以下是每個(gè)運(yùn)維管理員應(yīng)采取的必要步驟：

　　1.禁用Firewire和Thunderbolt模塊。

　　2.檢查防火墻，確保所有入口已過(guò)濾。

　　3.確保將root郵件轉(zhuǎn)發(fā)到您驗(yàn)證的帳戶。

　　4.設(shè)置操作系統(tǒng)自動(dòng)更新時(shí)間表，或更新提醒內(nèi)容。

　　此外，還應(yīng)考慮進(jìn)一步加固系統(tǒng)的最佳步驟之一：

　　1.檢查確保SSHD服務(wù)在默認(rèn)情況下被禁用。

　　2.在閑置一段時(shí)間后自動(dòng)鎖定屏幕保護(hù)程序。

　　3.安裝logwatch。

　　4.安裝和使用rkhunter。

　　5.安裝入侵檢測(cè)系統(tǒng)。

　　一、將相關(guān)模塊列入黑名單。

　　想把Firewire和Thunderbolt模塊列入黑名單，在/etc/modprobe.d/blacklist-dma.conf中添加以下幾行文件:

　　blacklistfire-core。

　　blacklisthunderbolt。

　　一旦系統(tǒng)重啟，上述模塊將被列入黑名單。即使你沒(méi)有這些端口，這樣做也沒(méi)有害處。

　　二.root郵件。

　　默認(rèn)情況下，root郵件完全保存在系統(tǒng)中，永遠(yuǎn)不會(huì)讀取。確保您設(shè)置/etc/aliases，將root郵件轉(zhuǎn)發(fā)到您實(shí)際讀取的郵箱，否則您可能會(huì)錯(cuò)過(guò)重要的系統(tǒng)通知和報(bào)告：

　　#Personwhosholdgetrotsmail。

　　bob@#

　　編輯后，運(yùn)行newaliases進(jìn)行測(cè)試，以確保電子郵件確實(shí)已經(jīng)發(fā)送，因?yàn)橐恍╇娮余]件提供商拒絕從根本不存在的域名或無(wú)法通過(guò)的域名發(fā)送電子郵件。如果是這樣，您需要調(diào)整電子郵件轉(zhuǎn)發(fā)配置，直到它真的可行。

　　三、防火墻.sshd及偵聽(tīng)守護(hù)過(guò)程。

　　默認(rèn)的防火墻設(shè)置將依賴于您的發(fā)行版本，但許多允許進(jìn)入sshd端口。除非你有足夠和合法的理由允許進(jìn)入ssh，否則你應(yīng)該過(guò)濾掉這個(gè)過(guò)程，并禁止sshd保護(hù)過(guò)程。

　　systemctldisableshd.service。

　　systemctlstopshd.service。

　　若需使用，可暫時(shí)啟動(dòng)。

　　一般來(lái)說(shuō)，除了響應(yīng)ping，你的系統(tǒng)應(yīng)該沒(méi)有偵聽(tīng)端口。這將有助于你防止網(wǎng)絡(luò)層面的零日漏洞。

　　四、自動(dòng)更新或通知。

　　建議打開(kāi)自動(dòng)更新，除非你有足夠的理由不這樣做，比如擔(dān)心自動(dòng)更新會(huì)導(dǎo)致你的系統(tǒng)無(wú)法使用(這以前發(fā)生過(guò)，所以這種擔(dān)心并非毫無(wú)根據(jù))。至少，您應(yīng)該使用自動(dòng)通知可用更新機(jī)制。大多數(shù)發(fā)行版本都允許這項(xiàng)服務(wù)自動(dòng)為您運(yùn)行，因此您可能不需要進(jìn)行任何操作。查閱發(fā)行版本的描述文檔，了解更多信息。

　　五、查看日志。

　　你應(yīng)該密切關(guān)注系統(tǒng)中發(fā)生的所有活動(dòng)。因此，應(yīng)安裝logwatch并配置logwatch，以便每晚發(fā)送活動(dòng)報(bào)告，以顯示系統(tǒng)中發(fā)生的所有活動(dòng)。這并不能阻止全身心投入的攻擊者，但它是一個(gè)很好的安全網(wǎng)功能，需要部署。

　　請(qǐng)注意：許多systemd發(fā)行版本不再自動(dòng)安裝logwatch所需的syslog服務(wù)器(這是因?yàn)閟ystemd依賴于自己的日志)，因此您需要安裝和使用rsyslog，以確保/var/log在logwatch有任何用途之前不是空的。

　　六、rkhunter和IDS。

　　除非你有效地理解工作原理，并采取必要的步驟進(jìn)行合理的設(shè)置(如將數(shù)據(jù)庫(kù)放在外部介質(zhì)上，從可靠的環(huán)境運(yùn)行檢查、執(zhí)行系統(tǒng)更新和配置住更新哈希數(shù)據(jù)庫(kù)等)，否則安裝入侵檢測(cè)系統(tǒng)(IDS)，如rkhunter和aide或tripwire不是很有用。如果你不想采取這些步驟。調(diào)整在工作站執(zhí)行任務(wù)的方式，這些工具只會(huì)帶來(lái)麻煩，沒(méi)有任何實(shí)際的安全效益。

　　我們確實(shí)建議你在晚上安裝rkhunter。它很容易學(xué)習(xí)和使用;雖然它找不到狡猾的攻擊者，但它可以幫助你發(fā)現(xiàn)自己的錯(cuò)誤。更多關(guān)于云計(jì)算培訓(xùn)的問(wèn)題，歡迎咨詢千鋒教育在線名師。千鋒教育擁有多年IT培訓(xùn)服務(wù)經(jīng)驗(yàn)，采用全程面授高品質(zhì)、高體驗(yàn)培養(yǎng)模式，擁有國(guó)內(nèi)一體化教學(xué)管理及學(xué)員服務(wù)，助力更多學(xué)員實(shí)現(xiàn)高薪夢(mèng)想。