如何保障Linux用户安全

CU的问题
CU命令能使用户从一个Linux系统登录到另一个Linux系统。此时，在远地系统还必须输入“～”后回车，以断开CU和远地系统的连接。
CU也有安全问题。如果本机安全性弱于远地机，不提倡用CU去登录远地机，以免由于本地机不安全而影响较安全的远地机。由于CU的老版本处理“～”的方法不完善，从安全性强的系统调用，会使安全性弱的系统的用户使用强系统用户的CU，传送强系统的／etc／passwd文件。
暂存文件和目录的安全
Linux系统中暂存目录为／tmp和／usr／tmp，如果用这些目录存放暂存文件，别的用户可能会破坏这些文件。使用暂存文件最好将文件屏蔽值定义为007。保险的方法是建立自己的暂存文件和目录$Home／Mp，不要将重要文件存放于公共的暂存目录。
UUCP文件传输和网络安全
UUCP命令用于将文件从一个Linux系统传送到另一个Linux系统。通过UUCP传送的文件，通常存于／usr／spool／uucppublic/login目录中，Login是用户的登录名，该目录存取许可为777。通过网络传输并存放于此目录的文件属于UUCP所有，文件存取许可为666和777。用户应当将通过UUCP传送的文件加密，并尽快移到自己的目录中。其它网络将文件传送到用户home目录下的RJC目录中。该目录对其他人是可写、可搜索的，但不一定是可读的，因而用户的RJC目录的存取许可方式应为733，允许程序在其中建立文件。同样，传送的文件也应加密并尽快移到自己的目录中。
Suid/Sgid的安全
尽量不写Suid/Sgid程序。in为现有文件建立一个链，即建立一个引用同一文件的新名字。如目的文件已经存在，则该文件被删除而代之以新的链；或存在的目的文件不允许用户写，则请求用户确认是否删除该文件，因为只允许在同一文件系统内建链。若要删除一个Suid文件，就要确认文件的链接数，只有一个链才能确保该文件被删除。若Suid文件已有多个链，一种方法是改变其存取许可方式，这将同时修改所有链的存取许可；也可以Chmod000文件名，这不仅取消了文件的Suid和Sgid许可，同时也取消了文件的全部链。要想找到谁与自己Suid程序建立了链，不要立刻删除该程序，系统管理员可用Ncheck命令找到该程序的其他链。
智能终端的安全
由于智能终端有Send Enter换码序列，因此告诉终端当前系统就像是用户敲入的一样。这是一种危险的能力，其他人可用Write命令发送信息给本用户终端。禁止其他用户发送信息的方法是使用Mesgn命令。Mesgn不允许其他用户发信息，Mesgy允许其他用户发信息。 即使如此仍有换码序列的问题存在，任何一个用户用Mail命令发送同样一组换码序列，不同的要用！rm-r*替换rm-r*。
其他安全问题
除了信任的用户外，不要运行其他用户的程序。在自己的Path中，将系统目录放在前面。用Ctrl＋D或Exit退出后，在断开与系统的连接前看到login:提示后再离开，以免在用户没注销时他人进入。定时使用ls -a .命令列出当前目录中的全部文件，包括以“．”开头的文件，查看所有文件的存取许可方式和所有者。任何不属于自己的文件都应怀疑和追究。
以上这些是我作为Linux系统管理员对保持用户账户安全的一些建议。更重要的是要建立安全意识，了解用户。系统管理员越熟悉自己的用户和用户工作习惯，就越能快速发现不寻常的事件，而不寻常的事件就意味着系统安全问题。避免用户账户不安全事故的最基本方法是预防和定期的安全检查，包括使用嗅探器。