Linux安全管理10要点

谨慎使用.rhosts文件
.rhosts文件中存储的是可以直接远程访问本系统的主机及用户名。当你用telnet命令或r*命令(如rlogin、rcp等)来远程访问本系统时，系统首先检查．rhosts文件中是否存有你此时的主机名和用户名。当找到你的主机名和用户名后，它将允许你直接访问它，而不需输入口令。当黑客一旦攻破你的系统，他必将要在你的系统中留下一个供他日后自由出入的后门。只要他将自己的主机名和用户名写进．rhosts文件，就达到了这一目的。
所以我们要时刻检查我们的orhosts文件，一旦发现里面出现莫名其妙的主机名和用户名，马上删除它们。并把它们报告给它们的服务提供商，警告他们的行为。
日志管理
日志文件时刻为你记录着你的系统的运行情况。当黑客光临时，也不能逃脱日志的法眼。所以黑客往往在攻击时修改日志文件，来隐藏踪迹。因此我们要限制对／var／log文件的访问，禁止一般权限的用户去查看日志文件。
另外，我们还可以安装一个icmp／tcp日志管理程序，如iplogger，来观察那些可疑的多次的连接尝试(加icmp flood3或一些类似的情况)。还要小心一些来自不明主机的登录。
终止正进行的攻击
假如你在检查日志文件时，发现了一个用户从你未知的主机登录，而且你确定此用户在这台主机上没有账号，此时你可能正被攻击。首先你要马上锁住此账号(在口令文件或shadow文件中，此用户的口令前加一个Ib或其他的字符)。若攻击者已经连接到系统，你应马上断开主机与网络的物理连接。如有可能，你还要进一步查看此用户的历史记录，查看其他用户是否也被假冒，攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件hosts.deny中。
防范身边的攻击
如果你的身边躲藏有攻击的人，要做到对他们的防范难上加难。因为他们甚至可以用如下方法获得你的根权限：攻击者首先用引导磁盘来启动系统，然后mount你的硬盘，改掉根口令，再重启动机器。此时攻击者拥有了根口令，而作为管理员的你却被拒之门外。要避免此类情况的发生，最简单的方法是改变机器中BIOS的配置，使机器的启动顺序改为硬盘第一序，并为你的BIOS设置一个口令。
补丁问题
你应该经常到你所安装的Linux系统发行商的主页上去找最新的补丁。例如：对于Redhat系统而言，可以在：http://www.redhat.com/corp/support/errata/上找到补丁。在Redhat6.1以后的版本带有一个自动升级工具up2date，它能自动测定哪些rpm包需要升级，然后自动从Redhat的站点下载并完成安装。