提高Linux安全:15步打造安全的Linux服务器

可能大多数人都觉得Linux是安全的吧？但我要告诉你，这种想法绝对是错误的！假设你的笔记本电脑在没有增强安全保护的情况下被盗了，小偷首先就会尝试用“root”（用户名）和“toor”（密码）来登录你的电脑，因为这是KaliLinux的默认用户名和密码，而大多数人仍然会继续使用它们。你是否也是这样？我希望你不是！

1-记录主机信息

每当你在对一台新的Linux主机进行安全增强工作时，你需要创建一个文档并在文档中记录下本文所列出的各种项目，而且在工作完成之后，你还要对这些项目进行核查。除此之外，在文档的开头处，你需要记录下这台Linux主机的相关信息：

设备名称IP地址Mac地址进行安全增强工作的负责人（其实就是你）日期资产编号（如果你在为一家企业工作，那么你就需要记录下这台设备的资产编号）2-BIOS保护

你需要为这台主机的BIOS设置一个密码，以确保终端用户无法修改或覆盖BIOS中的安全设置，这是非常重要的！BIOS的管理员密码设置完成之后，你需要禁止主机从外部媒体设备（USB/CD/DVD）启动。如果你忽略了这项设置，那么任何人都可以通过一个写入了启动镜像的U盘来访问这台主机中的数据。

在新版服务器的主板中内置有一个Web服务器，你可以利用它来远程访问主机中的数据。所以你要确保已经修改了服务器管理页面的默认密码，如果可以的话，请直接禁用这个功能。

3-硬盘加密（机密性）

大多数Linux发行版在进行安装之前，都允许你对磁盘进行加密。磁盘加密是非常重要的，因为当你的计算机被盗之后，就算小偷将你的硬盘插入他们自己的计算机中也仍然无法读取你的数据。

在下图中，选择列表中的第三个选项：Guided-use entire disk and set up encrypted LVM（LVM代表逻辑卷管理器）。

如果你的Linux发行版不支持加密的话，你可以选择使用类似TrueCrypt这样的加密软件。

4-磁盘保护（可用性）

数据备份是一个很好的习惯，当系统发生崩溃或系统更新出现故障时，备份的优点就突显出来了。对于某些重要的服务器来说，为了防止灾难（包括自然灾害和人为因素）带来的影响，备份数据通常需要进行离线存储。当然了，备份也需要我们花精力去管理。比如说，旧的备份文件需要保存多久？何时需要对系统进行备份？（每天？每周？还是每月？）

核心系统的磁盘需要进行多个分区：

//boot/usr/home/tmp/var/opt

磁盘分区可以在系统发生故障的情况下依然保障系统的性能和安全性。在下图中，你可以看到Kali Linux在安装的过程中所提供的分区选项。

5-锁定boot目录

boot目录中包含大量的重要文件，这些文件与Linux内核有关，所以你需要通过下列步骤来确保这个目录只开放了“只读”权限。首先，打开“fstab”文件。

接下来，将下图所示的最后一行数据添加进去。

这一步完成之后，你需要执行下列命令来设置该文件的拥有者：