由於Linux操作係統良好（hǎo）的網絡功能（néng），因此在（zài）因特（tè）網（wǎng）中大部分網站服務器都是使用的Linux作為主操作係（xì）統的。但由於該操作係統是一個多用戶操（cāo）作係（xì）統，黑客們為了在攻擊中（zhōng）隱藏自（zì）己，往往會選擇Linux作為首先攻（gōng）擊的對象。那麽，作為一名Linux用戶（hù），我們該如何通過合理的方法來防範Linux的安全呢?下麵筆者搜集和整理（lǐ）了一些防範Linux安全的（de）幾則措施，現在把它們貢獻出來，懇請（qǐng）各位網（wǎng）友能不斷補充和完善。

　　1、禁止使用ping命令

　　ping命令是計算機之間進行相互檢測線路完好的一個應用程序，計算機間交流數據的傳（chuán）輸沒有（yǒu）經過任何的加密（mì）處理，因此我們在用ping命令來檢測某一個服務器（qì）時，可能在因特網上存在某個非法分子，通過專門的黑客（kè）程序把在網絡線路上傳輸的信息中途竊（qiè）取，並利用偷盜過來的信息對（duì）指定的服務器或者係（xì）統進（jìn）行攻擊，為此我們有（yǒu）必（bì）要在Linux係統中禁止使用Linux命令。在linux裏，如果要想（xiǎng）使ping沒反應也就是用來忽略icmp包，因此我（wǒ）們（men）可以在Linux的命令行中輸入如（rú）下命令：echo 1 /proc/sys/net/ipv4/icmp_echo_igore_all ;如果想恢（huī）複使用ping命令，就可以輸（shū）入echo 0 /proc/sys/net/ipv4/icmp_echo_igore_all命令。

　　2、注意對係統（tǒng）及時備份

　　為了防止係統在使用的過程中發生以（yǐ）外情（qíng）況而難以正常運行，我（wǒ）們應該對Linux完好的係統進（jìn）行（háng）備份，最好是在一完成Linux係統的安裝任務後就對整個係統進（jìn）行備份，以後可以根據這個備份來驗證係統的完整性，這樣就可以發現係（xì）統文（wén）件是否被非法修改過。如果發生係統文件已經被破壞的情況，也可以使用係統備份來恢複（fù）到正常的狀態。備（bèi）份信息時，我們可以把完好的係統（tǒng）信息（xī）備（bèi）份在CD-ROM光盤上，以後可（kě）以定期將係統（tǒng）與光盤內容進（jìn）行（háng）比較（jiào）以驗證係統的完整性是否遭到（dào）破壞。如果對安全級別的要求特別（bié）高，那麽可以將光盤（pán）設置為可（kě）啟（qǐ）動的並且將驗證工作作為係統啟動過程的一部分。這樣隻要可以通過光（guāng）盤啟動，就（jiù）說明係統尚（shàng）未被破壞過。

　　3、改進登錄服務（wù）器

　　將係統的登錄服務器移到一（yī）個單獨的機器中（zhōng）會增加係（xì）統的（de）安全級別，使用一個更安全的登錄服（fú）務器來取代Linux自身的登錄工（gōng）具也可（kě）以（yǐ）進一步提高安（ān）全。在大的Linux網絡中，最好使用一個單（dān）獨的登錄服務器用於syslog服務。它必劇情網須是一（yī）個能夠滿足所有係統（tǒng）登錄需求並且（qiě）擁有足（zú）夠的（de）磁盤空（kōng）間的服務器係統，在這（zhè）個係統上應該沒有其（qí）它（tā）的服務運行。更安全的登錄服務器會大大（dà）削弱入侵者（zhě）透過登錄係統（tǒng）竄改日誌文件的能力。

　　4、取（qǔ）消root命令曆史記錄（lù）

　　在（zài）linux下，係統會自動記錄用戶輸（shū）入過的命（mìng）令，而root用戶發出的（de）命令往往具有（yǒu）敏感的信息（xī），為了保證安全性，一般（bān）應該（gāi）不記錄或（huò）者少記錄root的命（mìng）令曆（lì）史（shǐ）記錄。為了（le）設置係統不記錄每個人執行過的命（mìng）令，我們可以在linux的命令行下，首先用cd命令進入到/etc命令，然後用編輯命（mìng）令來打開該目錄下麵的（de）profile文件，並在（zài）其中輸入如（rú）下內容：

　　HISTFILESIZE=0

　　HISTSIZE=0

　　當然（rán），我們也可以直接在命令行中輸（shū）入如（rú）下命令（lìng）：ln -s /dev/null ~/.bash_history 。

　　5、為關鍵分區建立隻讀屬性

　　Linux的（de）文件係統可以分成幾個主（zhǔ）要的分區（qū），每個分區（qū）分別進（jìn）行不同的配置（zhì）和（hé）安裝，一般情況下至少要建立/、/usr/local、/var和/home等（děng）分（fèn）區。/usr可以安裝成隻讀並且可（kě）以被認為是不可修改的。如果/usr中有任何文件發生了改變，那麽係統將立即發出安全報警。當然這不包括用戶自（zì）己（jǐ）改變/usr中的內（nèi）容。/lib、/boot和/sbin的（de）安裝和設置（zhì）也一樣。在安裝（zhuāng）時應該盡（jìn）量將它們設置為隻（zhī）讀，並且（qiě）對它們的（de）文件、目錄和屬性進行的（de）任何修改都會導致（zhì）係統報警。

　　當然將所有主要的分區都設置為隻讀是不可能的（de）,有的分區如/var等，其自身的性（xìng）質就決（jué）定了（le）不能將它們設置為隻讀，但應該不允（yǔn）許（xǔ）它具有執行權限（xiàn）。

　　6、殺（shā）掉攻擊者的所有（yǒu）進程

　　假（jiǎ）設我們（men）從係統的日誌文件中發現了一個用戶從（cóng）我們未知的主機登（dēng）錄（lù），而且（qiě）我們確定該用戶在這（zhè）台主機上沒有相應的帳號，這表明此時我們正在受到攻擊。為了保證係統的安全被進一步破壞（huài），我們應該馬上鎖住指定的帳號，如果攻擊者已經（jīng）登錄到指定的係統，我們應該馬上斷開主機與網絡的物理連接（jiē）。如有可能（néng），我們還要進一步查看此用戶（hù）的曆史記（jì）錄，再仔細查看（kàn）一下其他用戶是否也已經（jīng）被假冒，攻擊者是否擁有（yǒu）有限權限;最後應該殺掉此用戶的所有進程，並把（bǎ）此主機的IP地址掩碼加入到文件hosts.deny中。

　　7、改進係統內部安全（quán）機製

　　我們可（kě）以通過改進Linux操作係統（tǒng）的（de）內部（bù）功能來防止緩衝區溢出，從而達到增強Linux係統內部安（ān）全機製的目的，大大提高了整（zhěng）個係（xì）統的安全性。但緩衝區溢出實施起來是相當困難的，因為入侵者必須能夠判斷潛在的緩衝區溢出何時（shí）會出現以及它在內存（cún）中的什麽位（wèi）置出現。緩衝區（qū）溢出預防（fáng）起來也十分困難，係統（tǒng）管理員必須完全去掉緩衝區溢出存在的條件才能防止這種方式的攻擊。正因為如此，許多人甚至包括（kuò）Linux Torvalds本人也（yě）認（rèn）為這個安全Linux補丁十分重要，因為它防止了所有使用緩衝區溢出的攻（gōng）擊。但是需要引起注意的是，這些補丁也會導致對執（zhí）行棧的某（mǒu）些（xiē）程序和（hé）庫的依賴問題，這些問題也給（gěi）係（xì）統管理員帶來的新的挑戰。

　　8、對係統進行跟蹤記錄

　　為（wéi）了能密切地監視黑客的攻擊活動，我（wǒ）們應該啟動日誌文件，來記錄係統（tǒng）的運行情（qíng）況，當（dāng）黑客在攻擊係統時，它的蛛絲馬（mǎ）跡都（dōu）會被記錄在日誌文件中的，因此（cǐ）有許多黑客在開始攻擊係統時，往往首先通過（guò）修改係統的日誌文件，來隱藏自己的行（háng）蹤，為此我們必須限製（zhì）對/var/log文件（jiàn）的訪問，禁（jìn）止一般（bān）權限的用戶（hù）去查看日誌文件。當然，係統（tǒng）中內置的日誌管理程序功能（néng）可能不是太強，我們應該采用專門的日誌（zhì）程序，來觀察那些可疑的多（duō）次連接嚐試。另外，我們還（hái）要小心（xīn）保護好具有根權限的密碼和用戶（hù），因為黑客一旦知道了這些具有根權限的帳號後，他們（men）就（jiù）可以修改（gǎi）日誌（zhì）文（wén）件來隱藏其蹤跡了。

　　9、使用（yòng）專用程序來防範安全

　　有時，我（wǒ）們通過（guò）人工的方法來監視係統（tǒng）的安全比較麻煩，或者是不周密，因此我們還可以通過專業程序來防（fáng）範係統的安全，目前最典型的方（fāng）法為設置陷井和設置蜜罐（guàn）兩種方法。所謂陷井就是激活時能夠觸發報警事件的軟件，而蜜罐(honey pot)程序是（shì）指設計來引誘有入侵企圖者觸發專（zhuān）門的報警的陷井程序。通過設置陷（xiàn）井和蜜罐程序，一旦出現入侵事件係統可（kě）以很（hěn）快發出報警。在（zài）許多（duō）大的（de）網絡中，一般都設計有專門的陷井程（chéng）序。陷井程序一般分為兩種：一（yī）種是隻發現入侵者而不對其采取報複行動，另一種（zhǒng）是同時（shí）采取報複行動。

　　10、將入侵消滅在萌芽狀態

　　入侵者進行攻擊之前最（zuì）常做的一件事情就是端號掃瞄，如果能夠及時發現和（hé）阻止入侵（qīn）者的端號掃瞄行為（wéi），那麽（me）可（kě）以大（dà）大減少入侵事件的發生率（lǜ）。反應係統可以是一個簡（jiǎn）單的狀態檢查包過濾器，也可以是一個複雜的入侵檢測係統或可配置的防火牆。我們可（kě）以（yǐ）采用諸如Abacus Port Sentry這樣專業的工具，來監視網絡接口（kǒu）並且與防火（huǒ）牆交互操作，最終達到（dào）關閉端口掃（sǎo）瞄攻（gōng）擊的目的。當發生（shēng）正在進（jìn）行的端口掃瞄（miáo）時，Abacus Sentry可以迅速阻止它繼續執行。但是如果配（pèi）置不當，它也可能允許敵意的外部者在你的係統中安裝拒絕服務攻擊。正確地使用這個軟件將（jiāng）能夠有（yǒu）效地防止對端號大量的並行掃瞄並且（qiě）阻（zǔ）止（zhǐ）所有這樣的入侵者。

　　11、嚴格（gé）管理好（hǎo）口令（lìng）

　　前麵我們也曾經說到過，黑客一旦獲取具有根（gēn）權限（xiàn）的帳號時，就可以對係統進（jìn）行任意的破壞和攻擊，因此我（wǒ）們必須保護好係（xì）統的（de）操（cāo）作口令。通常用戶的口令是保（bǎo）存在文件/etc/passwd文件中的（de），盡管/etc/passwd是一個（gè）經過加密的文件，但黑客們可以通過許多專用的搜索方法來查（chá）找（zhǎo）口令，如果我們的口（kǒu）令選擇（zé）不當，就很容易被黑（hēi）客搜索到。因此，我們（men）一（yī）定要選擇一個確保不容易（yì）被搜索的口令。另外，我們最（zuì）好能安裝一（yī）個口令（lìng）過濾工具，並借用該工具來幫物料（liào）管理流程助自己（jǐ）檢查（chá）設置的口令是否耐得住攻擊。