Linux系统十大高级安全管理技巧(1)

由于Linux操作系统是个开放源代码的免费操作系统，因此受到越来越多用户的欢迎。随着Linux操作系统在我国的不断普及，有关的政府部门更是将基于Linux研发具备自主版权的操作系统提高到保卫国家信息安全的高度来看待，因此我们不难预测今后Linux操作系统在我国将得到更快更大的发展。虽然Linux和UNIX很类似，但他们之间也有一些重要的差别。对于众多的习惯了UNIX和WindowsNT的系统管理员来讲，如何确保Linux操作系统的安全将面临许多新的挑战。本文介绍了一系列实用的Linux安全管理经验。

　　一、文档系统

　　在Linux系统中，分别为不同的应用安装单独的主分区将关键的分区配置为只读将大大提高文档系统的安全。这主要涉及到Linux自身的ext2文档系统的只添加（只添加）和不可变这两大属性。

　　● 文档分区Linux的文档系统能够分成几个主要的分区，每个分区分别进行不同的配置和安装，一般情况下至少要建立/、/usr/local、/var和/home等分区。/usr能够安装成只读并且能够被认为是不可修改的。假如/usr中有任何文档发生了改变，那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和配置也相同。在安装时应该尽量将他们配置为只读，并且对他们的文档、目录和属性进行的任何修改都会导致系统报警。

　　当然将任何主要的分区都配置为只读是不可能的,有的分区如/var等，其自身的性质就决定了不能将他们配置为只读，但应该不允许他具备执行权限。

　　● 扩展ext2使用ext2文档系统上的只添加和不可变这两种文档属性能够进一步提高安全级别。不可变和只添加属性只是两种扩展ext2文档系统的属性标志的方法。一个标记为不可变的文档不能被修改，甚至不能被根用户修改。一个标记为只添加的文档能够被修改，但只能在他的后面添加内容，即使根用户也只能如此。

　　能够通过chattr命令来修改文档的这些属性，假如要查看其属性值的话能够使用lsattr命令。要想了解更多的关于ext2文档属性的信息，可使用命令manchattr来寻求帮助。这两上文档属性在检测黑客企图在现有的文档中安装入侵后门时是很有用的。为了安全起见，一旦检测到这样的活动就应该立即将其阻止并发出报警信息。

　　假如您的关键的文档系统安装成只读的并且文档被标记为不可变的，入侵者必须重新安装系统才能删除这些不可变的文档但这会立即产生报警，这样就大大减少了被非法入侵的机会。

　　● 保护log文档当和log文档和log备份一起使用时不可变和只添加这两种文档属性特别有用。系统管理员应该将活动的log文档属性配置为只添加。当log被更新时，新产生的log备份文档属性应该配置成不可变的，而新的活动的log文档属性又变成了只添加。这通常需要在log更新脚本中添加一些控制命令。

　　二、备份

　　在完成Linux系统的安装以后应该对整个系统进行备份，以后能够根据这个备份来验证系统的完整性，这样就能够发现系统文档是否被非法窜改过。假如发生系统文档已被破坏的情况，也能够使用系统备份来恢复到正常的状态。

　　● CD-ROM备份当前最好的系统备份介质就是CD-ROM光盘，以后能够定期将系统和光盘内容进行比较以验证系统的完整性是否遭到破坏。假如对安全级别的需要特别高，那么能够将光盘配置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要能够通过光盘启动，就说明系统尚未被破坏过。

　　假如您创建了一个只读的分区，那么能够定期从光盘映像重新装载他们。即使象/boot、/lib和/sbin这样不能被安装成只读的分区，您仍然能够根据光盘映像来检查他们，甚至能够在启动时从另一个安全的映像重新下载他们。

　　● 其他方式的备份虽然/etc中的许多文档经常会变化，但/etc中的许多内容仍然能够放到光盘上用于系统完整性验证。其他不经常进行修改的文档，能够备份到另一个系统（如磁带）或压缩到一个只读的目录中。这种办法能够在使用光盘映像进行验证的基础上再进行额外的系统完整性检查。

　　既然现在绝大多数操作系统现在都在随光盘一起提供的，制作一个CD-ROM紧急引导盘或验证盘操作起来是十分方便的，他是一种十分有效而又可行的验证方法。