linux补丁服务器

A. linux 怎么打补丁

linux打补丁总共有四个正模首步骤，具举数体操作如下：
1、首先登录VMware上安装的一台centos主机，网络处于联网状态，命令一般为cat/etc/redhat-release。

2、然后在终端上输入yumupdate，按下回车，就会开始进行版本包的下载和依赖分析。

码纯3、一般会提示是否确认下载，输入“y”确认，即可开始下载，并且能够看到下载的百分比。

4、如果出现complete则说明软件和补丁已经更新完成了。

以上就是的分享了，希望能够帮助到大家。
本文章基于ThinkpadE15品牌、centos7系统撰写的。

B. 如何做好Linux服务器安全维护

首先，这些恶意的攻击行为，旨在消耗服务器资源，影响服务器的正常运作，甚至攻击到服务器所在网络瘫痪。还有一方面，就是入侵行为，这种大多与某些利益有关联，有的涉及到企业的敏感信息，有的是同行相煎。
第一，做好硬件维护
当处理数据越来越多，占用资源也随之增多时，服务器就需要更多的内存和硬盘容量来储存这些资源，因此，每隔段时间后服务器需要升级，可是需要注意的增加内存或者硬盘时，要考虑到兼容性、稳定性，否则不同型号的内存有可能会引起系统出错。
还有对设备进行卸载和更换时，需要仔细阅读说明书，不要强行拆卸，而且必须在完全断电，服务器接地良好的情况下进行，防止静电对设备造成损坏。
同样，服务器的最大杀手尘土，因此需要定期给服务器除尘。特别要注意电源的除尘。
第二，做好数据的备份
对企业来说，服务器上的数据是非常宝贵，如果数据库丢失了，损失是非常巨大的，因此，企业需对数据进行定期备份，以防万一。一般企业都需要每天对服务器上的数据进行备份，而且要将备份数据放置在不同服务器上，
数据需要备份，同样需要防盗。可以通过密码保护好磁带并且如果你的备份程序支持加密功能，你还可以加密这些数据。同时，要定好备份时间，通常备份的过程会选择在晚上10点以后进行，到半夜结束。
第三，定期做好网络检查
第四，关闭不必要的服务，只开该开的端口
对于初学者，建议在所有的工作站上使用Windows 2000。Windows 2000是一个非常安全的操作系统。如果你并不想这样做，那么至少使用Windows NT。你可以锁定工作站，使得一些没有安全访问权的人想要获得网络配置信息变得困难或是不可能。
或者关闭那些不必要开的服务，做好本地管理和组管理。Windows系统有很多默认的服务其实没必要开的，甚至可以说是危险的，比如：默认的共享远程注册表访问(Remote Registry Service)，系统很多敏感的信息都是写在注册表里的，如pcanywhere的加密密码等。
关闭那些不必要的端口。一些看似不必要的端口，确可以向黑客透露许多操作系统的敏感信息，如windows 2000 server默认开启的IIS服务就告诉对方你的操作系统是windows 2000。69端口告诉黑客你的操作系统极有可能是linux或者unix系统，因为69是这些操作系统下默认的tftp服务使用的端口。对端口的进一步访问，还可以返回该服务器上软件及其版本的一些信息，这些对黑客的入侵都提供了很大的帮助。此外，开启的端口更有可能成为黑客进入服务器的门户。
以上是服务器日常操作安全维护的一些技巧。

C. Linux服务器操作系统简介及版本介绍

Linux操作系统在服务器方面的应用越来越好。下面由我为大家整理了Linux服务器操作系统的简介及版本介绍，希望对大家有帮助!

Linux服务器操作系统简介及版本介绍

一、Linux服务器操作系统简介

Linux服务器操作系统和一般的Linux发行版有什么区别?考虑服务器硬件。服务器本质上是具有专门规格的计算机。例如，服务器硬件确保最大的正常运行时间，效率和安全性。此外，服务器平衡计算能力和功耗。类似地，Linux服务器操作系统优先考虑安全性和资源消耗。

Linux服务器操作系统向客户端设备提供内容。因此，服务器操作系统提供了用于简单服务器创建的工具。由于服务器通常以命令行方式进行配置和运行，因此Linux服务器操作系统的图形用户界面(GUI)不重要。

根据IDC，硬件销售数据表明，28%的服务器是基于Linux的。虽然有专用的Linux服务器操作系统，还可以选择滚动安装版本。选择的关键是操作系统应该能提供长期服务(LTS)迭代并支持安装所需的软件。LTS的发行版提供了稳定性和更长的支撑周期。

当选择Linux服务器操作系统时，还要考虑使用用途。比如将Linux计算机用作媒体服务器与设置游戏服务器是不同的。

二、Linux服务器操作系统版本介绍

1. Ubuntu Server

Ubuntu可以说是最知名的Linux操作系统。而且社区有大量的Ubuntu衍生产品，它是一个稳定的发行版。Ubuntu及其变体提供了优秀的用户体验。Ubuntu Server有两个版本：LTS和滚动版本。LTS的Ubuntu Server发行版拥有五年的支持周期。虽然非LTS的Ubuntu Server发行版支持周期不是五年，但也提供了九个月的安全和维护更新。

虽然Ubuntu和Ubuntu Server非常相似，但服务器提供了不同的组件。值得注意的是，Ubuntu Server提供了OpenStack Mitaka、Nginx和LXD。这些内容能满足系统管理员的需求。使用Ubuntu Server版，可以启动Web服务器、部署容器等。而且它是即开即用的服务器软件。

虽然Ubuntu LTS不是一个服务器发行版，但它也提供了五年的支持周期。我目前使用Ubuntu 16.04 LTS来运行专用的Plex服务器以及Linux游戏服务器。LTS发行版可以很好地作为Linux服务器操作系统。只需自己安装服务器软件即可。

谁应该使用它：

如果你刚接触Linux或服务器操作系统，Ubuntu是一个优秀的选择。Ubuntu仍然是最流行的Linux发行版之一，而且它对用户友好。因此，Ubuntu Server是一个梦幻般的入门级Linux服务器操作系统。它作为媒体服务器、游戏服务器或电子邮件服务器是一流的选择。更高级的服务器设置也适合Ubuntu服务器，但它绝对是一个基本的服务器和新手用户的选择。

2. openSUSE

SUSE Linux于1993年首次推出。直到2015年，开源版本的openSUSE迁移到SUSE Linux Enterprise(SLE)。提供了两个openSUSE衍生版：Leap和Tumbleweed。Leap具有更长的发布周期，而Tumbleweed则是滚动发布版。Tumbleweed更适合高级用户使用其最新的软件包，比如Linux内核和SAMBA等。Leap版则有更好的稳定性和成熟度。两者都支持更新操作系统。

企业客户不能承受不稳定、不成熟和未经测试的包。一切都必须严格测试，以确保业务不会出现问题，并导致损失。故Leap版可以确保企业客户的需求。

openSUSE算是一个梦幻般的Linux服务器操作系统。openSUSE包含了用于自动测试的openQA，用于在多个平台上进行Linux映像部署的Kiwi，用于Linux配置的YaST以及全面的软件包管理器Open Build Service。早些时期，SUSE并没有像Redhat和Canonical那样提供免费的企业发行版，如CentOS和Ubuntu，直到Leap版的发布。SUSE官方称，Leap是一个替代Ubuntu、CentOS和Debian的生产服务器的优秀选择。以前openSUSE遵循9个月的发布周期，即每9个月发布一个新的主要版本。而Leap则遵循SLE的发布周期。

谁应该使用它：

openSUSE更适合于像系统管理员这样的强大用户。它是一个伟大的Web 服务器、家庭服务器或家庭服务器/ Web服务器组合。系统管理员可以从诸如Kiwi，YaST，OBS和openQA之类的工具中获益。openSUSE的多功能性使其成为最好的Linux服务器操作系统之一。除了稳固的服务器功能外，openSUSE还提供了一个漂亮的桌面环境。

3. Oracle Linux

如果你在考虑Oracle Linux，这很正常。oracle Linux是由数据库巨头Oracle提供的Linux发行版。它有两个内核。其中一个内核特性是红帽兼容内核RHCK(Red Hat Compatible Kernel)，即提供了与Red Hat Enterprise Linux(RHEL)发行版相同的内核。Oracle Linux有认证，可以在联想、IBM和HP等大量硬件上工作。Oracle Linux提供了Ksplice特性，增强了内核的安全性。另外还支持Oracle、openstack、Linux容器和Docker。其品牌标识为Oracle企鹅。

Oracle Linux提供了技术支持，但需要付费。除非你在企业环境中运行Oracle Linux，否则不值得这么付出。如果需要构建公有云或私有云，Oracle Linux是一个优秀服务器操作系统选择。

谁应该使用它：

Oracle Linux最适合数据中心或用于创建基于OpenStack的云。而更高级的家庭服务器用户和企业级设置也适合使用Oracle Linux。

4. 容器Linux(前身为CoreOS)

CoreOS于2016年更名为Container Linux。顾名思义，Container Linux是一个用于部署容器的Linux操作系统。它聚焦于简化容器的部署。容器Linux是提供了安全的、高可扩展的、支持容器部署的一流操作系统。集群化的部署非常容易，其发行版包含了服务发现的方法。并提供了Kubernetes、docker和rkt的文档和支持。

但是，容器Linux没有提供包管理器。所有应用程序必须在容器中运行，因此容器化是强制必需的。然而，如果你正在使用容器，那么容器Linux是提供了容器及其集群等基础设施最好的Linux服务器。它提供了一个etcd工具，作为守护进程运行于集群中的每个计算机上。当然你也有安装的灵活性。除了内部部署安装外，您还可以在虚拟化介质(如Azure，VMware和Amazon EC2)上运行Container Linux。

谁应该使用它：

容器Linux最适合集群基础设施的服务器或容器化部署。这并不意味着它不是家庭服务器的选择。如果使用来自Plex的官方Docker镜像，Container Linux可以作为基本家庭媒体服务器或者是复杂集群设置的任何服务器。最终，如果你很喜欢容器，那么应该使用Container Linux。

补充：Linux服务器操作系统如何选择

(1)Debian与Ubuntu的选择

Ubuntu是基于Debian所开发，可以简单地认为Ubuntu是Debian的功能加强版。与Debian相比，Ubuntu提供了更人性化系统配置，更强大的系统操作以及比Debian更激进的软件更新。Ubuntu与Debian比较，可以认为Debian更趋向于保守一些，Ubuntu对新手友好度更高，上手更容易。用过Ubuntu的都会体会到它的易用，反之如果用过Ubuntu再换到别的系统，都会觉得不适应，Ubuntu真的很方便。

在此解释下Ubuntu的版本支持时间。Ubuntu普通版本只提供18个月的技术支持，过期则不管。LTS服务器版本提供长达五年的技术支持。Ubuntu 10.10是个普通版，现在已经过了支持周期了。如果你用了，很好，你会发现你安装不了任何软件，10.10的软件已经从Ubuntu软件源中被移除了。

所以建议大家选择12.04 LTS版，提供长达5年的技术支持，可以确保在静候相当长的一段时间内你的服务器可以继续收到系统升级补丁以及可用的软件源。

(2)Red Hat和Centos选择

Red Hat跟Centos就没那么多差别了。

Red Hat是付费操作系统，你可以免费使用，但是如果要使用Red Hat的软件源并且想得到技术支持的话，是要像Windows那样掏钱的，所以大家可以理解为Linux中的Windows。这么做符合开源精神，免费使用，服务收费。

Centos是Red Hat的开源版本。一般在Red Hat更新之后，Centos会把代码中含有Red Hat专利的部分去掉，同时Red Hat中包含的种种服务器设置工具也一起干掉，然后重新编译就是Centos。

从某种意义上说，Centos几乎可以完完全全看成是Red Hat，这两个版本的rpm包都是可以通用的。

那么这样问题就简单了。如果你舍得花钱买技术支持，并且想得到完善的技术服务，请去买Red Hat的授权，你会得到如Windows一般强大的技术支持的。如果你只想用，什么付费技术支持什么专有软件都是浮云，那么用Centos吧。

D. linux服务器的如何增强企业Linux服务器可用性

Linux服务器利用SLES 12利用“永久在线”功能集诱导企业级IT组织使用Linux服务器操作系统，这些岁毁兄功能包括基于Btrfs的快照、热补丁以及高可用性。
SUSE主席Nils Brauckmann表示，SUSE想打造一个可靠的Linux服务器版本，其更新旨在确保连续不间断服务。 Linux服务器内核更新需要服务器重新启动，就是说Linux服务器管理员无法给关键业务或基本服务器打补丁。即使几分钟的宕机在企业数据中心中也是无法容忍的。这让很多服务器运行着没打补丁的软件，脆弱易受攻击。热补丁解决了这个问题。
SUSE高级产品经理Matthias Eckermann表示，热补丁的特点是在系统中乎袭部署简单并且零中断交互。余冲
热补丁功能可让IT企业在大型服务器集群中使用Linux服务器运行关键业务系统、内存数据库、扩展模拟或者快速修复。 管理员可以使用Btrfs作为SLES 12上根卷的默认文件系统，替换原来的ext3。SUSE从SLES 11开始就避免用ext4作为默认文件系统，更关注在Btrfs上的开发。对手红帽将Btrfs纳入其RHEL 7中，只是作为一个技术预览，没有对文件系统进行用户支持，默认使用Ext4。
SLES 12引入snapper工具，在写入的B-tree file system (Btrfs) 快照上恢复崩溃的系统。Snapper能让管理员基于Btrfs快照轻松恢复到之前的文件系统状态。SUSE将snapper作为一个功能加入到Grub2启动菜单中，显示服务器上一次工作状态，并在检修崩溃服务器期间节省时间。 SUSE SLES的第三个大特点是Pacemaker High Availability集群格式。Pacemaker保证可以将故障自动转移到集群中的另一台服务器上。
Pacemaker是用于Linux的首个高可用性解决方案，Red Hat Enterprise Linux 7中也能看到它的身影。

E. Linux中最常用的Web服务器软件是什么有何特点

apache

Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上。
Apache源于NCSAhttpd服务器，经过多次修改，成为世界上最流行的Web服务器软件之一。Apache取自“a patchy server”的读音，意思是充满补丁的服务器，因为它是自由软件，所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache的特点是简单、速度快、性能稳定，并可做代理服务器来使用。
本来它只用于小型或试验Internet网络，后来逐步扩充到各种Unix系统中，尤其对Linux的支持相当完美。Apache有多种产品，可以支持SSL技术，支持多个虚拟主机。Apache是以进程为基础的结构，进程要比线程消耗更多的系统开支，不太适合于多处理器环境，因此，在一个Apache Web站点扩容时，通常是增加服务器或扩充群集节点而不是增加处理器。到目前为止Apache仍然是世界上用的最多的Web服务器，市场占有率达60%左右。世界上很多著名的网站如Amazon.com、Yahoo!、W3 Consortium、Financial Times等都是Apache的产物，它的成功之处主要在于它的源代码开放、有一支开放的开发队伍、支持跨平台的应用（可以运行在几乎所有的Unix、Windows、Linux系统平台上）以及它的可移植性等方面。
Apache的诞生极富有戏剧性。当NCSA WWW服务器项目停顿后，那些使用NCSA WWW服务器的人们开始交换他们用于该服务器的补丁程序，他们也很快认识到成立管理这些补丁程序的论坛是必要的。就这样，诞生了Apache Group，后来这个团体在NCSA的基础上创建了Apache。
Apache web服务器软件拥有以下特性：
支持最新的HTTP/1.1通信协议
拥有简单而强有力的基于文件的配置过程
支持通用网关接口
支持基于IP和基于域名的虚拟主机
支持多种方式的HTTP认证
集成Perl处理模块
集成代理服务器模块
支持实时监视服务器状态和定制服务器日志
支持服务器端包含指令(SSI)
支持安全Socket层(SSL)
提供用户会话过程的跟踪
支持FastCGI
通过第三方模块可以支持java Servlets
如果你准备选择Web服务器，毫无疑问Apache是你的最佳选择。

Apache有名的几个项目介绍
HTTP Server
这个在前面的段落介绍过了，Apache已经是他的代号了
ActiveMQ
免费开源由java编写符合JMS1.1标准的消息中间件。
另外，它也支持通过除java语言外的语言的使用
Ant
这个太出名了。标准的批处理工具。是一套基于java的程序打造工具
Commons
一些常用的工具类库，包括common-pool,dbcp,fileupload,Common-beans等。
Excalibur
它的主要产品是一个由java写成的，名字叫做Fortress（要塞） 的轻量级的可嵌入式反向控制容器。
iBATIS
并入的一个项目，是ORM的一个很流行的工具
Geronimo
是Apache软件基金会为了创造一个兼容j2ee的容器，而整理出来的一个新成果
Jakarta
许多Java子项目的集成，tomcat,ant等就是从这里孵化出去的。
James
是一套用java开发的邮件、新闻组、消息服务器。它使用的avalon组件框架。目前支持 SMTP, POP3 和 NNTP 很快也会支持 IMAP
Logging
基于java的可靠，快速，扩展性强的日志工具
Maven
是一套java开发的工程综合管理工具。它基于工程对象模型(POM)的理念
Portals
门户产品
Struts
一套通过servlets和jsp来搭建web应用的MVC框架
Tomcat
用量最大的免费的Java服务器

F. 求助大虾们，linux怎么给mysql漏洞打补丁

找个MySQL软件
然后由于手动安装MYSQL，需要在系统中建立名为mysql的用户和组，并制定musql用户的宿主目录是"/usr/local/mysql/data"
# groupadd -g 200 mysql
# useradd -u 200 -g mysql -d /usr/local/mysql/data -M mysql
然后将软件包释放到"/usr/local/“目录中，为了方便管理，用ln命令建立该目录的符号链接目录为mysql。
# tar zxvf MySQL-server-5.1.53-1.glibc23.i386.tar.gz -C /usr/local/
#cd /usr/local/
# ln -s MySQL-server-5.1.53-1.glibc23.i386/ mysql
然后在"var/lib"建立名为mysql的子目录，并设置目录和MYSQL服务器安装目录的属主和属组
# mkdir /var/lib/mysql
# chown -R mysql :mysql /var/lib/mysql
# chown -R root :mysql /usr/local/MySQL-server-5.1.53*
# chown -R mysql :mysql /usr/local/mysql/data/
然后进入到MySQL的服务器程序的目录，复制mysql的配置文件my.cnf到"/etc"目录中，并执行mysql.install_db命令初始化MySQL服务器中的数据库。
# cd /usr/local/mysql
#cp support-files/my-medium.cnf /etc/my.cnf
如果mysql的RPM包在系统中已经安装，"/etc"目录会存在my.cnf文件，将提示覆盖原有的my.cnf文件
cp:overweite '/etc/my.cnf'? y
# ./scripts/mysql_install_db
然后设置"/var/lib/mysql/"和"/usr/local/mysql/data/"两个目录中的所有文件属于mysql用户和用户组，以保证访问权限。
# chown -R mysql :mysql /var/lib/mysql/
#chown -R mysql :mysql /usr/local/mysql/data/
然后使用safe_mysqld 命令启动MYSQL服务器运行，并制定MYSQL服务程序以系统用户mysql的身份运行
# /usr/local/mysql/bin/safe_mysqld --user=mysql &
由于数据库管理用户root的初始密码为空所以要设置
# /usr/local/mysql/bin/mysqladmin -u root password ‘密码'
最后指定登录数据库的用户名
# /usr/local/mysql/bin/mysql -u root -p (-p是设置提示用户输入口令)。
不知道对你有没有帮助 有空看看吧

G. 怎样在100台linux服务器上同时安装一个软件或者更新一个补丁

应该是远程控制抄方式运行一个脚本吧袭？
这个过程可以自己写脚本搞定（不过我可不会写）。

不过我记得 Linux 好像有这种分布式统一控制的软件，如果你是买了 RH 或者 SUSE 的服务，他们应该有这种控制软件可以提供。

H. 关于linux的漏洞补丁

由于最近Bash爆发了一个严重的漏洞，故此影响了市面上几乎所有的Linux系统。处于安全的角度考虑客户要求为每一个受影响的主机都进行漏洞修补。由于公司使用的是红帽系统故此安全也同样受到影响。
（题外话：红帽的补丁需要收费才能下载，作为穷人我表示无奈，问了一下公司也表示没有购买红帽的服务，红帽的服务一般是按着CPU颗数算的，好像是两颗为一组，一组服务（红帽的人管服务叫订阅）5×8服务价格为799美元，7×24的价格为1299美元。）
有漏洞的服务器执行以下命令会有"vulnerable"和"this is a test"的信息提示，如图：

如果没有漏洞或者漏洞已修补则只提示"this is a test"。
由于公司没有购买红帽服务故此从第三方渠道获得了补丁。（花了我好多积分，肉疼）
设计到的服务器有两种，一种是Red Hat Enterprise Linux Server release 5系统是32为的，系统上的bash为bash-3.2-24.el5。
拿到的补丁文件有bash-3.2-33.el5_11.4.i386.rpm这个文件是适合我这个版本使用。
上传到服务器上，开始安装。

顺利安装完成，再次执行测试语句得知漏洞已修补。

另一种为Red Hat Enterprise Linux Server release 6也是32位的，bash的版本为bash-4.1.2-8.el6.i686。这台比较麻烦得到的补丁包为bash-4.1.2-15.el6_5.2.src.rpm。一般来讲这种src的包都是为编译的，需要编译之后生成正常的rpm来进行安装。突然脑子抽筋了直接进行了安装，结果就报错了，如图：

后来想起来未编译的src的包需要进行编译然后才能生成正常的rpm包。
把src的包上传到服务器上，然后如下命令进行编译：
rpmbuild --rebuildbash-4.1.2-15.el6_5.2.src.rpm编译之后看提示在/root/rpmbuild/RPMS/i686/目录下生成了若干个包。

进入/root/rpmbuild/RPMS/i686/在下面找到bash-4.1.2-15.el6.2.i686.rpm这个包进行安装，再次测试漏洞已修复完成，如图：

剩下的就是还剩了几台红帽6的服务器，拿着这个编译好的包，到各个服务器上安装即可。到此为止宣布修复完成。
有需要红帽5和6补丁包的朋友我在这里提供了下载地址，32和64位的都在这里，上传Linux公社1号FTP服务器中了，请需要的朋友可以下载并参考以上步骤安装即可。
------------------------------------------分割线------------------------------------------
FTP地址：ftp://ftp1.linuxidc.com
用户名：ftp1.linuxidc.com
密码：www.linuxidc.com
www.jy18.cn
在 2014年LinuxIDC.com\10月\Bash漏洞最新补丁安装教程【附下载】
下载方法见 http://www.linuxidc.com/Linux/2013-10/91140.htm
------------------------------------------分割线------------------------------------------
Gitlab-shell 受 Bash CVE-2014-6271 漏洞影响 http://www.linuxidc.com/Linux/2014-09/107181.htm
Linux再曝安全漏洞Bash 比心脏出血还严重 http://www.linuxidc.com/Linux/2014-09/107176.htm
解决办法是升级 Bash，请参考这篇文章。http://www.linuxidc.com/Linux/2014-09/107182.htm
Linux Bash安全漏洞修复 http://www.linuxidc.com/Linux/2014-10/107609.htm
更多RedHat相关信息见RedHat 专题页面 http://www.linuxidc.com/topicnews.aspx?tid=10
本文永久更新链接地址：http://www.linuxidc.com/Linux/2014-10/107851.htm

I. linux服务器双硬盘优缺点

linux服务器双硬盘优缺点：

优点：硬件上差派慎来说，linux可以使用非X86架构的cpu，例如power系列的精简指令集的cpu，另外linux对硬件要虚敬求比windows低很多。

缺点：windows很多功能模仿自unix系统，而linux和unix全兼容，所以很多专业服务强过windows很多。

服务器可用性：

Linux服务器利用SLES 12利用“永久在线”功能集诱导企业级IT组织使用Linux服务器操作系统，这些功能包括基于Btrfs的快照、热补丁以及高可用性。

SUSE主席Nils Brauckmann表示，SUSE想打造一个可靠的Linux服务器版本，其更新旨在确保连续不间断服务。

Linux服务器内核更新需要服务器重新启动，就是说Linux服务器管理员无法给关键业务或基本服务器打补丁。即使几分钟的宕机在企业数据中心中也是无法容忍的。这让很多服务器运行羡派着没打补丁的软件，脆弱易受攻击。热补丁解决了这个问题。

J. Linux服务器的安全防护都有哪些措施

随着开源系统Linux的盛行，其在大中型企业的应用也在逐渐普及，很多企业的应用服务都是构筑在其之上，例如Web服务、数据库服务、集群服务等等。因此，Linux的安全性就成为了企业构筑安全应用的一个基础，是重中之重，如何对其进行安全防护是企业需要解决的一个基础性问题，基于此，本文将给出十大企业级Linux服务器安全防护的要点。 1、强化：密码管理 设定登录密码是一项非常重要的安全措施，如果用户的密码设定不合适，就很容易被破译，尤其是拥有超级用户使用权限的用户，如果没有良好的密码，将给系统造成很大的安全漏洞。 目前密码破解程序大多采用字典攻击以及暴力攻击手段，而其中用户密码设定不当，则极易受到字典攻击的威胁。很多用户喜欢用自己的英文名、生日或者账户等信息来设定密码，这样，黑客可能通过字典攻击或者是社会工程的手段来破解密码。所以建议用户在设定密码的过程中，应尽量使用非字典中出现的组合字符，并且采用数字与字符相结合、大小写相结合的密码设置方式，增加密码被黑客破解的难度。而且，也可以使用定期修改密码、使密码定期作废的方式，来保护自己的登录密码。 在多用户系统中，如果强迫每个用户选择不易猜出的密码，将大大提高系统的安全性。但如果passwd程序无法强迫每个上机用户使用恰当的密码，要确保密码的安全度，就只能依靠密码破解程序了。实际上，密码破解程序是黑客工具箱中的一种工具，它将常用的密码或者是英文字典中所有可能用来作密码的字都用程序加密成密码字，然后将其与Linux系统的/etc/passwd密码文件或/etc/shadow影子文件相比较，如果发现有吻合的密码，就可以求得明码了。在网络上可以找到很多密码破解程序，比较有名的程序是crack和john the ripper.用户可以自己先执行密码破解程序，找出容易被黑客破解的密码，先行改正总比被黑客破解要有利。 2、限定：网络服务管理 早期的Linux版本中，每一个不同的网络服务都有一个服务程序(守护进程，Daemon)在后台运行，后来的版本用统一的/etc/inetd服务器程序担此重任。Inetd是Internetdaemon的缩写，它同时监视多个网络端口，一旦接收到外界传来的连接信息，就执行相应的TCP或UDP网络服务。由于受inetd的统一指挥，因此Linux中的大部分TCP或UDP服务都是在/etc/inetd.conf文件中设定。所以取消不必要服务的第一步就是检查/etc/inetd.conf文件，在不要的服务前加上“#”号。 一般来说，除了http、smtp、telnet和ftp之外，其他服务都应该取消，诸如简单文件传输协议tftp、网络邮件存储及接收所用的imap/ipop传输协议、寻找和搜索资料用的gopher以及用于时间同步的daytime和time等。还有一些报告系统状态的服务，如finger、efinger、systat和netstat等，虽然对系统查错和寻找用户非常有用，但也给黑客提供了方便之门。例如，黑客可以利用finger服务查找用户的电话、使用目录以及其他重要信息。因此，很多Linux系统将这些服务全部取消或部分取消，以增强系统的安全性。Inetd除了利用/etc/inetd.conf设置系统服务项之外，还利用/etc/services文件查找各项服务所使用的端口。因此，用户必须仔细检查该文件中各端口的设定，以免有安全上的漏洞。 在后继的Linux版本中(比如Red Hat Linux7.2之后)，取而代之的是采用xinetd进行网络服务的管理。 当然，具体取消哪些服务不能一概而论，需要根据实际的应用情况来定，但是系统管理员需要做到心中有数，因为一旦系统出现安全问题，才能做到有步骤、有条不紊地进行查漏和补救工作，这点比较重要。 3、严格审计：系统登录用户管理 在进入Linux系统之前，所有用户都需要登录，也就是说，用户需要输入用户账号和密码，只有它们通过系统验证之后，用户才能进入系统。 与其他Unix操作系统一样，Linux一般将密码加密之后，存放在/etc/passwd文件中。Linux系统上的所有用户都可以读到/etc/passwd文件，虽然文件中保存的密码已经经过加密，但仍然不太安全。因为一般的用户可以利用现成的密码破译工具，以穷举法猜测出密码。比较安全的方法是设定影子文件/etc/shadow，只允许有特殊权限的用户阅读该文件。 在Linux系统中，如果要采用影子文件，必须将所有的公用程序重新编译，才能支持影子文件。这种方法比较麻烦，比较简便的方法是采用插入式验证模块(PAM)。很多Linux系统都带有Linux的工具程序PAM，它是一种身份验证机制，可以用来动态地改变身份验证的方法和要求，而不要求重新编译其他公用程序。这是因为PAM采用封闭包的方式，将所有与身份验证有关的逻辑全部隐藏在模块内，因此它是采用影子档案的最佳帮手。 此外，PAM还有很多安全功能：它可以将传统的DES加密方法改写为其他功能更强的加密方法，以确保用户密码不会轻易地遭人破译;它可以设定每个用户使用电脑资源的上限;它甚至可以设定用户的上机时间和地点。 Linux系统管理人员只需花费几小时去安装和设定PAM，就能大大提高Linux系统的安全性，把很多攻击阻挡在系统之外。 4、设定：用户账号安全等级管理 除密码之外，用户账号也有安全等级，这是因为在Linux上每个账号可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应该根据需要赋予该账号不同的权限，并且归并到不同的用户组中。 在Linux系统中的部分文件中，可以设定允许上机和不允许上机人员的名单。其中，允许上机人员名单在/etc/hosts.allow中设置，不允许上机人员名单在/etc/hosts.deny中设置。此外，Linux将自动把允许进入或不允许进入的结果记录到/var/log/secure文件中，系统管理员可以据此查出可疑的进入记录。 每个账号ID应该有专人负责。在企业中，如果负责某个ID的职员离职，管理员应立即从系统中删除该账号。很多入侵事件都是借用了那些很久不用的账号。 在用户账号之中，黑客最喜欢具有root权限的账号，这种超级用户有权修改或删除各种系统设置，可以在系统中畅行无阻。因此，在给任何账号赋予root权限之前，都必须仔细考虑。 Linux系统中的/etc/securetty文件包含了一组能够以root账号登录的终端机名称。例如，在RedHatLinux系统中，该文件的初始值仅允许本地虚拟控制台(rtys)以root权限登录，而不允许远程用户以root权限登录。最好不要修改该文件，如果一定要从远程登录为root权限，最好是先以普通账号登录，然后利用su命令升级为超级用户。 5、谨慎使用：“r系列”远程程序管理 在Linux系统中有一系列r字头的公用程序，比如rlogin，rcp等等。它们非常容易被黑客用来入侵我们的系统，因而非常危险，因此绝对不要将root账号开放给这些公用程序。由于这些公用程序都是用。rhosts文件或者hosts.equiv文件核准进入的，因此一定要确保root账号不包括在这些文件之内。 由于r等远程指令是黑客们用来攻击系统的较好途径，因此很多安全工具都是针对这一安全漏洞而设计的。例如，PAM工具就可以用来将r字头公用程序有效地禁止掉，它在/etc/pam.d/rlogin文件中加上登录必须先核准的指令，使整个系统的用户都不能使用自己home目录下的。rhosts文件。 6、限制：root用户权限管理 Root一直是Linux保护的重点，由于它权力无限，因此最好不要轻易将超级用户授权出去。但是，有些程序的安装和维护工作必须要求有超级用户的权限，在这种情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。 sudo程序允许一般用户经过组态设定后，以用户自己的密码再登录一次，取得超级用户的权限，但只能执行有限的几个指令。例如，应用sudo后，可以让管理磁带备份的管理人员每天按时登录到系统中，取得超级用户权限去执行文档备份工作，但却没有特权去作其他只有超级用户才能作的工作。 sudo不但限制了用户的权限，而且还将每次使用sudo所执行的指令记录下来，不管该指令的执行是成功还是失败。在大型企业中，有时候有许多人同时管理Linux系统的各个不同部分，每个管理人员都有用sudo授权给某些用户超级用户权限的能力，从sudo的日志中，可以追踪到谁做了什么以及改动了系统的哪些部分。 值得注意的是，sudo并不能限制所有的用户行为，尤其是当某些简单的指令没有设置限定时，就有可能被黑客滥用。例如，一般用来显示文件内容的/etc/cat指令，如果有了超级用户的权限，黑客就可以用它修改或删除一些重要的文件。 7、追踪黑客踪迹：日志管理 当用户仔细设定了各种与Linux相关的配置(最常用日志管理选项)，并且安装了必要的安全防护工具之后，Linux操作系统的安全性的确大为提高，但是却并不能保证防止那些比较熟练的网络黑客的入侵。 在平时，网络管理人员要经常提高警惕，随时注意各种可疑状况，并且按时检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时，要注意是否有不合常理的时间记载。例如： 正常用户在半夜三更登录; 不正常的日志记录，比如日志只记录了一半就切断了，或者整个日志文件被删除了; 用户从陌生的网址进入系统; 因密码错误或用户账号错误被摈弃在外的日志记录，尤其是那些一再连续尝试进入失败，但却有一定模式的试错法; 非法使用或不正当使用超级用户权限su的指令; 重新开机或重新启动各项服务的记录。 上述这些问题都需要系统管理员随时留意系统登录的用户状况以及查看相应日志文件，许多背离正常行为的蛛丝马迹都应当引起高度注意。 8、横向扩展：综合防御管理 防火墙、IDS等防护技术已经成功地应用到网络安全的各个领域，而且都有非常成熟的产品。 在Linux系统来说，有一个自带的Netfilter/Iptables防火墙框架，通过合理地配置其也能起到主机防火墙的功效。在Linux系统中也有相应的轻量级的网络入侵检测系统Snort以及主机入侵检测系统LIDS(Linux Intrusion Detection System)，使用它们可以快速、高效地进行防护。 需要提醒注意的是：在大多数的应用情境下，我们需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口对来过滤网络流量，而IDS更加具体，它需要通过具体的数据包(部分或者全部)来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势，最终实现综合防御。 9、评测：漏洞追踪及管理 Linux作为一种优秀的开源软件，其自身的发展也日新月异，同时，其存在的问题也会在日后的应用中慢慢暴露出来。黑客对新技术的关注从一定程度上来说要高于我们防护人员，所以要想在网络攻防的战争中处于有利地位，保护Linux系统的安全，就要求我们要保持高度的警惕性和对新技术的高度关注。用户特别是使用Linux作为关键业务系统的系统管理员们，需要通过Linux的一些权威网站和论坛上尽快地获取有关该系统的一些新技术以及一些新的系统漏洞的信息，进行漏洞扫描、渗透测试等系统化的相关配套工作，做到防范于未然，提早行动，在漏洞出现后甚至是出现前的最短时间内封堵系统的漏洞，并且在实践中不断地提高安全防护的技能，这样才是一个比较的解决办法和出路。 10、保持更新：补丁管理 Linux作为一种优秀的开源软件，其稳定性、安全性和可用性有极为可靠的保证，世界上的Linux高手共同维护着个优秀的产品，因而起流通渠道很多，而且经常有更新的程序和系统补丁出现，因此，为了加强系统安全，一定要经常更新系统内核。 Kernel是Linux操作系统的核心，它常驻内存，用于加载操作系统的其他部分，并实现操作系统的基本功能。由于Kernel控制计算机和网络的各种功能，因此，它的安全性对整个系统安全至关重要。早期的Kernel版本存在许多众所周知的安全漏洞，而且也不太稳定，只有2.0.x以上的版本才比较稳定和安全(一般说来，内核版本号为偶数的相对稳定，而为奇数的则一般为测试版本，用户们使用时要多留意)，新版本的运行效率也有很大改观。在设定Kernel的功能时，只选择必要的功能，千万不要所有功能照单全收，否则会使Kernel变得很大，既占用系统资源，也给黑客留下可乘之机。 在Internet上常常有最新的安全修补程序，Linux系统管理员应该消息灵通，经常光顾安全新闻组，查阅新的修补程序。