借助Linux，提升系统安全性的优化之道（linux系统安全优化）

Linux开源操作系统，拥有着异常棒的性能和安全性，被广泛应用于企业级系统框架中，但仅仅利用Linux系统自身特性也无法体现出其应有的安全性能。下面我就用一些实操演示，借助Linux系统功能，来优化系统的安全性。

第一步：优化系统配置文件

Linux系统的安全取决于系统的配置，系统的配置核心文件就是/etc/sysctl.conf文件。优化这个文件可以提高系统的安全性，主要是包括以下参数的配置：

1.net.ipv4.icmp_echo_ignore_all：禁止响应ping包

net.ipv4.icmp_echo_ignore_all=1

2.net.ipv4.conf.all.log_martians：拒绝来自未知地址的数据包

net.ipv4.conf.all.log_martians=1

3.net.ipv4.conf.all.accept_source_route：禁止接受源路由信息

net.ipv4.conf.all.accept_source_route= 0

4.net.ipv4.conf.all.accept_redirects：禁止接受重定向

net.ipv4.conf.all.accept_redirects=0

5.fs.suid_dumpable：禁止解个内核转储

fs.suid_dumpable = 0

另外，还可以这样配置用户权限文件/etc/passwd和/etc/shadow：

1、设置密码过期 ：

sudo chage -M 90 {指定用户}

2、设置最少字符限制：

sudo pam-config –add –cracklib

3、禁止某用户登陆：

sudo usermod –s /sbin/nologin {指定用户}

第二步：利用防火墙提升安全性

Linux系统自带有iptables防火墙，可以视情况配置相应的防火墙规则，来提升系统的安全性。比如可以拒绝 ping 包的接收：

iptables -A INPUT -p icmp –icmp-type 8 -j DROP

还可以拒绝指定 IP 地址的访问：

iptables -A INPUT -s {指定IP} -j DROP

第三步：应用 SELinux 安全策略

SELinux 是一款基于 Linux 系统的安全策略，它能够极大减少系统的安全漏洞，在生产环境中可以开启 SELinux 来实现更加严格的安全策略。

首先，查看当前 SELinux 状态

# getenforce

如果是 disabled ，则可以设置 SELinux 为 enforcing 状态

# setenforce 1

第四步：启用安全日志

Linux 系统还提供了安全日志机制，可以记录所有有关系统安全的日志纪录，我们可以开启安全日志：

# tail -f /var/log/secure

这样，可以实时查看有关安全的日志记录，从而更加明确的系统的安全状况，以提升系统的安全性。

总结：

首先，借助Linux系统，我们可以优化系统的配置，增加系统的安全性；再者，可以利用Linux系统自带的防火墙功能，来拒绝恶意数据包等方式，提升系统的安全度；最后，也可以利用SELinux和安全日志等固有功能，更加彻底的安全系统。