Linux安全：步步设防（3）

/etc/sysconfig/syslog
SYSLOGD_OPTIONS="-m r 0"

还应该设定日志远程保存。修改/etc/syslog.conf文件加入日志服务器的设置，syslog将保存副本在日志服务器上。

/etc/syslog.conf
*.* @log_server_IP

可以使用彩色日志过滤器。彩色日志loco过滤器，目前版本是0.32。使用loco /var/log/messages | more可以显示出彩色的日志，明显标记出root的位置和日志中异常的命令。这样可以减少分析日志时人为遗漏。

还要进行日志的定期检查。Red Hat Linux中提供了logwatch工具，定期自动检查日志并发送邮件到管理员信箱。需要修改/etc/log.d/conf/ logwatch.conf文件，在MailTo = root参数后增加管理员的邮件地址。Logwatch会定期检查日志，过滤有关使用root、sudo、telnet、ftp登录等信息，协助管理员分析日常安全。

检查本机具有suid和sgid的文件。具有suid和sgid的文件具有相当的危险性。简单说就是普通用户使用这些命令时可以具有超级用户的权限，用户就直接进入超级用户环境。有很多命令是需要suid和sgid的。在系统安装时就把这些命令找到，并作为标准以比较出现问题的机器就可以发现安全问题。除了suid和sgid外，如果发现有些文件不属于任何用户，也可能是安全出现漏洞。下面的命令可以将以上的文件列表保存到文件中，备份这些文件，以后用来方便比较。

find / -xdev -type f -perm +6000 2> /dev/null > /root/backup/audit/suid.log
find / -xdev -nouser -o -nogroup > /dev/null > /root/backup/audit/nouser.log
find / -xdev -type f -perm -2 > /dev/null > /root/backup/audit/other.log

使用SSH
当管理员远程管理客户机时，除了Webmin方便通过浏览器管理外，命令行的使用更加快捷。而telnet是明文传输的，为了防止被嗅探器捕捉敏感信息，使用SSH是最好的选择。SSH会在第一次连接时在通讯的两台机器之间生成密钥，随后的通讯是通过加密方式传输的，嗅探器将无法有效地分析信息。如果是Linux直接使用SSH命令将可以连接到对方主机，如果是从Windows连接，则需要软件的支持，推荐使用PuTTY，可以从http://www.chiark.greenend.org.uk/~sgtatham/putty/下载，目前的版本是0.52。SSH使用的是TCP端口22。注意不要使用任何r进程，比如rlogin、rcp等。