提高Linux系統安全性的十招<3>(轉)

提高Linux系統安全性的十招<3>(轉)[@more@]

第5招：設定使用者賬號的安全等級

　　除密碼之外，使用者賬號也有安全等級，這是因為在Linux上每個賬號可以被賦予不同的許可權，因此在建立一個新使用者ID時，系統管理員應該根據需要賦予該賬號不同的許可權，並且歸併到不同的使用者組中。

　　

　　在Linux系統上的tcpd中，可以設定允許上機和不允許上機人員的名單。其中，允許上機人員名單在/etc/hosts.allow中設定，不允許上機人員名單在/etc/hosts.deny中設定。設定完成之後，需要重新啟動inetd程式才會生效。此外，Linux將自動把允許進入或不允許進入的結果記錄到/rar/log/secure檔案中，系統管理員可以據此查出可疑的進入記錄。

　　每個賬號ID應該有專人負責。在企業中，如果負責某個ID的職員離職，管理員應立即從系統中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號。

　　在使用者賬號之中，駭客最喜歡具有root許可權的賬號，這種超級使用者有權修改或刪除各種系統設定，可以在系統中暢行無阻。因此，在給任何賬號賦予root許可權之前，都必須仔細考慮。

　　Linux系統中的/etc/securetty檔案包含了一組能夠以root賬號登入的終端機名稱。例如，在RedHatLinux系統中，該檔案的初始值僅允許本地虛擬控制檯(rtys)以root許可權登入，而不允許遠端使用者以root許可權登入。最好不要修改該檔案，如果一定要從遠端登入為root許可權，最好是先以普通賬號登入，然後利用su命令升級為超級使用者。

　　第6招：消除駭客犯罪的溫床

　　在Unix系統中，有一系列r字頭的公用程式，它們是駭客用以入侵的武器，非常危險，因此絕對不要將root賬號開放給這些公用程式。由於這些公用程式都是用.rhosts檔案或者hosts.equiv檔案核准進入的，因此一定要確保root賬號不包括在這些檔案之內。

　　由於r字頭指令是駭客們的溫床，因此很多安全工具都是針對這一安全漏洞而設計的。例如，PAM工具就可以用來將r字頭公用程式的功力廢掉，它在/etc/pam.d/rlogin檔案中加上登入必須先核准的指令，使整個系統的使用者都不能使用自己home目錄下的.rhosts檔案。

　　第7招：增強安全防護工具

　　SSH是安全套接層的簡稱，它是可以安全地用來取代rlogin、rsh和rcp等公用程式的一套程式組。SSH採用公開金鑰技術對網路上兩臺主機之間的通訊資訊加密，並且用其金鑰充當身份驗證的工具。

　　由於SSH將網路上的資訊加密，因此它可以用來安全地登入到遠端主機上，並且在兩臺主機之間安全地傳送資訊。實際上，SSH不僅可以保障Linux主機之間的安全通訊，Windows使用者也可以透過SSH安全地連線到Linux伺服器上。

　　第8招：限制超級使用者的權力

　　我們在前面提到，root是Linux保護的重點，由於它權力無限，因此最好不要輕易將超級使用者授權出去。但是，有些程式的安裝和維護工作必須要求有超級使用者的許可權，在這種情況下，可以利用其他工具讓這類使用者有部分超級使用者的許可權。Sudo就是這樣的工具。

　　Sudo程式允許一般使用者經過組態設定後，以使用者自己的密碼再登入一次，取得超級使用者的許可權，但只能執行有限的幾個指令。例如，應用sudo後，可以讓管理磁帶備份的管理人員每天按時登入到系統中，取得超級使用者許可權去執行文件備份工作，但卻沒有特權去作其他只有超級使用者才能作的工作。

　　Sudo不但限制了使用者的許可權，而且還將每次使用sudo所執行的指令記錄下來，不管該指令的執行是成功還是失敗。在大型企業中，有時候有許多人同時管理Linux系統的各個不同部分，每個管理人員都有用sudo授權給某些使用者超級使用者許可權的能力，從sudo的日誌中，可以追蹤到誰做聳裁匆約案畝 了系統的哪些部分 ?

　　值得注意的是，sudo並不能限制所有的使用者行為，尤其是當某些簡單的指令沒有設定限定時，就有可能被駭客濫用。例如，一般用來顯示檔案內容的/etc/cat指令，如果有了超級使用者的許可權，駭客就可以用它修改或刪除一些重要的檔案