Linux管理员经验谈—如何建立可靠的Linux系统

许多刚接触 Linux 网络管理员发现，很难由指向点击式的平安配置界面转换到另一种基于编辑复杂而难以捉摸的文本文件的界面。本文列出七条管理员能够也应该可计算机基础知识http://www.16qiuxue.com以做到方法，从而协助他建立更加平安的 Linux 服务器，并显著降低他所面临的风险。

    请任何大型机构的网络管理员对 Linux 和网络操作系统（如 Window NT 或 Novel 进行比拟，可能他会承认 Linux 一个内在更加稳定，扩展性更强的解决方案。可能他还会承认，维护系统免受外部攻击方面， Linux 可能是三者中最难配置的系统。

    这种认识相当普遍 — 许多刚接触 Linux 网络管理员发现，很难由指向点击式的平安配置界面转换到另一种基于编辑复杂而难以捉摸的文本文件的界面。多数管理员充分认识到需要手工设置阻碍和障碍，以阻止可能的黑客攻击，从而维护公司数据的平安。只是并不熟悉的 Linux 领域内，不确定自己的方向是否正确，或该从何开始。

    这就是本文的目的所在列出一些简易的方法，协助管理员保证 Linux 平安，并显著降低他面临的风险。本教程列出了七个这样的方法，但您也可以在 Linux 手册和讨论论坛中发现更多内容。

    维护根账户

    Linux 系统上的根账户（或超级用户账户）就像是滚石演唱会上的后台通行证一样 — 允许您访问系统中的所有内容。因此，值得采取额外的方法对它加以维护。首先，用密码命令给这个账户设置一个难以猜测的密码，并定期进行修改，而且这个密码应仅限于公司内的几个主要人物（理想情况下，只需两个人）知晓。

    然后，对 /etc/securetti 文件进行编辑，限定能够进行根访问的终端。为避免用户让根终端 “ 开放 ” 可设置 TMOUT 当地变量为非活动根登录设置一个使用时间；并将 HISTFILESIZE 当地变量设为 0 保证根命令记录文件（其中可能包括机密信息）处于禁止状态。最后，制订一个强制性政策，即使用这个账户只能执行特殊的管理任务；并阻止用户默认以根用户服务登录。

    提示：关闭这些漏洞后，再要求每一个普通用户必需为账户设立一个密码，并保证密码不是容易识别的启示性密码，如生日、用户名或字典上可查到单词。

    装置一个防火墙

    防火墙帮助您过滤进出服务器的数据包，并确保只有那些与预定义的规则相匹配的数据包才能访问系统。有许多针对 Linux 优秀防火墙，而且防火墙代码甚至可直接编译到系统内核中。首先应用 ipchain 或 iptabl 命令为进出网络的数据包定义输入、输出和转寄规则。可以根据 IP 地址、网络界面、端口、协议或这些属性的组合制订规则。这些规则还规定匹配时应采取何种行为（接受、拒绝、转寄）规则设定完毕后，再对防火墙进行详细检测，保证没有漏洞存在平安的防火墙是您抵御分布式拒绝服务（ DDoS 攻击这类常见攻击的第一道防线。

    使用 OpenSSH 处置网络事务

    网络上传输的数据平安是客户 - 服务器构架所要处理的一个重要问题。如果网络事务以纯文本的形式进行，黑客就可能 “ 嗅出 ” 网络上传输的数据，从而获取机密信息。您可以用 OpenSSH 之类的平安壳应用程序为传输的数据建立一条 “ 加密 ” 通道，关闭这个漏洞。以这种形式对连接进行加密，未授权用户就很难阅读在网络主机间传输的数据。

    禁用不必要的服务

    大多数 Linux 系统装置后，各种不同的服务都被激活，如 FTP telnet UUCP ntalk 等等。多数情况下，很少用到这些服务。让它处于活动状态就像是把窗户打开让盗贼有机会溜进来一样。您可以在 /etc/inetd.conf 或 /etc/xinetd.conf 文件中取消这些服务，然后重启 inetd 或 xinetd 后台顺序，从而禁用它另外，一些服务（如数据库服务器）可能在开机过程中默认启动，您可以通过编辑 /etc /rc.d/* 目录等级禁用这些服务。许多有经验的管理员禁用了所有系统服务，只留下 SSH 通信端口。

    使用垃圾邮件和反病毒过滤器

    垃圾邮件和病毒干扰用户，有时可能会造成严重的网络故障。 Linux 有极强的抗病毒能力，但运行 Window 客户计算机可能更易受病毒攻击。因此，邮件服务器上装置一个垃圾邮件和病毒过滤器，以 “ 阻止 ” 可疑信息并降低连锁崩溃的风险，会是一个不错的主意。

    首先装置 SpamA ssassin 这个应用各种技术识别并标注垃圾邮件的一流开源工具，该程序支持基于用户的白名单与灰名单，提高了精确度。接下来，根据惯例表达式安装用户级过滤，这个工具可对收件箱接收的邮件进行自动过滤。最后再安装 Clam Anti-Viru 这个免费的反病毒工具整合 Sendmail 和 SpamA ssassin 并支持电子邮件附件的来件扫描。

    装置一个入侵检测系统

    入侵检测系统（ IDS 一些帮助您了解网络改变的早期预警系统。能够准确识别（并证实）入侵系统的企图，当然要以增加资源消耗与错误线索为代价。您可以试用两种相当知名的 IDS tripwir 跟踪文件签名来检测修改； snort 使用基于规则的指示执行实时的信息包分析，搜索并识别对系统的探测或攻击企图。这两个系统都能够生成电子邮件警报（以及其它行为）当您怀疑您的网络受到平安威胁而又需要确实的证据时，可以用到

    定期进行平安检查

    要保障网络的平安，这最后一个步骤可能是最为重要的这时，您扮演一个反派的角色，努力攻破您在前面六个步骤是建立的防御。这样做可以直接客观地对系统的平安性进行评估，并确定您应该修复的潜在缺陷。

    有许多工具可帮助您进行这种检查：您可以尝试用 Crack 和 John the Ripper 之类的密码破解器破译您的密码文件；或使用 nmap 或 netstat 来寻找开放的端口；还可以使用 tcpdump 探测网络；另外，您还可以利用您所安装的顺序（网络服务器、防火墙、 Samba 上的公开漏洞，看看能否找到进入的方法。如果您设法找到突破障碍的方法，其他人同样也能做到您应立即采取行动关闭这些漏洞。计算机基础知识http://www.16qiuxue.com

    维护 Linux 系统是一项长期的任务，完成上述方法并不表示您可以高枕无忧。访问 Linux 平安论坛了解更多安全提示，同时主动监控并更新系统安全措施。