教你如何強化Linux安全！

時(shí)常有人說(shuō)，Linux比Windows更安全。但與網(wǎng)絡(luò )連接的任何計算機是不可能絕對安全的。

正如我們需要經(jīng)常注意院子的圍墻是否堅固一樣，對操作系統也需要我們經(jīng)常維護和強化。在此，我們僅談?wù)搸讉€(gè)用戶(hù)可以用來(lái)強化系統的大體步驟。

本文重點(diǎn)談的是如何強化的問(wèn)題，不過(guò)在開(kāi)始強化之前，用戶(hù)需要對以下三個(gè)問(wèn)題有一個(gè)清醒的認識，一個(gè)問(wèn)題是這個(gè)系統用于什么目的，二是它需要運行哪些軟件，三是用戶(hù)需要防護哪些漏洞或威脅。這三個(gè)問(wèn)題依次為因果關(guān)系，即前一個(gè)問(wèn)題是后一個(gè)問(wèn)題的原因，后一個(gè)問(wèn)題是前一個(gè)的結果。

從零開(kāi)始

從一個(gè)已知的安全狀態(tài)開(kāi)始強化一個(gè)系統是完全可能的，但在實(shí)際上這種強化也可以從一個(gè)“裸體”系統開(kāi)始。這意味著(zhù)用戶(hù)將擁有對系統盤(pán)重新分區的機會(huì )，將所有的數據文件與操作系統文件分離開(kāi)來(lái)未嘗不是一個(gè)謹慎的安全措施。

下一步是配置一個(gè)最小的安裝，當然得讓系統啟動(dòng)，然后添加必要的能夠完成工作的程序包。這一步很關(guān)鍵。為什么需要最少化安裝呢？原因在于機器中的代碼越少，可被利用的漏洞就會(huì )越少：誰(shuí)也無(wú)法利用并不存在的漏洞，是不是？你還需要給操作系統打補丁，并且還得給運行在這個(gè)系統上的所有應用程序打補丁。

不過(guò)，要注意，如果有人能夠從物理上接近所訪(fǎng)問(wèn)的機器，他就有可能從光盤(pán)或其它媒體啟動(dòng)計算機，并獲取系統的訪(fǎng)問(wèn)權。因此，用戶(hù)最好配置一下系統的BIOS，限制僅能從硬盤(pán)啟動(dòng)，并且要用一個(gè)強健的口令來(lái)保護這種設置。

下一步是編譯一下自己的系統內核，這里還是要強調僅包含那些你需要的部分。一旦你自己定制的系統構建完畢，重新啟動(dòng)進(jìn)入內核，那你所擁有內核的被攻擊的可能性將極大地減少。但強化系統的方法不限于此，好戲還在后頭。

減少服務(wù)

運行了經(jīng)過(guò)瘦身的系統之后，下一步就是要確保僅運行你需要的服務(wù)。到現在為止，用戶(hù)已經(jīng)清除了許多服務(wù)，但還有可能有許多服務(wù)仍在后臺運行。用戶(hù)需要在多個(gè)地方找到這些服務(wù)，如/etc/init.d 和 /etc/rc.d/rc.local等包含多種啟動(dòng)進(jìn)程的位置，要檢查由cron所啟動(dòng)的一切東西。用戶(hù)還可以用netstat或Nmap等程序檢查監聽(tīng)套接字。比如，許多用戶(hù)需要禁用的服務(wù)可能包括網(wǎng)絡(luò )文件系統（samba）、遠程訪(fǎng)問(wèn)服務(wù)等。

當然不能一概而論，如果你確實(shí)需要某些服務(wù)，就要設法限制它對系統其余部分的潛在破壞性作用，要盡可能讓其在自己的chroot路徑中運行，使其與文件系統的其余部分相分離。

重視許可問(wèn)題

作為用戶(hù)或管理人員，必須要保證任何用戶(hù)都不能執行其不必要的程序或打開(kāi)不必要文件。管理員應當審計整個(gè)系統，并將每個(gè)文件的許可減少到最小的可行程度。我們的目標是任何人都不能讀取或寫(xiě)入與其無(wú)關(guān)的文件。此外，還應當對所有的敏感數據加密。

進(jìn)一步講，管理員要保證擁有一個(gè)安全的root口令，而且知道此口令的人越少越好，只有這樣，才能保障任何人都無(wú)法訪(fǎng)問(wèn)他們不應當訪(fǎng)問(wèn)的賬戶(hù)。還要保障用戶(hù)登錄信息的最新，要堅持口令的到期時(shí)間等策略問(wèn)題。此外，清除預先提供的賬戶(hù)也是很聰明的做法，或者至少要改變默認的口令。

需要強調的是，安全是一個(gè)過(guò)程而非一個(gè)臨時(shí)性的活兒。這就意味著(zhù)，管理人員應當監視并進(jìn)一步強化系統，特別是需要監視系統日志，要以盡可能快的速度為系統打補丁。還要關(guān)注安全咨訊，在獲知最新的漏洞后，能盡快地應對之。所以本文并不能全面解決Linux安全，而是向用戶(hù)展示強化系統的一些可能性。

如果你是一個(gè)linux用戶(hù)或管理者，應當采取一些步驟使其更安全，但這有可能降低系統效率。所以關(guān)鍵是找到一個(gè)恰當的平衡點(diǎn)。