所謂“棒打出頭鳥(niǎo)”一點(diǎn)都不錯(cuò)。 當(dāng)我們還在努力學(xué)習(xí)什么是Linux時(shí)， 絕然不會(huì)想到如今的Linux系統(tǒng)也成為了黑客口口聲聲要攻破的熱門話題。 相比Windows系統(tǒng)而言， Linux系統(tǒng)穩(wěn)定、成本低廉， 最重要的是它相對(duì)安全。 于是， Linux忽如一夜春風(fēng)來(lái)， 為形形色色各種人群所用， 花開(kāi)千萬(wàn)樹(shù)。 當(dāng)然隨之而來(lái)的也不僅僅是開(kāi)源軟件的大肆發(fā)展， 還有越來(lái)越多的安全問(wèn)題。

　　作為極受歡迎的開(kāi)源軟件， 每當(dāng)Linux出現(xiàn)安全漏洞時(shí)總是會(huì)有很多人主動(dòng)將其修復(fù)， 不過(guò)隨著問(wèn)題的逐漸增多， 及時(shí)地修補(bǔ)已很難實(shí)現(xiàn)。 不過(guò)， 一般認(rèn)為， 計(jì)算機(jī)網(wǎng)絡(luò)威脅主要來(lái)源于計(jì)算機(jī)病毒和黑客攻擊兩個(gè)方面， 那么就讓我們也從這兩方面入手， 更加有目的性地進(jìn)行Linux系統(tǒng)的安全防護(hù)工作。

　　拒絕來(lái)自病毒的威脅

　　病毒是任何系統(tǒng)都會(huì)首先遭遇的安全威脅。 盡管我們熟知的很多Linux病毒并不會(huì)真正破壞Linux系統(tǒng)， 但是它會(huì)感染到與之相鄰的Windows系統(tǒng)， 同樣可以造成系統(tǒng)無(wú)法正常工作。

　　目前Linux下的防病毒軟件主要分為基于開(kāi)放源代碼的防病毒軟件和商業(yè)防毒軟件兩大部分， 前者有德國(guó)SEBASTIAN、H+BEDV AntiVir/X公司的Anti Vir Linux， 后者包括GeCAD Software 的RAV Anti Virus Desktop For Linux v8等。

　　在上述的防病毒軟件中， 最常用的產(chǎn)品是AntiVir Linux。 軟件本身是基于命令行的工具， 因此在一些高級(jí)參數(shù)配置上需要管理員較高的水平。 在桌面級(jí)產(chǎn)品中， RAV Anti Virus Desktop For Linux v8是頗受用戶青睞的產(chǎn)品。

　　安裝系統(tǒng)時(shí)怎樣分區(qū)抵御黑客攻擊

　　在各種常見(jiàn)的攻擊中， 以緩沖區(qū)溢出為典型的安全漏洞攻擊數(shù)量最高。 這種攻擊使得任何一個(gè)網(wǎng)絡(luò)用戶可能獲得主機(jī)的控制權(quán)。 所以我們?cè)诎惭b系統(tǒng)時(shí)就要注意分區(qū)的問(wèn)題。

　　如果用root分區(qū)紀(jì)錄數(shù)據(jù)， 如log文件和電郵， 可能因?yàn)榫芙^服務(wù)產(chǎn)生大量日志或垃圾郵件導(dǎo)致系統(tǒng)崩潰。 所以建議為/var開(kāi)辟單獨(dú)的分區(qū)， 用來(lái)存放日志和郵件， 以避免root分區(qū)被溢出。 最好為特殊的應(yīng)用程序單獨(dú)開(kāi)一個(gè)分區(qū)， 特別是可以產(chǎn)生大量日志的程序。 另外建議為/home單獨(dú)分一個(gè)區(qū)， 這樣它們就無(wú)法填滿/分區(qū)， 從而避免了部分針對(duì)Linux分區(qū)溢出的惡意攻擊。

　　BIOS的設(shè)置

　　在BIOS設(shè)置中設(shè)定密碼， 不接受軟盤啟動(dòng)系統(tǒng)。 此舉可阻止那些試圖用專門的啟動(dòng)盤來(lái)進(jìn)入系統(tǒng)的黑客。

　　用戶口令

　　這是一個(gè)老生常談的話題。 無(wú)論什么系統(tǒng)， 用戶口令都是最基本的安全起點(diǎn)。 雖然從理論上說(shuō)， 只要有足夠的時(shí)間和資源可以利用， 就沒(méi)有不能破解的口令， 但是一串奇特的字符也許就能幫你抵御外部威脅， 何樂(lè)而不為?

　　小心默認(rèn)帳號(hào)、服務(wù)

　　在第一次安裝Linux系統(tǒng)時(shí)我們就應(yīng)該刪除那些用不到的帳戶。 你暴露的信息越多， 受到的傷害就越大。

　　Linux是一個(gè)強(qiáng)大的系統(tǒng)， 它給用戶提供了很多服務(wù)， 但并不是每一個(gè)服務(wù)都是你的所需。 這個(gè)文件就是/etc/inetd.conf， 它制定了/usr/sbin/inetd將要監(jiān)聽(tīng)的服務(wù)， 你可能只需要其中的兩個(gè)：telnet和ftp， 其它的類如shell、login、exec、talk等等， 除非你真的有必要， 否則統(tǒng)統(tǒng)關(guān)閉。

　　阻止來(lái)自外界的Ping請(qǐng)求

　　“echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all”

　　這樣一個(gè)命令行到，

　　/etc/rc.d/rc.local

　　當(dāng)系統(tǒng)每次啟動(dòng)后， 它會(huì)自動(dòng)幫你阻止來(lái)自外界的Ping請(qǐng)求。

　　加強(qiáng)日志管理

　　按理說(shuō)， 默認(rèn)的Linux日志管理已經(jīng)非常完善， 但是在所有的行為記錄中， 卻不包括ftp連接記錄。 網(wǎng)管們可以通過(guò)修改/etc/ftpaccess 或者/etc/inetd.conf， 來(lái)保證每一個(gè)ftp連接日志都能夠紀(jì)錄下來(lái)。 詳細(xì)掌握系統(tǒng)的每一個(gè)行為， 有助于網(wǎng)管抵御任何一個(gè)可能的攻擊。

　　注意Telnet服務(wù)

　　用戶可利用Telnet遠(yuǎn)程登陸Linux， 不過(guò)在登陸的同時(shí)， 操作系統(tǒng)和版本信息容易暴露， 這時(shí)候可以修改Telnet命令行使Telnet命令行不顯示系統(tǒng)信息， 以避免有針對(duì)性的攻擊。

　　對(duì)于網(wǎng)管來(lái)說(shuō)， 保護(hù)系統(tǒng)安全還有一個(gè)最簡(jiǎn)單有效的方法， 那就是到系統(tǒng)發(fā)行商那里下載最新的安全補(bǔ)丁(只是， 這些補(bǔ)丁的發(fā)現(xiàn)也極有可能是黑客的功勞， 也許是他們發(fā)現(xiàn)了系統(tǒng)漏洞所在)。

　　建立良好的安全意識(shí)， 從最簡(jiǎn)單的安全設(shè)置開(kāi)始， 合理利用安全工具， 對(duì)于Linux管理員來(lái)說(shuō)， 這一切看似簡(jiǎn)單。 但是保護(hù)Linux， 正是要從簡(jiǎn)單開(kāi)始。