如何保護你的linux操作系統

linux操作系統文章專(zhuān)題：linux操作系統詳解（linux不再難懂）

如何保護你的linux操作系統

在現在這個(gè)世道中，Linux操作系統的安全是十分重要的。但是，你得知道怎么干。一個(gè)簡(jiǎn)單反惡意程序軟件是遠遠不夠的，你需要采取其它措施來(lái)協(xié)同工作。那么試試下面這些手段吧。

1. 使用SELinux

SELinux是用來(lái)對Linux進(jìn)行安全加固的，有了它，用戶(hù)和管理員們就可以對訪(fǎng)問(wèn)控制進(jìn)行更多控制。SELinux為訪(fǎng)問(wèn)控制添加了更細的顆粒度控制。與僅可以指定誰(shuí)可以讀、寫(xiě)或執行一個(gè)文件的權限不同的是，SELinux可以讓你指定誰(shuí)可以刪除鏈接、只能追加、移動(dòng)一個(gè)文件之類(lèi)的更多控制。（LCTT譯注：雖然NSA也給SELinux貢獻過(guò)很多代碼，但是目前尚無(wú)證據證明SELinux有潛在后門(mén)）

2. 訂閱漏洞警報服務(wù)

安全缺陷不一定是在你的操作系統上。事實(shí)上，漏洞多見(jiàn)于安裝的應用程序之中。為了避免這個(gè)問(wèn)題的發(fā)生，你必須保持你的應用程序更新到最新版本。此外，訂閱漏洞警報服務(wù)，如SecurityFocus。

3. 禁用不用的服務(wù)和應用  

通常來(lái)講，用戶(hù)大多數時(shí)候都用不到他們系統上的服務(wù)和應用的一半。然而，這些服務(wù)和應用還是會(huì )運行，這會(huì )招來(lái)攻擊者。因而，最好是把這些不用的服務(wù)停掉。（LCTT譯注：或者干脆不安裝那些用不到的服務(wù)，這樣根本就不用關(guān)注它們是否有安全漏洞和該升級了。）  

4. 檢查系統日志  

你的系統日志告訴你在系統上發(fā)生了什么活動(dòng)，包括攻擊者是否成功進(jìn)入或試著(zhù)訪(fǎng)問(wèn)系統。時(shí)刻保持警惕，這是你第一條防線(xiàn)，而經(jīng)常性地監控系統日志就是為了守好這道防線(xiàn)。    

5. 考慮使用端口試探

設置端口試探（Port knocking）是建立服務(wù)器安全連接的好方法。一般做法是發(fā)生特定的包給服務(wù)器，以觸發(fā)服務(wù)器的回應/連接（打開(kāi)防火墻）。端口敲門(mén)對于那些有開(kāi)放端口的系統是一個(gè)很好的防護措施。

6. 使用Iptables

Iptables是什么？這是一個(gè)應用框架，它允許用戶(hù)自己為系統建立一個(gè)強大的防火墻。因此，要提升安全防護能力，就要學(xué)習怎樣一個(gè)好的防火墻以及怎樣使用Iptables框架。    

7. 默認拒絕所有  

防火墻有兩種思路：一個(gè)是允許每一點(diǎn)通信，另一個(gè)是拒絕所有訪(fǎng)問(wèn)，提示你是否許可。第二種更好一些。你應該只允許那些重要的通信進(jìn)入。（LCTT譯注：即默認許可策略和默認禁止策略，前者你需要指定哪些應該禁止，除此之外統統放行；后者你需要指定哪些可以放行，除此之外全部禁止。）    

8. 使用入侵檢測系統

入侵檢測系統，或者叫IDS，允許你更好地管理系統上的通信和受到的攻擊。Snort是目前公認的Linux上的最好的IDS。    

9. 使用全盤(pán)加密

加密的數據更難竊取，有時(shí)候根本不可能被竊取，這就是你應該對整個(gè)驅動(dòng)器加密的原因。采用這種方式后，如果有某個(gè)人進(jìn)入到你的系統，那么他看到這些加密的數據后，就有得頭痛了。根據一些報告，大多數數據丟失源于機器被盜。