十個招數幫你輕鬆保護Linux系統

無論你是Linux的普通案頭使用者還是管理多個伺服器的系統管理員，你都面臨著同樣的問題：日益增加的各種威脅。Linux是一個開放式系統，可以在網路 上找到許多現成的程式和工具，這既方便了使用者，也方便了駭客，因為他們也能很容易地找到程式和工具來潛入Linux系統，或者盜取Linux系統上的重要 資訊。不過，只要我們仔細地設定Linux的各種系統功能，並且加上必要的安全措施，就能讓駭客們無機可乘。

　　一般來說，對Linux系統的安全設定包括取消不必要的服務、限制遠程存取、隱藏重要資料、修補安全性漏洞、採用安全工具以及經常性的安全檢查等。本文教你十種提高Linux系統安全性的招數。雖然招數不大，但招招奏效，你不妨一試。

　　1．部署防火牆

　　這聽起來像一條最“明顯”的建議（就像使用健壯密碼一樣），但令人驚奇地是，很少有人真正去設定防火牆。即使你使用的路由器可能內建了防火牆，但是在Linux系統中部署一個軟體防火牆是一件非常輕鬆的事情，你能夠從中受益匪淺。

　　圖形防火牆，例如最近比較流行的Firestarter，非常適合定義口轉寄和監測活動規則。

　　2.禁用不必要的網路

　　般來說，除了http、smtp、telnet和ftp之外，其他服務都應該取消，諸如簡單檔案傳輸通訊協定tftp、網路郵件儲存及接收所用的imap/ipop傳輸協議、尋找和搜尋資料用的gopher以及用於時間同步的daytime和time等。

　 　還有一些報告系統狀態的服務，如finger、efinger、systat和netstat等，雖然對系統查錯和尋找使用者非常有用，但也給駭客提供了 方便之門。例如，駭客可以利用finger服務尋找使用者的電話、使用目錄以及其他重要訊息。因此，很多Linux系統將這些服務全部取消或部分取消，以增 強系統的安全性。

　　3.使用更加安全的傳輸替代方式

　　SSH是安全套接層的簡稱，它是可以安全地用來取代rlogin、rsh和rcp等公用程式的一套程式組。SSH採用公開密鑰技術對網路上兩台主機之間的通訊資訊加密，並且用其密鑰充當身分識別驗證的工具。

　　由於SSH將網路上的資訊加密，因此它可以用來安全地登入到遠程主機上，並且在兩台主機之間安全地傳送資訊。實際上，SSH不僅可以保障Linux主機之間的安全通訊，Windows使用者也可以通過SSH安全地串連到Linux伺服器上。

　　4.取消非root訪問

　 　開始你可能對此感覺有些不方便，但你應確保正常使用者不能訪問系統工具---即使fsck和ifconfig等幾乎“無害”的功能。達到這一效果的最好方 法是使用sudo，Sudo程式允許一般使用者經過組態設定後，以使用者自己的密碼再登入一次，取得超級使用者的許可權，但只能執行有限的幾個指令。例如，應用 sudo後，可以讓管理磁帶備份的管理員每天按時登入到系統中，取得超級使用者權限去執行文檔備份工作，但卻沒有特權去作其他只有超級使用者才能作的工作。 Sudo不但限制了使用者的許可權，而且還將每次使用sudo所執行的指令記錄下來，

　　不管該指令的執行是成功還是失敗。

　　5.經常查看和拷貝日誌

　 　網路管理員要經常提高警惕，隨時注意各種可疑狀況，並且按時檢查各種系統記錄檔，包括一般資訊日誌、網路連接日誌、檔案傳輸日誌以及使用者登入日誌 等。在檢查這些日誌時，要注意是否有不合常理的時間記載。駭客往往會對日誌進行修改已掩蓋自己的痕迹，所以你要在一個非常規的地方儲存一個日誌的副本。最 好能將日誌單獨房子一個遠程伺服器上。

　　6.使用口令老化（password aging）

　　口令老化一種增強系統口令生命期認證機制，雖然它會一定程式的削弱使用者使用的便利性，但是它能夠確保使用者的口令定期更換，這是一種非常好的安全措施。因此，如果一個帳戶受到了駭客的攻擊並且沒有被發現，但是在下一個密碼更改周期，他就不能再訪問該帳號了。

　　7.對root登入進行嚴格限制

　　利用“root”身份登入不是一個好主意。安全的做法是你以普通使用者的身份登入，然後利用su或sudo取得超級使用者的許可權，然後進行相應的工作。

　　8.物理保護

　　雖然大多數的攻擊是依靠網路實施的，而駭客取得物理訪問你的電腦的機會也非常渺茫，但這並不意味你無需設防。

　　給引導程式加上密碼保護，確保在你離開電腦時它總是處於鎖定狀態。並且你應該完全肯定沒有人可以從外部裝置啟動你的伺服器。

　　9.安裝最新的安全更新

　　所有流行的Linux發行版除了定期發布更新外，只要遇到安全性漏洞，研發人員也會很快發布相應得更新和補丁，你要做的就是經常關注有沒有安全更新和補丁包發布，並及時安裝。

　　10.留意開啟的檔案

　 　很多Linux發行版都包含一些非常使用的小工具，lsof就是其中一個。Lsof能列出當前系統開啟的所有檔案。在linux環境下，任何事物都以文 件的形式存在，通過檔案不僅僅可以訪問常規資料，還可以訪問網路連接和硬體。通過lsof工具能夠查看哪些進程正在使用哪些連接埠，它的進程ID以及是誰在 運行它。如果你從中發現了一些異常，那麼你肯定值得仔細檢查一番