Linux安全問題

雖然Linux一直以穩定高效且安全著稱，但世無完物，其存在於系統內的細小安全隱患同樣不可小視

[編輯] 管理員帳戶root的自動註銷

比如管理員在離開時忘了把root註銷，這就存在隱患了。而我們希望系統應該能夠自動從shell中註銷，以達到保護root帳戶的安全。解決方法為：需要設置一個特殊的「tmout」變數，即編輯文件/etc/profile，在「histfilesize=」命令行的下一行增加　「tmout=900」表示所有用戶如果在15分鐘內無任何操作將自動註銷此帳戶，同時，增加了此命令行後，請重新用root登錄，更改才能生效!

Linux提供了多種帳號類型，可我們平常經常使用的也就那麼一兩個，因此不需要的完全可以移除，帳號開發越多就越容易受到不良入侵這個道理，相信大家清楚吧。以下是可以有選擇性刪除的系統帳號：Sendmail伺服器：news、uucp、operator。X windows伺服器：gopher。具有某些特權的帳號：adm、shutdown、mail、sync。除此之外，還有某些系統用戶、組用戶、匿名FTP帳戶等，使用命令格式為：userdel username。

[編輯] 口令的設定規則

設置口令一直都是系統安全的第一道門檻。Linux安裝時默認的口令長度最小為5，為了確保口令不易被某些猜測軟體檢測到，一般採用增加口令的最小長度的方法解決。實施辦法為：修改文件/etc/login.defs中的參數PASS_MIN_LEN（口令最小長度）；PASS_MIN_DAYS（口令使用時間），以對口令的使用時間作限制，定期更換口令達到安全的目的。

在windows下此漏洞就是受攻擊的主要對象，其結果可以輕易用匿名的帳戶獲得主機的控制權！要預防此類漏洞攻擊，在安裝系統時就應該注意。很多資料上都說，如果用root分區紀錄數據，就可能因為拒絕服務產生大量日誌或垃圾郵件，從而導致系統崩潰；所以筆者建議為/var設立單獨的分區用於存放日誌和郵件，避免root分區被溢出；最為理想的辦法是為特殊的應用程序單獨設立分區，以及給/home單獨設立一個區，經過這樣的單獨分區設定，可以有效避免針對Linux分區溢出的某些惡意攻擊。

此文件定製/usr/sbin/inetd將要監聽的服務，以筆者的使用來看一般只需telnet和ftp這兩個就行了，其它的完全可以關閉，比如finger、imap、exec以及shell等，這其中又以S34yppasswdd（NIS伺服器）和S60nfs（NFS伺服器）兩個服務存在的漏洞最多，運行的服務越少，系統越安全。

實施方法為：先用以下命令顯示系統開放的服務：grep -v "#" /etc/inetd.conf然後運行#killall -HUP inetd來關閉不需要的服務。配置完成後再使用以下命令將其改為不可更改，而只能用root 帳戶才能解開：

1. chattr -i /etc/inetd.conf

最後還可以用以下命令查看哪些服務在正常運行：netstat -na --ip 。

對系統上的用戶資源作適當限制可以有效防止DoS類型的攻擊，如最大進程數等。實現方法：如果是對所有用戶作限制，先編輯/etc/pam.d/login文件，檢查是否有session required /lib/security/pam_limits.so這一行；然後編輯/etc/security/limits.con，並加入以下幾行：

[編輯] 系統日誌安全性

Linux所有的日誌內容都放在/var/log下，除了FTP外一般來說linux的日誌已經非常強大了。因此我們得通過修改，完善FTP日誌。實現辦法：修改/etc/ftpaccess使其記錄每一個ftp連接日誌。除此之外，還可以通過安裝Sniffer解決。

談到Linux的安全性，一定要討論IPChains的。IPChains是集成到2.2.x內核中的包過濾防火牆軟體。只要運行了Red Hat 6.0或更高版本，IPChains就已在Linux安裝包內了。要保護一台獨立伺服器系統，可以配置IPChains僅允許出站的TCP連接， 這樣當外部主機試圖發起任何TCP連接，都會被禁止連接；最後，應設置記錄所有的被禁止連接，這樣可以跟蹤系統，及時發現漏洞所在。

最後，提提補丁的問題。同樣跟windows平台類似，Linux也需要經常關注其版本更新和補丁升級的。可以到這裡下載或是用系統自帶的升級工具up2date，它可以自動檢測哪些rpm包需要升級並自動從Redhat上下載安裝。

推薦閱讀：