由于Linux操作系統(tǒng)是一個(gè)開放源代碼的免費(fèi)操作系統(tǒng) ， 因此受到越來越多用戶的歡迎 。隨著Linux操作系統(tǒng)在我國的不斷普及 ， 有關(guān)的政府部門更是將基于Linux開發(fā)具有自主版權(quán)的操作系統(tǒng)提高到保衛(wèi)國家信息安全的高度來看待 ， 因此我們不難預(yù)測今后Linux操作系統(tǒng)在我國將得到更快更大的發(fā)展 。雖然Linux與UNIX很類似 ， 但它們之間也有一些重要的差別 。對于眾多的習(xí)慣了UNIX和WindowsNT的系統(tǒng)管理員來講 ， 如何保證Linux操作系統(tǒng)的安全將面臨許多新的挑戰(zhàn) 。本文介紹了一系列實(shí)用的Linux安全管理經(jīng)驗(yàn) 。;

一、文件系統(tǒng);

在Linux系統(tǒng)中 ， 分別為不同的應(yīng)用安裝單獨(dú)的主分區(qū)將關(guān)鍵的分區(qū)設(shè)置為只讀將大大提高文件系統(tǒng)的安全 。這主要涉及到Linux自身的ext2文件系統(tǒng)的只添加（只添加）和不可變這兩大屬性 。;

●;文件分區(qū)Linux的文件系統(tǒng)可以分成幾個(gè)主要的分區(qū) ， 每個(gè)分區(qū)分別進(jìn)行不同的配置和安裝 ， 一般情況下至少要建立/、/usr/local、/var和/home等分區(qū) 。/usr可以安裝成只讀并且可以被認(rèn)為是不可修改的 。如果/usr中有任何文件發(fā)生了改變 ， 那么系統(tǒng)將立即發(fā)出安全報(bào)警 。當(dāng)然這不包括用戶自己改變/usr中的內(nèi)容 。/lib、/boot和/sbin的安裝和設(shè)置也一樣 。在安裝時(shí)應(yīng)該盡量將它們設(shè)置為只讀 ， 并且對它們的文件、目錄和屬性進(jìn)行的任何修改都會導(dǎo)致系統(tǒng)報(bào)警 。;
當(dāng)然將所有主要的分區(qū)都設(shè)置為只讀是不可能的,有的分區(qū)如/var等 ， 其自身的性質(zhì)就決定了不能將它們設(shè)置為只讀 ， 但應(yīng)該不允許它具有執(zhí)行權(quán)限 。;

●;擴(kuò)展ext2使用ext2文件系統(tǒng)上的只添加和不可變這兩種文件屬性可以進(jìn)一步提高安全級別 。不可變和只添加屬性只是兩種擴(kuò)展ext2文件系統(tǒng)的屬性標(biāo)志的方法 。一個(gè)標(biāo)記為不可變的文件不能被修改 ， 甚至不能被根用戶修改 。一個(gè)標(biāo)記為只添加的文件可以被修改 ， 但只能在它的后面添加內(nèi)容 ， 即使根用戶也只能如此 。;

可以通過chattr命令來修改文件的這些屬性 ， 如果要查看其屬性值的話可以使用lsattr命令 。要想了解更多的關(guān)于ext2文件屬性的信息 ， 可使用命令manchattr來尋求幫助 。這兩上文件屬性在檢測安全企圖在現(xiàn)有的文件中安裝入侵后門時(shí)是很有用的 。為了安全起見 ， 一旦檢測到這樣的活動就應(yīng)該立即將其阻止并發(fā)出報(bào)警信息 。;

如果你的關(guān)鍵的文件系統(tǒng)安裝成只讀的并且文件被標(biāo)記為不可變的 ， 入侵者必須重新安裝系統(tǒng)才能刪除這些不可變的文件但這會立刻產(chǎn)生報(bào)警 ， 這樣就大大減少了被非法入侵的機(jī)會 。;

●;保護(hù)log文件當(dāng)與log文件和log備份一起使用時(shí)不可變和只添加這兩種文件屬性特別有用 。系統(tǒng)管理員應(yīng)該將活動的log文件屬性設(shè)置為只添加 。當(dāng)log被更新時(shí) ， 新產(chǎn)生的log備份文件屬性應(yīng)該設(shè)置成不可變的 ， 而新的活動的log文件屬性又變成了只添加 。這通常需要在log更新腳本中添加一些控制命令 。;

二、備份;

在完成Linux系統(tǒng)的安裝以后應(yīng)該對整個(gè)系統(tǒng)進(jìn)行備份 ， 以后可以根據(jù)這個(gè)備份來驗(yàn)證系統(tǒng)的完整性 ， 這樣就可以發(fā)現(xiàn)系統(tǒng)文件是否被非法竄改過 。如果發(fā)生系統(tǒng)文件已經(jīng)被破壞的情況 ， 也可以使用系統(tǒng)備份來恢復(fù)到正常的狀態(tài) 。;

●;CD-ROM備份當(dāng)前最好的系統(tǒng)備份介質(zhì)就是CD-ROM光盤 ， 以后可以定期將系統(tǒng)與光盤內(nèi)容進(jìn)行比較以驗(yàn)證系統(tǒng)的完整性是否遭到破壞 。如果對安全級別的要求特別高 ， 那么可以將光盤設(shè)置為可啟動的并且將驗(yàn)證工作作為系統(tǒng)啟動過程的一部分 。這樣只要可以通過光盤啟動 ， 就說明系統(tǒng)尚未被破壞過 。;

如果你創(chuàng)建了一個(gè)只讀的分區(qū) ， 那么可以定期從光盤映像重新裝載它們 。即使象/boot、/lib和/sbin這樣不能被安裝成只讀的分區(qū) ， 你仍然可以根據(jù)光盤映像來檢查它們 ， 甚至可以在啟動時(shí)從另一個(gè)安全的映像重新下載它們 。;

推薦閱讀

• 

  2020年闖黃燈扣分嗎?
• 

  漢口在哪里交界處
• 

  原神重云武器四星怎么選 原神重云武器推薦
• 

  殺蟲用生石灰還是熟石灰
• 

  原神怎么祈愿
• 

  蝦腿是藍(lán)色的蝦叫什么蝦 腿是藍(lán)色的蝦是什么蝦
• 

  夢見別人吃藕 夢見別人吃藕片
• 

  怎么使用微信掃描二維碼付款
• 

  麻婆豆腐具體做法
• 

  華為p40是屏下指紋嗎
• 

  戴森v8第一次充電注意
• 

  泡瑤池浴有什么好處,沐浴黃龍清涼瑤池
• 

  歐洲的房價(jià)為什么這么貴，兩個(gè)人在歐洲房子一般消費(fèi)多少
• 

  寶寶巴士親子游戲—腦洞大開的奇思妙想，激發(fā)小寶寶早說話的潛能
• 

  公積金賬戶里面沒錢可以貸款買房嗎
• 

  二手豪車哪個(gè)好 豪華二手車哪里好

• 圖 Linux操作系統(tǒng)打印機(jī)配置全攻略
• 圖 Linux網(wǎng)絡(luò)環(huán)境下如何玩轉(zhuǎn)GMail信箱
• 圖 打造完美linux系統(tǒng)：網(wǎng)絡(luò)軟件安裝一
• 圖 打造完美linux系統(tǒng)：網(wǎng)絡(luò)軟件安裝二
• 圖 打造完美linux系統(tǒng)：圖像軟件安裝
• 圖 打造完美linux系統(tǒng)：辦公軟件安裝
• 圖 打造完美linux系統(tǒng)：常用軟件安裝一
• 圖 打造完美linux系統(tǒng)：常用軟件安裝二
• 圖 打造完美linux系統(tǒng)：硬件相關(guān)
• 圖 打造完美linux系統(tǒng)：疑難雜癥的解決