一、Debian11 系统安全介绍
系统安全是一个涵盖很广泛的概念,没有哪个工具和方法是万能的。一般来讲系统安全涉及到三个风险因素:保护什么?防止发生什么?谁会让它发生?我们可以基于此种风险模型构建和实施安全策略。如果没有任何规划或者盲目的实施,会将系统安全风险转移到不可控的地步。
1.1、安全工具
糟糕的系统维护可能会暴露您的系统,导致它被外部非法使用,以下为用于系统安全性和完整性检查的工具。
logcheck #后台守护进程,将系统日志文件中的异常通过邮件发送给管理员 debsums #实用程序,使用MD5校验码对已安装软件包的文件进行校验 chkrootkit #rootkit检测软件 clamav #Unix的反病毒实用程序 tiger #报告系统安全漏洞 tripwire #文件和目录完整性检测软件 john #先进的密码破解工具 aide #高级入侵环境检测 integrit #文件完整性验证程序 crack #密码猜测程序 knockd #小的port-knoc后台守护进程 fail2ban #禁用造成多个认证错误的IP libpam-shield #把尝试猜测密码的远程攻击者关在外面
1.2、安全端口
许多流行的传输层服务都使用纯文本来传输包括密码验证信息在内的各类消息。但是这样传输的密码很容易在网上被他人截获。为了确保流程安全,包括密码信息在内都使用加密传输来确保安全。
不安全的服务名和对应端口:
http: 80 smtp: 25 ftp-data: 20 ftp: 21 telnet: 23 imap2: 143 pop3: 110 ldap: 389
安全的服务名和对应端口:
https: 443 ssmtp/smtps: 465 ftps-data: 989 ftps: 990 telnets: 992 imaps: 993 pop3s: 995 ldaps: 636
1.3、安全认证
SSH 程序使用安全认证来提供不安全网络上两个不可信任主机之间的安全加密通讯。它由OpenSSH客户端ssh和OpenSSH服务端sshd组成,可以给不安全的协议通讯建立隧道,使其可以在互联网上安全传输。客户端可以使用如下方式来认证自己:基于主机的认证、公钥认证、质疑应答认证、密码认证。
二、Debian11 系统安全教程
2.1、密码安全
为阻止别人使用root权限访问您的机器,您需要做下面的操作。
- 阻止对硬盘的物理访问;
- 锁住UEFI/ BIOS来阻止从可移动介质启动;
- 为GRUB交互式会话设置密码;
- 锁住GRUB菜单,禁止编辑。
如果您可以物理访问磁盘,那么可以轻松重置系统密码:
- 将硬盘拿到一个可以设UEFI/BIOS从CD启动的电脑;
- 使用紧急介质启动系统;
- 用读写访问挂载根分区;
- 编辑根分区的 /etc/passwd 文件,使root账户条目的第二段为空;
- 重启系统,就可以无密码访问了。
2.2、操作安全
sudo程序是为了使一个系统管理员可以给用户受限的root权限并记录root活动而设计的。sudo只需要一个普通用户的密码。
2.3、服务安全
对系统安全而言,尽可能的禁用(或限用)服务程序,是一个好的主意。网络服务是危险的,有不使用的服务,不管是直接由后台守护进程激活,还是通过第三方程序激活,都被认为是安全风险。
2.4、数据安全
数据安全的基础设施是数据加密、讯息摘要和签名工具的结合,以下为数据安全工具列表。
gnupg #GNU隐私卫士 - OpenPGP加密和签名工具 gpgv #GNU隐私卫士 - 签名验证工具 paperkey #从OpenPGP私钥里面,仅仅导出私密信息 cryptsetup #dm-cryp块设备加密支持LUKS工具 coreutils #计算与校验MD5讯息摘要 coreutils #计算与校验SHA1讯息摘要 openssl #使用OpenSSL的计算信息摘要 libsecret-tools #存储和取回密码 seahorse #密钥管理工具
三、Debian11 系统安全 总结
Debian11教程 - Debian11 系统安全,主要引导用户快速理解Debian11 环境下系统安全概念,从安全工具和安全端口开始,逐步到 Debian11 服务与数据安全等,通篇实用易懂,让入门变得更加快速和简单。
《Debian11教程》主打原创、全部免费,欢迎学习和转载,如需交流请加微信号:try8_cn。