Linux服务器常见的安全漏洞有哪些？

linux管理常见错误一：随意许可，原因是不理解许可
如果对许可配置不当，就会给黑客留下机会。处理许可问题的最简单方法是使用所谓的RWE方法，即Read(读取)、Write(写入)、Execute(执行)。假设你想让一个用户能够读取一个文件但不能写入文件。为此，你可以执行：chmod
u+w,u-rx 文件名，一些新用户可能会看到一个错误，说他们没有使用文件的许可，因此他们就使用了：Chmod 777
文件名，以为这样能够避免问题。但这样做实际上会导致更多的问题，因为它给了文件的可执行的权限。
记住这一点：777将一个文件的读取、写入、执行的许可给了所有用户，666将一个文件的读取、写入权限给了所有用户，而555将文件的读取、执行权限给了所有用户，还有444、333、222、111等等。
linux管理常见错误二：忽视更新
这并不是说Linux管理员缺乏技巧。不过，许多Linux管理员在运行了Linux之后，以为日后就无事可做了，以为它安全可靠。其实，新的更新可以为一些新的漏洞打上补丁。维持更新可以在一个易受损的系统与一个安全的系统之间构造分水岭。Linux的安全来自于不断地维护。为了实现安全性，为了使用一些新的特性和稳定性，任何管理员都应当跟上Linux的更新步伐。
linux管理常见错误三：不经过严格审核，从多种渠道下载安装各种类型的应用程序
乍看起来，这也许是一个不错的主意。如果你在运行Ubuntu,你会知道包管理程序使用的是。deb软件包。不过，你找到的许多应用程序是以源代码的形式提供的。没有问题吗这些程序安装后也许能够正常工作。但是你为什么不能随意安装程序呢道理很简单，如果你以源的形式安装了程序，那么，你的软件包管理系统将无法跟踪你所安装的东西。
因此，在程序包A(以源的形式安装)依赖于程序包B(从一个。deb库安装的)，而软件包B是从更新管理器更新的时候，会发生什么事情呢程序包A可能运行，也可能无法运行。不过，如果程序包A和B都从。deb库安装的话，二者都能运行的机会将更高。此外，在所有的程序包都来自于同样的二进制类型时，更新程序包将更为容易。
linux管理常见错误四：将服务器启动进入到X
在一台机器是专用服务器时，你可能会想到安装X,这样一些管理任务就会简单一些。不过，这并不意味着用户需要将服务器启动进入到X这样会浪费珍贵的内存和CPU资源。相反地，你应当在级别3上停止启动过程，进入命令行模式。这样做不但会将所有的资源留给服务器，而且还会防止泄露机器的机密。要登录到X,用户只需要以命令行方式登录，然后键入startx进入到桌面。
linux管理常见错误五：糟糕的口令
记住，root
的口令通常是linux王国的关键。所以为什么要让root的口令那么容易被破解呢保障你的用户口令的健壮性至关重要。如果你的口令比较长，且难于记忆，可将这个口令存放在一个可被加密的位置。在需要这个口令时，可用解密软件解开这个口令使用之。
linux管理常见错误六：没有备份关键的配置文件
许多管理员都有这样的体会，在升级到某个X版本，如X11之后，却发现新版本破坏了你的xorgconf配置文件，以至于你再也无法使用X建议你在升级X之前，先对以前的/etc/x11/xorgconf作一个备份，以免升级失败。当然，X的升级程序会设法为用户备份xorgconf文件，但它却在/etc/x11目录内备份。即使这种备份看起来不错，你最好还是自己做一个备份吧。笔者的一个习惯是将其备份到/root目录中，这样，用户就可以知道只有根(root)用户能够访问此文件。记住，安全第一。这里的方法也适用于其它的关键备份，如Samba、Apache、Mysql等。
linux管理常见错误七：忽视日志文件
/var/log的存在是有理由的。这是存放所有的日志文件的唯一位置。在发生问题时，你首先需要看一下这里。检查安全问题，可看一下/var/log/secure笔者看的第一个位置是/var/log/messages这个日志文件保存着所有的一般性错误。在此文件中，你可以得到关于网络、媒体变更等消息。在管理一台机器时，用户可以使用某个第三方的应用程序，如logwatch,这样就可以创建为用户创建基于/var/log文件的各种报告。
linux管理常见错误八：没有安装一个可正常运行的内核
你可能不会在一台机器上安装10个以上的内核。但你需要更新内核，这种更新并没有删除以前的内核。你是怎么做的呢你一直保持使用最近的可正常工作的内核。假设你目前正常工作的内核是2622,而2620是备份内核。如果你更新到2626,而在新内核中一切都工作正常，你就可以删除2620了。
linux管理常见错误九：逃避使用命令行
恐怕很少有人愿意记住那么多命令。在大多数情况下，图形用户界面是许多人的最爱。不过，有时，命令行使用起来更加容易、快捷、安全、可靠。逃避使用命令行是Linux管理的大忌。管理员至少应当理解命令行是如何工作的，至少还要掌握一些重要的管理命令。
linux管理常见错误十：以根用户身份登录
这是一种很危险的错误。如果用户需要根特权来执行或配置一个应用程序，可以在一个标准的用户账户中使用su切换到root用户。登录到root为什么不是一件好事儿在用户以标准用户身份登录时，所有正在运行的X应用程序仍拥有仅限于此用户的访问权。如果用户以根用户身份登录，X就拥有了root的许可。这就会导致两个问题，一、如果用户由GUI犯了一个大错，这个错误对系统来说，有可能是一个巨大的灾难。二、以根用户的身份运行X使得系统更易于遭受攻击。

1、系统漏洞的修复
安装好的系统都会有系统漏洞需要进行补丁，一些高危漏洞是需要我们及时补丁的, 否则黑客容易利用漏洞进行服务器攻击。
2、系统账号优化
我们服务器的密码需要使用强口令，同时有一些来宾账户例如guest一定要禁用掉。
3、目录权限优化
对于不需要执行与写入权限的服务器我们要进行权限修改，确保不把不该出现的的权限暴露给攻击者让攻击者有机可趁。
例如我们的windows文件夹权限，我们给的就应该尽可能的少，对于用户配置信息文件夹，不要给予everyone权限。
4、数据库优化
针对数据密码和数据库端口访问都要进行优化，不要将数据库暴露在公网访问环境。
5、系统服务优化
去除一些不必要的系统服务，可以优化我们系统性能，同时优化系统服务可以提升系统安全性。
6、注册表优化
注册表优化可以提升网络并发能力，去除不必要的端口，帮助抵御snmp攻击，优化网络，是我们优化服务器不可缺少的环节。
7、扫描垃圾文件
垃圾文件冗余可能会造成我们的服务器卡顿，硬盘空间不足，需要我们定期进行清理。

服务器的安全设置很重要，所以相对也会很繁琐，需要进行的 *** 作有很多：
系统漏洞扫描与修复；管理员账号、来宾账号、普通账号、影子账号的优化保护系
统不被黑客恶意添加或修改；
对IIS下的ASP、ASPX网站相关的EXE和DLL文件进行保护 *** 作防止网站被恶意上传和特殊权限的运行；
对系统文件夹下
的关键二进制文件进行保护 *** 作，确保存储的DLL文件和以及其他用于支持、配置或 *** 作的文件的安全；对系统文件夹下的文件进行保护 *** 作，防止系统文件被修
改，以确保系统的正常运行；
对用户配置信息的文件夹进行保护 *** 作，以防止用户当前桌面环境、应用程序设置和个人数据信息的泄露；
对数据库进行权限优化以及
安全加固；
停止了类似Remote Registry（远程修改注册表服务） Remote Desktop Help Session
Manager（远程协助服务）
这种不必要的服务，以防被黑客利用，降低安全隐患；
关闭135和445这类用于远程过程调用，局域网中轻松访问各种共享文件夹或共享打印机的端口；
禁止掉
ICP空连接功能，以防止连接者与目标主机建立无需用户名与密码的空连接造成的风险出现；
配置backlog，提高网络并发性及网络的处理能力；
优化设置
SYN-ACK等待时间，检查无效网关用以提高网络性能；
检查TCPIP协议栈IGMP堆栈溢出本地拒绝服务、检查ICMP重定向报文，并进行优化 *** 作，
防止被用于攻击；
禁止路由发现功能，用以防止ICMP路由通告报文带来的增加路由表纪录的攻击；
限制处于TIME_WAIT状态的最长时间，使运行的应用
程序可以更快速地释放和创建连接；
卸载掉wshomocx组件和shell32dll组件，防止默认允许asp运行、exe可执行文件带来的安全隐
患；
禁止掉系统自动启动服务器共享的功能，用以防止服务器上的资源被共享功能泄露出去。
在手动配置的同时也可以安装服务器安全狗进行相应的设置，能够更加的完善服务器的安全设置，并且服务器安全狗也能给服务器提供实时防护，一举两得，新手和老手同样适合使用，免费又安全。建议可以去试试
我的服务器用的是小鸟云的，性能稳定，访问很流畅。

---