服务器安全策略

1. 防病毒软件ClamAV

1）安装clamav-daemon，使ClamAV以daemon防护的方式运行。

   命令：sudo apt-get install clamav-daemon

2）安装clamav-freshclam包，是程序的病毒库升级包。

     命令：sudo freshclam      升级病毒定义库

在终端输入：clamscan 该命令运行对主文件夹的手动扫描，并报告扫描结果

                      clamscan -r /         扫描计算机上所有文件并显示所有的文件扫描结果

                      clamscan --help   查看命令参数   

查看 clamav-daemon 的进程是否已经运行：ps ax | grep clamd

2. 安全检查

   1）rkhunter

   安装：sudo apt-get install rkhunter

   更新：sudo rkhunter --update

   检查：sudo rkhunter --check

   2）chkrootkit

   安装：sudo apt-get install chkrootkit

   检查：sudo chkrootkit

   3）unhide

   安装：sudo apt-get install unhide

   a. unhide

   使用三种方法检查隐藏进程：

   命令：unhide proc 将/proc中的进程和/bin/ps的结果相对比

   命令：unhide sys 将系统调用和/bin/ps的结果相对比
   命令：unhide brute 整个PIDs空间遍历，逐个尝试

   b. unhide-tcp

   检查隐藏的tcp/udp网络端口：

   命令：unhide-tcp 遍历扫描所有有效端口，找出正在监听，且执行/bin/netstat命令不显示的隐藏端口。

3. 服务管理
   1）sysV-init：

   a. Boot-Up Manager（GUI）

   命令：sudo apt-get install bum

   b. sysv-rc-conf

   命令：sudo apt-get install sysv-rc-conf

   2）Upstart-init：

   命令：initctl list

            initctl  stop | start | restart   atd
   

   3）Systemd-init：

   命令：systemctl start | stop | restart | status httpd.service

             systemctl  enable | disable  httpd.service
   

4. 安全设置

   a. 常用命令：

     who：          查看当前谁登录到系统
   
     last：           显示系统曾经登录的用户和ttys
   
     history：      显示系统过去被运行到命令
   
     finger：        查看当前所有的登录用户
   

   b. 检查日志文件：/var/log/*.log

   c. 定期修改密码：sudo passwd auth

   d. 修改家目录的访问权限： chmod 0700 /home/auth

   e. 关键文件的md5指纹备份： find /bin -type f -exec md5sum {} ; > sum.md5

   f. 禁止root登录虚拟终端 vi /etc/securetty，注释掉 tty?

   g. 配置并使用AppArmor

   h. 禁用root用户：passwd -l root （锁定root 帐号）

                             usermod -s /usr/sbin/nologin  root  （设置root为nologin，这里还要注意nologin与/bin/false的区别）
   

   i. 锁定不希望被更改的系统文件： chattr +i /etc/passwd
   查看文件的属性状态： lsattr /etc/passwd

     解除锁定属性：  chattr -i /etc/passwd
   

   j. 关闭不必要的服务： initctl list | grep start （在已开启的服务中记下要关闭的服务名，以下两种方式都可以关闭服务）

    sudo mv /etc/init/apport.conf    /etc/init/apport    //
   
    sudo rm /etc/init.d/apport    //
   

   k. 禁止某些用户从终端登录：

     vi  /etc/pam.d/login                             取消注释(Ubuntu默认不开启)： account   required  pam_access.so
   
     vi  /etc/security/access.conf              - ：ALL EXCEPT  liu, lisa ：tty1   （除了liu, lisa 之外的所有用户不能从tty1 登录系统）
   

   l. 用户目录加密： /home/auth （EncFS、eCryptfs）

   m. 入侵检测工具： aide、Tripwire、psad、snort 等

   n. 剔除（限制）不安全的组件或包：samba、ssh、ftp、rlogin、rsh、rcp、rsync等

   o. pam的高级配置

扩展 ：

一、 及时安装系统补丁：不论是Windows还是Linux，任何操作系统都有漏洞，及时的打上补丁避免漏洞被蓄意攻击利用，是服务器安全最重要的保证之一。
二、 安装和设置防火墙：现在有许多基于硬件或软件的防火墙，很多安全厂商也都推出了相关的产品。
三、 安装网络杀毒软件：现在网络上的病毒非常猖獗，这就需要在网络服务器上安装网络版的杀毒软件来控制病毒传播，同时，在网络杀毒软件的使用中，必须要定期或及时升级杀毒软件，并且每天自动更新病毒库。
四、 关闭不需要的服务和端口：服务器操作系统在安装时，会启动一些不需要的服务，这样会占用系统的资源，而且也会增加系统的安全隐患。对于一段时间内完全不会用到的服务器，可以完全关闭。另外，还要关掉没有必要开的TCP端口。
五、 定期对服务器进行备份：为防止不能预料的系统故障或用户不小心的非法操作，必须对系统进行安全备份。
六、 账号和密码保护：号和密码保护可以说是服务器系统的第一道防线，目前网上大部分对服务器系统的攻击都是从截获或猜测密码开始。一旦黑客进入了系统，那么前面的防卫措施几乎就失去了作用，所以对服务器系统管理员的账号和密码进行管理是保证系统安全非常重要的措施。
七、 监测系统日志：通过运行系统日志程序，系统会记录下所有用户使用系统的情形，包括最近登录时间、使用的账号、进行的活动等。日志程序会定期生成报表，通过对报表进行分析，你可以知道是否有异常现象。