無(wú)論你是Linux的普通桌面用戶還是管理多個(gè)服務(wù)器的系統(tǒng)管理員，你都面臨著同樣的問(wèn)題：日益增加的各種威脅。Linux是一個(gè)開(kāi)放式系統(tǒng)，可以在網(wǎng)絡(luò)上找到許多現(xiàn)成的程序和工具，這既方便了用戶，也方便了黑客，因?yàn)樗麄円材芎苋菀椎卣业匠绦蚝凸ぞ邅?lái)潛入Linux系統(tǒng)，或者盜取Linux系統(tǒng)上的重要信息。不過(guò)，只要我們仔細(xì)地設(shè)定Linux的各種系統(tǒng)功能，并且加上必要的安全措施，就能讓黑客們無(wú)機(jī)可乘。

　　一般來(lái)說(shuō)，對(duì)Linux系統(tǒng)的安全設(shè)定包括取消不必要的服務(wù)、限制遠(yuǎn)程存取、隱藏重要資料、修補(bǔ)安全漏洞、采用安全工具以及經(jīng)常性的安全檢查等。本文教你十種提高Linux系統(tǒng)安全性的招數(shù)。雖然招數(shù)不大，但招招奏效，你不妨一試。

　　1．部署防火墻

　　這聽(tīng)起來(lái)像一條最“明顯”的建議（就像使用健壯密碼一樣），但令人驚奇地是，很少有人真正去設(shè)置防火墻。即使你使用的路由器可能內(nèi)置了防火墻，但是在Linux系統(tǒng)中部署一個(gè)軟件防火墻是一件非常輕松的事情，你能夠從中受益匪淺。

　　圖形防火墻，例如最近比較流行的Firestarter，非常適合定義口轉(zhuǎn)發(fā)和監(jiān)測(cè)活動(dòng)規(guī)則。

　　2.禁用不必要的網(wǎng)絡(luò)

　　般來(lái)說(shuō)，除了http、smtp、telnet和ftp之外，其他服務(wù)都應(yīng)該取消，諸如簡(jiǎn)單文件傳輸協(xié)議tftp、網(wǎng)絡(luò)郵件存儲(chǔ)及接收所用的imap/ipop傳輸協(xié)議、尋找和搜索資料用的gopher以及用于時(shí)間同步的daytime和time等。

　　還有一些報(bào)告系統(tǒng)狀態(tài)的服務(wù)，如finger、efinger、systat和netstat等，雖然對(duì)系統(tǒng)查錯(cuò)和尋找用戶非常有用，但也給黑客提供了方便之門。例如，黑客可以利用finger服務(wù)查找用戶的電話、使用目錄以及其他重要信息。因此，很多Linux系統(tǒng)將這些服務(wù)全部取消或部分取消，以增強(qiáng)系統(tǒng)的安全性。

　　3.使用更加安全的傳輸替代方式

　　SSH是安全套接層的簡(jiǎn)稱，它是可以安全地用來(lái)取代rlogin、rsh和rcp等公用程序的一套程序組。SSH采用公開(kāi)密鑰技術(shù)對(duì)網(wǎng)絡(luò)上兩臺(tái)主機(jī)之間的通信信息加密，并且用其密鑰充當(dāng)身份驗(yàn)證的工具。

　　由于SSH將網(wǎng)絡(luò)上的信息加密，因此它可以用來(lái)安全地登錄到遠(yuǎn)程主機(jī)上，并且在兩臺(tái)主機(jī)之間安全地傳送信息。實(shí)際上，SSH不僅可以保障Linux主機(jī)之間的安全通信，Windows用戶也可以通過(guò)SSH安全地連接到Linux服務(wù)器上。

　　4.取消非root訪問(wèn)

　　開(kāi)始你可能對(duì)此感覺(jué)有些不方便，但你應(yīng)確保正常用戶不能訪問(wèn)系統(tǒng)工具---即使fsck和ifconfig等幾乎“無(wú)害”的功能。達(dá)到這一效果的最好方法是使用sudo，Sudo程序允許一般用戶經(jīng)過(guò)組態(tài)設(shè)定后，以用戶自己的密碼再登錄一次，取得超級(jí)用戶的權(quán)限，但只能執(zhí)行有限的幾個(gè)指令。例如，應(yīng)用sudo后，可以讓管理磁帶備份的管理人員每天按時(shí)登錄到系統(tǒng)中，取得超級(jí)用戶權(quán)限去執(zhí)行文檔備份工作，但卻沒(méi)有特權(quán)去作其他只有超級(jí)用戶才能作的工作。Sudo不但限制了用戶的權(quán)限，而且還將每次使用sudo所執(zhí)行的指令記錄下來(lái)，

　　不管該指令的執(zhí)行是成功還是失敗。

　　5.經(jīng)常查看和拷貝日志

　　網(wǎng)絡(luò)管理人員要經(jīng)常提高警惕，隨時(shí)注意各種可疑狀況，并且按時(shí)檢查各種系統(tǒng)日志文件，包括一般信息日志、網(wǎng)絡(luò)連接日志、文件傳輸日志以及用戶登錄日志等。在檢查這些日志時(shí)，要注意是否有不合常理的時(shí)間記載。黑客往往會(huì)對(duì)日志進(jìn)行修改已掩蓋自己的痕跡，所以你要在一個(gè)非常規(guī)的地方保存一個(gè)日志的副本。最好能將日志單獨(dú)房子一個(gè)遠(yuǎn)程服務(wù)器上。

　　6.使用口令老化（password aging）

　　口令老化一種增強(qiáng)的系統(tǒng)口令生命期認(rèn)證機(jī)制，雖然它會(huì)一定程序的削弱用戶使用的便利性，但是它能夠確保用戶的口令定期更換，這是一種非常好的安全措施。因此，如果一個(gè)帳戶受到了黑客的攻擊并且沒(méi)有被發(fā)現(xiàn)，但是在下一個(gè)密碼更改周期，他就不能再訪問(wèn)該帳號(hào)了。

　　7.對(duì)root登錄進(jìn)行嚴(yán)格限制

　　利用“root”身份登錄不是一個(gè)好主意。安全的做法是你以普通用戶的身份登錄，然后利用su或sudo取得超級(jí)用戶的權(quán)限，然后進(jìn)行相應(yīng)的工作。

　　8.物理保護(hù)

　　雖然大多數(shù)的攻擊是依靠網(wǎng)絡(luò)實(shí)施的，而黑客取得物理訪問(wèn)你的計(jì)算機(jī)的機(jī)會(huì)也非常渺茫，但這并不意味你無(wú)需設(shè)防。

　　給引導(dǎo)程序加上密碼保護(hù)，確保在你離開(kāi)電腦時(shí)它總是處于鎖定狀態(tài)。并且你應(yīng)該完全肯定沒(méi)有人可以從外部設(shè)備啟動(dòng)你的服務(wù)器。

　　9.安裝最新的安全更新

　　所有流行的Linux發(fā)行版除了定期發(fā)布更新外，只要遇到安全漏洞，研發(fā)人員也會(huì)很快發(fā)布相應(yīng)得更新和補(bǔ)丁，你要做的就是經(jīng)常關(guān)注有沒(méi)有安全更新和補(bǔ)丁包發(fā)布，并及時(shí)安裝。

　　10.留意打開(kāi)的文件

　　很多Linux發(fā)行版都包含一些非常使用的小工具，lsof就是其中一個(gè)。Lsof能列出當(dāng)前系統(tǒng)打開(kāi)的所有文件。在linux環(huán)境下，任何事物都以文件的形式存在，通過(guò)文件不僅僅可以訪問(wèn)常規(guī)數(shù)據(jù)，還可以訪問(wèn)網(wǎng)絡(luò)連接和硬件。通過(guò)lsof工具能夠查看哪些進(jìn)程正在使用哪些端口，它的進(jìn)程ID以及是誰(shuí)在運(yùn)行它。如果你從中發(fā)現(xiàn)了一些異常，那么你肯定值得仔細(xì)檢查一番。