引言：提起Linux，大家都覺(jué)得其安全性很高。因?yàn)橄鄬?duì)Windows來(lái)說(shuō)，大家對(duì)Linux接觸的相對(duì)較少。很多病毒、木馬和黑客工具都是針對(duì)Windows進(jìn)行攻擊的，攻擊Linux的惡意程序相對(duì)較少，似乎使用Linux后，就不必為系統(tǒng)安全擔(dān)憂了。其實(shí)不然，Linux系統(tǒng)同樣存在各種漏洞，黑客完全可能利用這些漏洞攻擊并控制整個(gè)系統(tǒng)。只有經(jīng)過(guò)精心的配置，消除所有安全漏洞，才可以讓系統(tǒng)變得強(qiáng)壯。

在Windows中，利用系統(tǒng)提供的Update功能，可以執(zhí)行系統(tǒng)的更新操作，也就是為系統(tǒng)打上各種補(bǔ)丁。與之對(duì)應(yīng)，不同的Linux系統(tǒng)都有各自的更新程序，利用其可以自動(dòng)搜索更新包并完成安裝操作，將系統(tǒng)中的所有軟件包升級(jí)到最新版本。登錄密碼可謂系統(tǒng)的第一道也是最重要的防線，如果您的Linux系統(tǒng)使用的是默認(rèn)的空密碼，而且還開(kāi) 啟 了Telnet、SSH等 服務(wù)的話，就等于為黑客入侵開(kāi)啟了大門(mén)。因此，當(dāng)系統(tǒng)安裝完畢后，必須立即更改Root等賬戶的密碼，可以使用Passwors命令來(lái)修改密碼，其使用格式為“password

賬戶名”。當(dāng)然，只有超級(jí)用戶才可以修改不同賬戶的密碼。如果在命令行中執(zhí)行“password”命令，修改的是Root賬戶的密碼，而且密碼輸入時(shí)不回顯的。雖然使用圖形界面也可以修改密碼，不過(guò)使用Linux一定要養(yǎng)成使用終端的習(xí)慣。對(duì)口令的保護(hù)還涉及到對(duì)“/etc/password”和“/etc/shadow”文件的保護(hù)，只有系統(tǒng)管理員才可以訪問(wèn)這兩個(gè)文件。

系統(tǒng)的所有活動(dòng)信息都會(huì)記錄在日志中，如果黑客入侵了系統(tǒng)，其行蹤自然逃不出日志的法眼。Linux的日志文件一般保存在“/var/log”目錄中，在該目錄下會(huì)發(fā)現(xiàn)名稱后面帶有數(shù)字的文件，這些文件是在日志文件被循環(huán)的時(shí)候創(chuàng)建的，因?yàn)槭茄h(huán)使用日志，其體積不會(huì)太大。但是，當(dāng)黑客攻擊系統(tǒng)后，往往會(huì)修改，刪除日志來(lái)逃避檢測(cè)。所以一定要限制“/var/log”目 錄的訪問(wèn)權(quán)限，禁止一般權(quán)限的用戶查看，修改日志內(nèi)容。大部分日志使用的是純文本模式，任何文本編輯器都可以查看其內(nèi)容。當(dāng)然，也可以使用系統(tǒng)自帶的工具，例如在Redhat Linux中運(yùn)行其內(nèi)置的Logviewer程序，可以以圖形化界面顯示日志信息，其界面更加細(xì)致簡(jiǎn)潔，查看起來(lái)很方便。當(dāng)然，也可以使用Logcheck這款專(zhuān)業(yè)工具來(lái)分析日志，該工具可以自動(dòng)檢查和安全相關(guān)的入侵事件以及非正?；顒?dòng)記錄，可以有效分析各種Linux日志文件，例如“/var/log/message”、“/var/log/secure”、“/var/log/maillog”等。

當(dāng)黑客入侵系統(tǒng)后，往往會(huì)和本機(jī)建立網(wǎng)絡(luò)連接，或者在其中安置后門(mén)程序，來(lái)長(zhǎng)期控制系統(tǒng)。在Linux中可以使用大家很熟悉的“netstat a”命令，來(lái)查看本機(jī)端口使用信息。在網(wǎng)絡(luò)連接列表中如果發(fā)現(xiàn)異常的端口連接情況，就必須對(duì)系統(tǒng)進(jìn)行安全檢查了。常言道，有備則無(wú)患。當(dāng)黑客入侵后，一旦將重要文件刪除，就會(huì)給您造成很大的損失。因此，對(duì)重要的文件和目錄進(jìn)行備份，是極為重要的。使用系統(tǒng)自帶的“tar”命令，就可以完成備份操作，其使用格式為“tar [選項(xiàng)] 文件或目錄”，其中的選項(xiàng)分為主選項(xiàng)和輔選項(xiàng)，主選項(xiàng)是必須的，告訴tar命令執(zhí)行什么動(dòng)作，輔選項(xiàng)是可選的，例如選項(xiàng)“c”表示創(chuàng)建新的文檔文件，“r”表示把要存檔的文件追加到檔案文件尾部，例如當(dāng)備份好文件后，發(fā)現(xiàn)有些文件忘記備份了，可以利用該選項(xiàng)，將這些文件追加到備份文件中?！皌”參數(shù)可以列出檔案內(nèi)容，“u”參數(shù)要用來(lái)更新檔案文件，即使用新增的文件覆蓋原備份文件，如果在檔案文件中沒(méi)有更新內(nèi)容則執(zhí)行追加操作。“f”參數(shù)表示使用檔案文件，“x”參數(shù)表示釋放文件。

例如，需要備份當(dāng)前路徑下的“data”目錄，可以執(zhí)行“tar-cf shuju.tar data”，將其內(nèi)容被分到“shuju.tar”文件中。以后需要恢復(fù)數(shù)據(jù)時(shí)，執(zhí)行“tar xvf shuju.tar”即可。對(duì)于系統(tǒng)中的一些重要目錄，建議經(jīng)常進(jìn)行備份操作。例如在“/etc/password”目錄中存儲(chǔ)所有用戶的信息，包括密碼、登錄的Shell等。在“/etc/fstab”目錄中保存文件系統(tǒng)配置信息，在“/etc/inittab”目錄中包含配置Init在不同運(yùn)行級(jí)別下啟動(dòng)系統(tǒng)參數(shù)，在“/etc/hosts”目錄中包含域名解析信息，在“/etc/inetd.conf”目 錄中包含遠(yuǎn)程控制信息，在“/etc/printcap”目錄中包含打印機(jī)通信配置信息，在“e/tc/XF86Config”目錄中包含Xfree86的初始配置信息等，對(duì)于上述目錄，應(yīng)該定期進(jìn)行備份。其實(shí)，在“/etc”目錄下有很多配置文件都需要及時(shí)進(jìn)行備份的。

當(dāng)黑客入侵系統(tǒng)后，往往會(huì)在其中創(chuàng)建非法賬戶，來(lái)對(duì)系統(tǒng)進(jìn)行深入控制。因此，對(duì)用戶列表經(jīng)常進(jìn)行檢查，及時(shí)發(fā)現(xiàn)并刪除陌生的可疑賬戶，是不可忽視的安全問(wèn)題。執(zhí)行“cat /etc/password”命令，就可以查看賬戶列表信息。使用“userdel f”命令，可以刪除指定的賬戶。例如執(zhí)行“userdelf hack”命令，可以將hack賬戶刪除，同時(shí)將其關(guān)聯(lián)的目錄和文件一并清除。為了提高安全性，需要在Linux中使用殺軟和防火墻軟件。這類(lèi)安全軟件有很多，例如ClamAV、Mcafee、Avast、Avria、AVG、F-PROT 等。對(duì)于防火墻軟件來(lái)說(shuō)，可以使用KDE自帶的防火墻，雖然沒(méi)有專(zhuān)業(yè)版防火墻功能強(qiáng)悍，不過(guò)對(duì)于一般用戶可以滿足需求。如果您沒(méi)有使用KDE桌面環(huán)境，可以使用系統(tǒng)自帶的IPTables（內(nèi)核包過(guò)濾管理工具），同樣可以起到防火墻的作用。其過(guò)濾流程的前提是包過(guò)濾規(guī)則必須被包過(guò)濾設(shè)備端口存儲(chǔ)起來(lái)，當(dāng)包到達(dá)端口時(shí)，對(duì)包的報(bào)頭進(jìn)行語(yǔ)法分析，大多數(shù)包過(guò)濾只檢查IP、TCP、UDP報(bào)頭中的字段信息。包過(guò)濾規(guī)則以特殊的方式存儲(chǔ)，應(yīng)用于包的規(guī)則的順序與包過(guò)濾器規(guī)則存儲(chǔ)順序必須相同。若一條規(guī)則阻止包傳輸或接收，則此包便不被允許。若一條規(guī)則允許包傳輸或接收，則此包便可以被繼續(xù)處理。若包不滿足任何一條規(guī)則，則此包便被阻止。

IPTables的 用 法是“iptable [-t table]CMD[chain][rule-matcher][-j target]”，其中的“table”是表明，為 filter、nat和mangle，包過(guò)濾只使用filter表，這是默認(rèn)項(xiàng)目。其中的“CMD”是操作命令，包括添加、刪除、更新等?！癱hain”為鏈名，對(duì)于包過(guò)濾防火墻可操作filter表中的INPUT鏈、OUTPUT鏈和FORWARD鏈，也可以自定義鏈。

“Rule-matcher” 參數(shù)是規(guī)則匹配器，用來(lái)指定各種規(guī)則匹配，例如IP、PORT、包類(lèi)型等?！癟arget”為目標(biāo)動(dòng)作，當(dāng)規(guī)則匹配一個(gè)包時(shí)，真正要執(zhí)行的任務(wù)用目標(biāo)表示，最常用的內(nèi)置目標(biāo)為ACCEPT和DROP，當(dāng)然，也可以使用擴(kuò)展的目標(biāo)?？雌饋?lái)包過(guò)濾規(guī)則很復(fù)雜，其實(shí)使用起來(lái)很簡(jiǎn)單，例如，一般用戶可以充分利用syn標(biāo)示來(lái)阻止未經(jīng)授權(quán)的非法訪問(wèn)。比如當(dāng)瀏覽網(wǎng)頁(yè)時(shí)，系統(tǒng)會(huì)發(fā)送一個(gè)請(qǐng)求到Web服務(wù)器上，該服務(wù)器會(huì)響應(yīng)該請(qǐng)求并發(fā)回一個(gè)數(shù)據(jù)包，同時(shí)在系統(tǒng)中開(kāi)啟一個(gè)端口。和響應(yīng)請(qǐng)求不同，Web服務(wù)器并不關(guān)心其傳輸?shù)膬?nèi)容，利用這個(gè)特點(diǎn)可以設(shè)置過(guò)濾規(guī)則，來(lái)阻止所有未經(jīng)您的系統(tǒng)授權(quán)的TCP連接，例如執(zhí)行“iptables t filter A INPUT i eth0–ptcp–syn jDROP”，其中的“-i”指的是網(wǎng)卡，“-p”指的是協(xié)議，“-syn”指的是帶有SYN標(biāo)識(shí)的TCP數(shù)據(jù)包。SYN用于初始化一個(gè)TCP連接，如果自己的電腦沒(méi)有運(yùn)行任何服務(wù)器軟件，別人就無(wú)法向您發(fā)送SYN數(shù)據(jù)包。

如果想攔截所有發(fā)送到本機(jī)的ICMP數(shù)據(jù)包的話，可以下執(zhí)行命令“iptables AINPUTpicmps0/0d0/0j DROP”。其 中的“p”參數(shù)指明控制何種網(wǎng)絡(luò)協(xié)議，這里是ICMP協(xié)議。其中的參數(shù)“-s”表示源地址，后根“0/0”表示任何源地址，其中的“-d”參數(shù)表示目標(biāo)地址，后根“0/0”表示所有的目標(biāo)地址。其中的參數(shù)“j”表示對(duì)符合條件的數(shù)據(jù)包采用何種處理辦法，后根“REJECT”表示拒絕該數(shù)據(jù)包。如果本機(jī)是一臺(tái)Web服務(wù)器，需要阻止外部主機(jī)對(duì)本機(jī)進(jìn)行訪問(wèn)，可以執(zhí)行命令“iptables A INPUT ptcp s0/0 d0/0 dport 80 j drop”，其 中的“-dport 80”參數(shù)指明封鎖本機(jī)的80端口。相反的，如果允許IP分為位“123.456.789.0/24”的外部主機(jī)訪問(wèn)本機(jī)所有端口，可以執(zhí)行命令“iptables-A INPUT-s 123.456.789.0/24 d0/0j ACCEPT”， 其 中的“-jACCEPT”參 數(shù) 表示允許訪問(wèn)。當(dāng)需要?jiǎng)h除iptables創(chuàng)建的安全規(guī)則時(shí)，首先使用“iptables line-numbers nL”命令。來(lái)查詢系統(tǒng)中的所有安全規(guī)則，每一條安全規(guī)則都存在一個(gè)編號(hào)，例如需要?jiǎng)h除第9條規(guī)則，執(zhí)行命令“iptables D INPUT 9”即可，其中的“-D”參數(shù)表示刪除操作。當(dāng)然，可以將一系列的IPTables規(guī)則放進(jìn)一個(gè)初始化的Shell腳本里，并為其加上可執(zhí)行屬性，設(shè)置為開(kāi)機(jī)運(yùn)行狀態(tài)，就可以組建一個(gè)功能強(qiáng)悍的防火墻。