Linux管理員經驗談—如何建立可靠的Linux系統

許多剛接觸 Linux 網絡管理員發現，很難由指向點擊式的平安配置界面轉換到另一種基於編輯復雜而難以捉摸的文本文件的界面。本文列出七條管理員能夠也應該可計算機基礎知識http://.以做到方法，從而協助他建立更加平安的 Linux 服務器，並顯著降低他所面臨的風險。

    請任何大型機構的網絡管理員對 Linux 和網絡操作系統（如 Window NT 或 Novel 進行比擬，可能他會承認 Linux 一個內在更加穩定，擴展性更強的解決方案。可能他還會承認，維護系統免受外部攻擊方面， Linux 可能是三者中最難配置的系統。

    這種認識相當普遍 — 許多剛接觸 Linux 網絡管理員發現，很難由指向點擊式的平安配置界面轉換到另一種基於編輯復雜而難以捉摸的文本文件的界面。多數管理員充分認識到需要手工設置阻礙和障礙，以阻止可能的黑客攻擊，從而維護公司數據的平安。只是並不熟悉的 Linux 領域內，不確定自己的方向是否正確，或該從何開始。

    這就是本文的目的所在列出一些簡易的方法，協助管理員保證 Linux 平安，並顯著降低他面臨的風險。本教程列出了七個這樣的方法，但您也可以在 Linux 手冊和討論論壇中發現更多內容。

    維護根賬戶

    Linux 系統上的根賬戶（或超級用戶賬戶）就像是滾石演唱會上的後台通行證一樣 — 允許您訪問系統中的所有內容。因此，值得采取額外的方法對它加以維護。首先，用密碼命令給這個賬戶設置一個難以猜測的密碼，並定期進行修改，而且這個密碼應僅限於公司內的幾個主要人物（理想情況下，只需兩個人）知曉。

    然後，對 /etc/securetti 文件進行編輯，限定能夠進行根訪問的終端。為避免用戶讓根終端 “ 開放 ” 可設置 TMOUT 當地變量為非活動根登錄設置一個使用時間；並將 HISTFILESIZE 當地變量設為 0 保證根命令記錄文件（其中可能包括機密信息）處於禁止狀態。最後，制訂一個強制性政策，即使用這個賬戶只能執行特殊的管理任務；並阻止用戶默認以根用戶服務登錄。

    提示：關閉這些漏洞後，再要求每一個普通用戶必需為賬戶設立一個密碼，並保證密碼不是容易識別的啟示性密碼，如生日、用戶名或字典上可查到單詞。

    裝置一個防火牆

    防火牆幫助您過濾進出服務器的數據包，並確保只有那些與預定義的規則相匹配的數據包才能訪問系統。有許多針對 Linux 優秀防火牆，而且防火牆代碼甚至可直接編譯到系統內核中。首先應用 ipchain 或 iptabl 命令為進出網絡的數據包定義輸入、輸出和轉寄規則。可以根據 IP 地址、網絡界面、端口、協議或這些屬性的組合制訂規則。這些規則還規定匹配時應采取何種行為（接受、拒絕、轉寄）規則設定完畢後，再對防火牆進行詳細檢測，保證沒有漏洞存在平安的防火牆是您抵御分布式拒絕服務（ DDoS 攻擊這類常見攻擊的第一道防線。

    使用 OpenSSH 處置網絡事務

    網絡上傳輸的數據平安是客戶 - 服務器構架所要處理的一個重要問題。如果網絡事務以純文本的形式進行，黑客就可能 “ 嗅出 ” 網絡上傳輸的數據，從而獲取機密信息。您可以用 OpenSSH 之類的平安殼應用程序為傳輸的數據建立一條 “ 加密 ” 通道，關閉這個漏洞。以這種形式對連接進行加密，未授權用戶就很難閱讀在網絡主機間傳輸的數據。

    禁用不必要的服務

    大多數 Linux 系統裝置後，各種不同的服務都被激活，如 FTP telnet UUCP ntalk 等等。多數情況下，很少用到這些服務。讓它處於活動狀態就像是把窗戶打開讓盜賊有機會溜進來一樣。您可以在 /etc/inetd.conf 或 /etc/xinetd.conf 文件中取消這些服務，然後重啟 inetd 或 xinetd 後台順序，從而禁用它另外，一些服務（如數據庫服務器）可能在開機過程中默認啟動，您可以通過編輯 /etc /rc.d/* 目錄等級禁用這些服務。許多有經驗的管理員禁用了所有系統服務，只留下 SSH 通信端口。

    使用垃圾郵件和反病毒過濾器

    垃圾郵件和病毒干擾用戶，有時可能會造成嚴重的網絡故障。 Linux 有極強的抗病毒能力，但運行 Window 客戶計算機可能更易受病毒攻擊。因此，郵件服務器上裝置一個垃圾郵件和病毒過濾器，以 “ 阻止 ” 可疑信息並降低連鎖崩潰的風險，會是一個不錯的主意。

    首先裝置 SpamA ssassin 這個應用各種技術識別並標注垃圾郵件的一流開源工具，該程序支持基於用戶的白名單與灰名單，提高了精確度。接下來，根據慣例表達式安裝用戶級過濾，這個工具可對收件箱接收的郵件進行自動過濾。最後再安裝 Clam Anti-Viru 這個免費的反病毒工具整合 Sendmail 和 SpamA ssassin 並支持電子郵件附件的來件掃描。

    裝置一個入侵檢測系統

    入侵檢測系統（ IDS 一些幫助您了解網絡改變的早期預警系統。能夠准確識別（並證實）入侵系統的企圖，當然要以增加資源消耗與錯誤線索為代價。您可以試用兩種相當知名的 IDS tripwir 跟蹤文件簽名來檢測修改； snort 使用基於規則的指示執行實時的信息包分析，搜索並識別對系統的探測或攻擊企圖。這兩個系統都能夠生成電子郵件警報（以及其它行為）當您懷疑您的網絡受到平安威脅而又需要確實的證據時，可以用到

    定期進行平安檢查

    要保障網絡的平安，這最後一個步驟可能是最為重要的這時，您扮演一個反派的角色，努力攻破您在前面六個步驟是建立的防御。這樣做可以直接客觀地對系統的平安性進行評估，並確定您應該修復的潛在缺陷。

    有許多工具可幫助您進行這種檢查：您可以嘗試用 Crack 和 John the Ripper 之類的密碼破解器破譯您的密碼文件；或使用 nmap 或 netstat 來尋找開放的端口；還可以使用 tcpdump 探測網絡；另外，您還可以利用您所安裝的順序（網絡服務器、防火牆、 Samba 上的公開漏洞，看看能否找到進入的方法。如果您設法找到突破障礙的方法，其他人同樣也能做到您應立即采取行動關閉這些漏洞。計算機基礎知識http://.

    維護 Linux 系統是一項長期的任務，完成上述方法並不表示您可以高枕無憂。訪問 Linux 平安論壇了解更多安全提示，同時主動監控並更新系統安全措施。

Linux管理員經驗談—如何建立可靠的Linux系統.