需要提醒你的是以下三个服务漏洞很多,强烈建议你关闭它们:S34yppasswdd(NIS服务器)、S35ypserv(NIS服务器)和S60nfs(NFS服务器)。
谨慎使用.rhosts文件
.rhosts文件中存储的是可以直接远程访问本系统的主机及用户名。当你用telnet命令或r*命令(如rlogin、rcp等)来远程访问本系统时,系统首先检查.rhosts文件中是否存有你此时的主机名和用户名。当找到你的主机名和用户名后,它将允许你直接访问它,而不需输入口令。当黑客一旦攻破你的系统,他必将要在你的系统中留下一个供他日后自由出入的后门。只要他将自己的主机名和用户名写进.rhosts文件,就达到了这一目的。
所以我们要时刻检查我们的orhosts文件,一旦发现里面出现莫名其妙的主机名和用户名,马上删除它们。并把它们报告给它们的服务提供商,警告他们的行为。
日志管理日志文件时刻为你记录着你的系统的运行情况。当黑客光临时,也不能逃脱日志的法眼。所以黑客往往在攻击时修改日志文件,来隐藏踪迹。因此我们要限制对/var/log文件的访问,禁止一般权限的用户去查看日志文件。
另外,我们还可以安装一个icmp/tcp日志管理程序,如iplogger,来观察那些可疑的多次的连接尝试(加icmp flood3或一些类似的情况)。还要小心一些来自不明主机的登录。
终止正进行的攻击假如你在检查日志文件时,发现了一个用户从你未知的主机登录,而且你确定此用户在这台主机上没有账号,此时你可能正被攻击。首先你要马上锁住此账号(在口令文件或shadow文件中,此用户的口令前加一个Ib或其他的字符)。若攻击者已经连接到系统,你应马上断开主机与网络的物理连接。如有可能,你还要进一步查看此用户的历史记录,查看其他用户是否也被假冒,攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件hosts.deny中。
防范身边的攻击如果你的身边躲藏有攻击的人,要做到对他们的防范难上加难。因为他们甚至可以用如下方法获得你的根权限:攻击者首先用引导磁盘来启动系统,然后mount你的硬盘,改掉根口令,再重启动机器。此时攻击者拥有了根口令,而作为管理员的你却被拒之门外。要避免此类情况的发生,最简单的方法是改变机器中BIOS的配置,使机器的启动顺序改为硬盘第一序,并为你的BIOS设置一个口令。
补丁问题你应该经常到你所安装的Linux系统发行商的主页上去找最新的补丁。例如:对于Redhat系统而言,可以在:
http://www.redhat.com/corp/support/errata/上找到补丁。在Redhat6.1以后的版本带有一个自动升级工具up2date,它能自动测定哪些rpm包需要升级,然后自动从Redhat的站点下载并完成安装。