給Linux補洞(轉)

給Linux補洞(轉)[@more@]Linux存在的安全漏洞大部分是可以堵住的，但是傳統和習慣的操作方式卻使它們完全洞開。其實你可以在5分鐘之內完成百分之九十的保護。提高Linux系統的安全性的主要措施有如下幾點：

　　 1. 取消不必要的服務

　　 一般來說，除了Http、SMTP、Telnet和FTP之外，其他服務都應該取消，諸如簡單檔案傳輸協議TFTP、網路郵件儲存及接收所用的IMAP/IPOP傳輸協議、尋找和搜尋資料用的gopher、用於時間同步的daytime和time等以及報告系統狀態的服務，如finger、efinger、systat和netstat等。

　　 2. 加密使用者登入密碼並設定使用者賬號安全等級

　　 雖然Linux對使用者登入密碼加密存放，但仍然不太安全。比較安全的方法是設定影子檔案，只允許有特殊許可權的使用者閱讀該檔案。很多Linux系統都帶有Linux的插入式驗證模組工具程式PAM，它是一種身份驗證機制，可以用來動態地改變身份驗證的方法和要求。

　　 在Linux上每個賬號可以被賦予不同的許可權，而駭客最喜歡具有root許可權的使用者賬號，這種超級使用者有權修改或刪除各種系統設定，可以在系統中暢行無阻。因此，在給任何賬號賦予root許可權之前，都必須仔細考慮。

　　 3. 消除駭客犯罪的溫床

　　 在Unix系統中，有一系列r字頭的公用程式，它們是駭客用以入侵的武器，非常危險，因此絕對不要將root賬號開放給這些公用程式。很多像PAM的安全工具都是針對這一安全漏洞而設計的。

　　 4. 增強安全防護工具

　　 SSL是安全套接層的簡稱，它是可以安全地用來取代rlogin、rsh和rcp等公用程式的一套程式組。SSL採用公開金鑰技術對網路上兩臺主機之間的通訊資訊加密，並且用其金鑰充當身份驗證的工具。

　　 5. 常抓不懈，共同防禦

　　 從電腦保安的角度看，世界上沒有絕對密不透風、百分之百安全的計算機系統，Linux系統也不例外。採用以上的安全守則，雖然可以使Linux系統的安全性大大提高，使順手牽羊型的駭客和電腦玩家不能輕易闖入，但卻不一定能阻擋那些身懷絕技的高手，因此Linux系統管理員應該經常光顧在Internet上的安全新聞組，查閱新的修補程式，保持最新的系統核心，同時還要經常提高警惕，隨時注意各種可疑狀況，並且按時檢查各種系統日誌檔案，包括一般資訊日誌、網路連線日誌、檔案傳輸日誌以及使用者登入日誌等，追蹤駭客的蹤跡。此外，企業使用者還需要藉助防火牆等其他安全工具，共同防禦駭客入侵，才能確保系統萬無一失。

　　 Linux作為開放式作業系統，儘管不可避免地存在缺陷，但這屬於前進中的插曲，並不能阻擋Linux強大的發展勢頭和美好的未來前景，Linux還是值得大力推廣的。