威胁

2.FTP服务端口的指定
listen_port=8021 ,指定命令通道为8021,默认为21
listen_data_port=8020 ,指定数据通道为8020,默认为20
3.上传模式的设置
pasv_enable=YES ,是否允使用被动模式,默认是允许的。
pasv_min_port=10000 ,指定使用被动模式时打开端口的最小值
pasv_max_port=10004 ,指定使用被动模式时打开端口的最大值。
复制代码
4.Vsftp服务器指定IP地址
listen_address=192.168.0.21 ,指定FTP,IP地址
复制代码
注:只有当vsftp运行于独立模式时才允许使用指定IP,如果在/etc/xinetd.d目录下已经建立了vsfpd文件,就要将该文件中的disable设置为yes,方可。
5. 锁定用户,禁止用户离开用户主目录
chroot_local_user=YES ,将其设为YES,就锁定在用户主目录,设为NO,可以切换
复制代码
将指定用户设置为锁定用户主目录:
#chroot_list_enable=YES
#chroot_list_file=/etc/vsftpd.chroot_list
复制代码
将其改为如下:
chroot_list_enable=NO
chroot_list_file=/etc/vsftpd/vsftpd.chroot_list
将上面保存,再做如下操作:
#touch /etc/vsftpd/vsftpd.chroot_list
#vi /etc/vsftpd/vsftpd.chroot_list ,在该文件中加入用户名单,如:
netseek_com
6.FTP服务器的流量控制
max_clients=100 ;允许的最大连接数,定义为100,默认为0,表没有限制
max_per_ip=5 ;每个IP允许的连接数,0表没有限制,需要运行于独立模式方可
anon_max_rate=50000 ;匿名用户最大带宽,单位为bps
local_max_rate=200000 ;系统用户最大带宽
如何对指定用户进行流量限制呢?
#vi /etc/vsftpd/vsftpd.conf,添加一行:
user_config_dir=/etc/vsftpd/userconf
#touch /etc/vsftpd/userconf/netseek_com 为netseek_com这个用户建立一个netseek_com文件
#vi /etc/vsftpd/userconf/netseek_com 添加以下内容
local_max_rate=100000
保存重启服务即可.
7.定制欢迎信息
目录说明设置
#vi /etc/vsftpd/vsftpd.conf
#dirmessage_enable=YES,前的#去掉。
然后我们定制一个.message,写上你想写的东西,然后把这个文件复制到各个用户的家目录中,就OK。
系统欢迎消息设置
ftpd_banner=Welcome to, Yeah!!!
系统欢迎消息文件设置
banner_file=/etc/vsftpd/welcome 与ftpd_banner相类似,不同之处在于,banner_file指定欢迎文件.

centos linux常用命令全集

研究linux好久了,一直也没时间对学习的东西进行一次系统的总结。昨天公司服务器又出了点小问题,激起了我深入研究linux的欲望,这是我总结的一些linux最基本的操作的笔记分享给大家。高受飘过。小菜可以看看,如有错误或者不足之处,敬请各位牛人留言指出,大江网络诚与各位共勉。

1.# 表示权限用户(如:root),$ 表示普通用户
开机提示:Login:输入用户名
password:输入口令 用户是系统注册用户成功登陆后,可以进入相应的用户环境.
退出当前shell,输入:exit
2.useradd netseek 添加一个netseek用户
passwd netseek 给netseek这个用户设置密码.
(/etc/passwd /etc/group)
userdel netseek 删除账号
userdel -r netseek 删除账号连同自家目录.

3.查看命令
ls -l 显示文件列表
ls -al -a 显示所有档案及目录 (ls内定将档案名或目录名称开头为”.”的视为隐藏档,不会列出)
ls -al |grep ‘^d’ 显示目录
ls -al |grep ‘^[^d]‘ 在一个目录中查询不包含目录的所有文件
ls -sh (man ls 查看man帮助.)

linux几种文件类型:
d 表示此文件是一个目录
– 表示此文件是一个普通文件
b 表示此文件是一个特殊的块设备I/O文件
c 表示此文件是一个特殊的字符设备I/O文件
l 表示此文件是一个连接文件。在其文件名称后紧跟与它连接的文件路径及名称。

4.建立文件和目录
touch 1.txt
cat > 2.txt (用定向符创建文件,填写内容后,按ctrl+d保存内容)
more data.txt 单独使用more命令时,可用来显示文字文件的内容
cat preface.txt >> outline.txt 将preface.txt 附加到outline.txt文件之后:
cat new.txt info.txt >readme.txt 将new.txt和info.txt合并成readme.txt文件:
mkdir mywork 建立mywork这个目录
cd .. ← 切换到上一层目录
cd / ← 切换到系统根目录

5.关机重启
[root@localhost root]#shutdown now ← 立刻关机
[root@localhost root]#shutdown +5 ← 5分钟后关机
[root@localhost root]#shutdown 10:30 ← 在10:30时关机
[root@localhost root]#shutdown -r now ← 立刻关闭系统并重启
[root@localhost root]#shutdown -r 23:59 ← 指定在23:59时重启动
[root@localhost root]#reboot 重新启动计算机

6.拷贝文件或目录
cp filename1 filename2
cp -r dir1 dir2 复制目录
cp -rf 参数f是删除已经存在的目标文件而不提示
cp -i 参数i和f相反,在覆盖目标文件之前将给出提示要求用户确认,回答y时目标文件将被覆盖,是交互式拷贝.

7.删除文件和目录(删除文件或目录都可以用rm搞定)
rm 1.c //将1.c这个文件删除
rm -rf (强制删除文件或目录,删除时不提示.)

8.alias 别名
alias dir=’ls -l’ 输入dir,其实就相当于执行了ls -l

9.目录移动文件改名
mv a.txt .. ← 将a.txt文件移到上层目录
mv z1.txt z3.txt ← 将 z1.txt改名成z3.txt
mv backup.. ← backup 目录上移一层

10,查找文件的locate命令
locate 命令可用来搜索包含指定条件字符串的文件或目录。范例如下:
[tony@free tony]$ locate zh_CN 列出所有包含“zh_CN”字符串的文件和目录。
[tony@free etc]$ grep text *.conf ← 搜索当前目录中扩展名为.conf且包含“text”字符串得文件。

重导与管道
  重导(redirect)可将某命令的结果输出导文件中,它有两中命令:“>”和“>>”。“>”可将结果输出到文件中,该文件原有的内容会被删除:“>>”则将结果附加到文件中,原文件内容不会被清除。范例如下:
  [tony@free tony]$ ls –a>dir.txt ← 将ls –a命令执行结果输出到dir.txt文件。
  [tony@free tony]$ cat data1.txt >> data2.txt ← 将 data1.txt 内容附加到data2.txt文件之后。

[tony@free etc]$ ls gerp conf ← 搜索并显示ls命令运行结果中包含有“conf”字符串
[root@q1test01 ~]# cat /proc/version #查看内核版本命令

11. cat,more,less 命令
将某个文件的内容显示出来,两个命令不同的是:cat 把文件内容一直打印出来,而more则分展显示.
less 可以上下翻滚查看内容.
cat > 1.txt 可以填写或者复制内容,按ctrl+d保存
cat 1.c
more 1.c
head -n filename 显示第N行的内容
tail -n filename 显示后N行的内容
tail -n 20 /var/log/message 显示最新的20行日志

Continue Reading

linux web服务器访问速度慢的分析报告

1.近2天用户反应网站速度慢,近段时间网站日访问量约50ip左右,可以看出每天下单客户约50家左右,同一时间段内访问人数突然增多导致服务器MYSQl并发链接数超过100,继而导致网站出现缓慢,昨天已经修改了服务器默认的并发链接数。并发链接数增大了10倍。周**对程序进行了优化,问题已解决。

2.公司linux服务器已投入运行8个多月,虽然可靠性和稳定性还算不错。但并不意味着我们可以高枕无忧,随着网站访客增多,业务需求量越来越大。服务器要承载的数据也越来越多,重要性可想而知。硬盘每分钟要转几千次,万一哪天服务器硬盘运行出错会导致数据丢失,网站瘫痪。公司并无备用linux服务器,建议提前配置好一台linux服务器, 一旦老服务器出错停止了运行,可连接新服务器投入使用,这样可保持公司业务不间断。

3.公司当前并无专业的服务器管理维护人员,为确保公司信息安全,开源节流,我决定来做此工作,我来配置备用linux服务器,需要托管处联系电话以及已购买的一些服务器硬件。

2012-04-24

linux空间:在cmd下连接到FTP后的要注意的问题

大江网络使用的是linux空间,今天我在cmd下用ftp 116.255.205.70连接上之后,想要上传一些东西,我使用cd wwwroot进入wwwroot目录.想在wwwroot的wp-admin文章中上传ceshi.txt。于是dir之后看到了wp-admin目录。

接着我使用put d:\ceshi.txt wp-admin\ceshi.txt。提示成功

于是我dir

悲剧了出现了wp-admin\ceshi.txt,我进入图形FTP后发现

接着我换了win服务器。使用同样的命令却成功上传,仔细分析了下,原来是我混淆了windows和linux。我使用的是windows下的命令在linux服务器中操作了。Put d:\ceshi.txt wp-admin\ceshi.txt 在windows服务器中的意思中上传本文件到服务器目录下。而在linux中的用法却不同。呵呵,看来学东西学多了也是有其弊端的,今天大江网络深深的体会到了。

10月31一个不平凡的日子

10月31一个不平凡的日子,刚好公司的站在我的艰苦努力之下,网站关键词排名百度第3,总经理很多高兴,因为这是他预备让我3个月做的事情,我只用了1个月而且是自己一个人做到的,自己心里也很兴奋。让自己有了更大的动力和信心。

也许是我的运气来了,刚好昨天公司确立工资体系,我因为这2个月的工作突出,加上在网络营销方面做的还不错,这次开会奠定了我在公司的位置和发展方向,今后我要走2条路,1是公司的网站运营营销。2是公司网络管理,服务器维护。

其实公司发的这点工资对我来说不是那么重要,有没有工资都无所谓,我只想在这里学到终身受益的东西,充实自己。

某网站优化以及关键字排名工作安排

网站SEOER工作:

网站内部结构、框架代码、动静态页面优化。

网站关键词定位分析检测、

友情链接添加

百度排名观察、

优化推广新方案书写

行政部工作:

1、网站内容充实

每天文章资讯更新,每个栏目每天发布1篇即可,但要求必须是80%以上内容原创的,实在写不出就转载1篇修改,修改幅度要有80%以上。

2、外链的加强

① 论坛发贴推广,注册5个不同论坛,发布一些与高桥有关的商业信息,提高关键字,爆光度,每天一篇

② 博客软文营销:注册5个不同博客,书写原创或者伪原创原文,每天一篇发布到博客,然后自己转载到其它4个博客。

考虑到大家都还有其他工作,所以每天也没多强调,文章在精不在多,一定要注意质量。