安全管理Linux的一些措施( Q0 j7 A* [  O6 q- j
2006-06-010 P4 J) A* j; i+ j8 w& J5 J2 F; X; H
( R: Z( ]. d3 x

% I% v2 F, Y/ @4 n8 b( D由于Linux操作系统具有突出的功能和可靠的稳定性，现在有越来越多的用户开始学习和使用Linux了。在学习和使用Linux的过程中，笔者也搜集和整理了一些安全管理Linux的小诀窍，现在把它们贡献出来，恳请各位网友能不断补充和完善。
( n7 @, q, d2 E" d1、对系统进行完整备份, x" f( x4 _8 D

. @9 w6 Y/ D8 y5 l& c+ t  r( u5 u　　为了防止系统在使用的过程中发生以外情况而难以正常运行，我们应该对Linux完好的系统进行备份，最好是在一完成Linux系统的安装任务后就对整个系统进行备份，以后可以根据这个备份来验证系统的完整性，这样就可以发现系统文件是否被非法修改过。如果发生系统文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。备份信息时，我们可以把完好的系统信息备份在CD-ROM光盘上，以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高，那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动，就说明系统尚未被破坏过。& V/ _! {: B- Q" y" L
6 Q4 }" I$ y' e& [+ Q
2、改进登录服务器
5 U% ^" Q5 m- r% {( W9 S* i* A$ p0 J  }% ]9 Q
　　将系统的登录服务器移到一个单独的机器中会增加系统的安全级别，使用一个更安全的登录服务器来取代Linux自身的登录工具也可以进一步提高安全。在大的Linux网络中，最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满足所有系统登录需求并且拥有足够的磁盘空间的服务器系统，在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志文件的能力。# W& M7 G$ \* b8 k

/ l3 ], K! r1 p  X" l3 g3、为关键分区建立只读属性9 u' s7 ?! J* V# m: W

2 F2 P9 ~: B  T% h　　Linux的文件系统可以分成几个主要的分区，每个分区分别进行不同的配置和安装，一般情况下至少要建立/、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生了改变，那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽量将它们设置为只读，并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。4 a/ _4 r3 R+ c$ ]

! C3 y5 S" ], V- N　　当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等，其自身的性质就决定了不能将它们设置为只读，但应该不允许它具有执行权限。
4 b) l7 T) S0 o2 Q, z& Q" @& o; F
0 n3 S6 w0 H5 Q! [2 Y4、改进系统内部安全机制
$ Q' E: t" G9 X
+ P- V) N0 P# _+ O* _& R　　我们可以通过改进Linux操作系统的内部功能来防止缓冲区溢出，从而达到增强Linux系统内部安全机制的目的，大大提高了整个系统的安全性。但缓冲区溢出实施起来是相当困难的，因为入侵者必须能够判断潜在的缓冲区溢出何时会出现以及它在内存中的什么位置出现。缓冲区溢出预防起来也十分困难，系统管理员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此，许多人甚至包括LinuxTorvalds本人也认为这个安全Linux补丁十分重要，因为它防止了所有使用缓冲区溢出的攻击。但是需要引起注意的是，这些补丁也会导致对执行栈的某些程序和库的依赖问题，这些问题也给系统管理员带来的新的挑战。
  B6 ~5 ]! p; o+ r. U+ J; n. ~# ]' w8 z' V
5、设置陷井和蜜罐
* r: H* V3 A9 |6 H2 o3 [7 J* b+ X$ L
　　所谓陷井就是激活时能够触发报警事件的软件，而蜜罐（honeypot）程序是指设计来引诱有入侵企图者触发专门的报警的陷井程序。通过设置陷井和蜜罐程序，一旦出现入侵事件系统可以很快发出报警。在许多大的网络中，一般都设计有专门的陷井程序。陷井程序一般分为两种：一种是只发现入侵者而不对其采取报复行动，另一种是同时采取报复行动。
* S6 X" I! k% W' X0 Y6 l: c$ @' _2 k0 h7 C9 b
6、将入侵消灭在萌芽状态- E7 Q% u7 j6 F8 f" t
  G! ^# a0 f6 G9 t! K7 n, X" r
　　入侵者进行攻击之前最常做的一件事情就是端号扫瞄，如果能够及时发现和阻止入侵者的端号扫瞄行为，那么可以大大减少入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器，也可以是一个复杂的入侵检测系统或可配置的防火墙。我们可以采用诸如AbacusPortSentry这样专业的工具，来监视网络接口并且与防火墙交互操作，最终达到关闭端口扫瞄攻击的目的。当发生正在进行的端口扫瞄时，AbacusSentry可以迅速阻止它继续执行。但是如果配置不当，它也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。正确地使用这个软件将能够有效地防止对端号大量的并行扫瞄并且阻止所有这样的入侵者。

******请登陆论坛查看内容******