Linux作為開放式的操作系統受到很多程序員的喜愛， 很多高級程序員都喜歡編寫Linux操作系統的相關軟件。 這使得Linux操作系統有著豐富的軟件支持， 還有無數的技術人員作為技術后盾和技術支持， 這使得Linux越來越受到程序員的歡迎。

但這種開放式的操作系統有一個最大的弊端就是每個程序員的水平不等， 編寫相關軟件后并未注意自己程序中的漏洞。 沒有統一的漏洞檢查， 這使得Linux的軟件中會出現很多的漏洞， 而軟件開發者卻很難察覺自己編寫程序的漏洞， 但黑客們會非常注意這些漏洞， 并且會利用這些漏洞來達到自己的目的。 那么是不是Linux系統就不安全了呢?其實大可不必擔心， 只要做好下述幾點便可安心的使用Linux系統。

一、取消不必要的服務

早期的Unix版本中， 每一個不同的網絡服務都有一個服務程序在后臺運行， 后來的版本用統一的/etc/inetd服務器程序擔此重任。 Inetd是Internetdaemon的縮寫， 它同時監視多個網絡端口， 一旦接收到外界傳來的連接信息， 就執行相應的TCP或UDP網絡服務。

由于受inetd的統一指揮， 因此Linux中的大部分TCP或UDP服務都是在/etc/inetd.conf文件中設定。 所以取消不必要服務的第一步就是檢查/etc/inetd.conf文件， 在不要的服務前加上“#”號。

一般來說， 除了http、smtp、telnet和ftp之外， 其他服務都應該取消， 諸如簡單文件傳輸協議tftp、網絡郵件存儲及接收所用的imap/ipop傳輸協議、尋找和搜索資料用的gopher以及用于時間同步的daytime和time等。

還有一些報告系統狀態的服務， 如finger、efinger、systat和netstat等， 雖然對系統查錯和尋找用戶非常有用， 但也給黑客提供了方便之門。 例如， 黑客可以利用finger服務查找用戶的電話、使用目錄以及其他重要信息。 因此， 很多Linux系統將這些服務全部取消或部分取消， 以增強系統的安全性。

Inetd除了利用/etc/inetd.conf設置系統服務項之外， 還利用/etc/services文件查找各項服務所使用的端口。 因此， 用戶必須仔細檢查該文件中各端口的設定， 以免有安全上的漏洞。

在Linux中有兩種不同的服務型態：一種是僅在有需要時才執行的服務， 如finger服務;另一種是一直在執行的永不停頓的服務。 這類服務在系統啟動時就開始執行， 因此不能靠修改inetd來停止其服務， 而只能從修改/etc/rc.d/rc[n].d/文件或用Run level editor去修改它。 提供文件服務的NFS服務器和提供NNTP新聞服務的news都屬于這類服務， 如果沒有必要， 最好取消這些服務。

二、限制系統的出入

在進入Linux系統之前， 所有用戶都需要登錄， 也就是說， 用戶需要輸入用戶賬號和密碼， 只有它們通過系統驗證之后， 用戶才能進入系統。

與其他Unix操作系統一樣， Linux一般將密碼加密之后， 存放在/etc/passwd文件中。 Linux系統上的所有用戶都可以讀到/etc/passwd文件， 雖然文件中保存的密碼已經經過加密， 但仍然不太安全。 因為一般的用戶可以利用現成的密碼破譯工具， 以窮舉法猜測出密碼。 比較安全的方法是設定影子文件/etc/shadow， 只允許有特殊權限的用戶閱讀該文件。

在Linux系統中， 如果要采用影子文件， 必須將所有的公用程序重新編譯， 才能支持影子文件。 這種方法比較麻煩， 比較簡便的方法是采用插入式驗證模塊(PAM)。 很多Linux系統都帶有Linux的工具程序PAM， 它是一種身份驗證機制， 可以用來動態地改變身份驗證的方法和要求， 而不要求重新編譯其他公用程序。 這是因為PAM采用封閉包的方式， 將所有與身份驗證有關的邏輯全部隱藏在模塊內， 因此它是采用影子檔案的最佳幫手。

此外， PAM還有很多安全功能：它可以將傳統的DES加密方法改寫為其他功能更強的加密方法， 以確保用戶密碼不會輕易地遭人破譯;它可以設定每個用戶使用電腦資源的上限;它甚至可以設定用戶的上機時間和地點。

Linux系統管理人員只需花費幾小時去安裝和設定PAM， 就能大大提高Linux系統的安全性， 把很多攻擊阻擋在系統之外。

三、保持最新的系統核心

由于Linux流通渠道很多， 而且經常有更新的程序和系統補丁出現， 因此， 為了加強系統安全， 一定要經常更新系統內核。

Kernel是Linux操作系統的核心， 它常駐內存， 用于加載操作系統的其他部分， 并實現操作系統的基本功能。 由于Kernel控制計算機和網絡的各種功能， 因此， 它的安全性對整個系統安全至關重要。

早期的Kernel版本存在許多眾所周知的安全漏洞， 而且也不太穩定， 只有2.0.x以上的版本才比較穩定和安全， 新版本的運行效率也有很大改觀。 在設定Kernel的功能時， 只選擇必要的功能， 千萬不要所有功能照單全收， 否則會使Kernel變得很大， 既占用系統資源， 也給黑客留下可乘之機。

在Internet上常常有最新的安全修補程序， Linux系統管理員應該消息靈通， 經常光顧安全新聞組， 查閱新的修補程序。

四、增強安全防護工具

SSH是安全套接層的簡稱， 它是可以安全地用來取代rlogin、rsh和rcp等公用程序的一套程序組。 SSH采用公開密鑰技術對網絡上兩臺主機之間的通信信息加密， 并且用其密鑰充當身份驗證的工具。

由于SSH將網絡上的信息加密， 因此它可以用來安全地登錄到遠程主機上， 并且在兩臺主機之間安全地傳送信息。 實際上， SSH不僅可以保障Linux主機之間的安全通信， Windows用戶也可以通過SSH安全地連接到Linux服務器上。

五、限制超級用戶的權力

我們在前面提到， root是Linux保護的重點， 由于它權力無限， 因此最好不要輕易將超級用戶授權出去。 但是， 有些程序的安裝和維護工作必須要求有超級用戶的權限， 在這種情況下， 可以利用其他工具讓這類用戶有部分超級用戶的權限。 Sudo就是這樣的工具。

Sudo程序允許一般用戶經過組態設定后， 以用戶自己的密碼再登錄一次， 取得超級用戶的權限， 但只能執行有限的幾個指令。

六、設定用戶賬號的安全等級

除密碼之外， 用戶賬號也有安全等級， 這是因為在Linux上每個賬號可以被賦予不同的權限， 因此在建立一個新用戶ID時， 系統管理員應該根據需要賦予該賬號不同的權限， 并且歸并到不同的用戶組中。

在Linux系統上的tcpd中， 可以設定允許上機和不允許上機人員的名單。 其中， 允許上機人員名單在/etc/hosts.allow中設置， 不允許上機人員名單在/etc/hosts.deny中設置。 設置完成之后， 需要重新啟動inetd程序才會生效。 此外， Linux將自動把允許進入或不允許進入的結果記錄到/rar/log/secure文件中， 系統管理員可以據此查出可疑的進入記錄。

每個賬號ID應該有專人負責。 在企業中， 如果負責某個ID的職員離職， 管理員應立即從系統中刪除該賬號。 很多入侵事件都是借用了那些很久不用的賬號。

在用戶賬號之中， 黑客最喜歡具有root權限的賬號， 這種超級用戶有權修改或刪除各種系統設置， 可以在系統中暢行無阻。 因此， 在給任何賬號賦予root權限之前， 都必須仔細考慮。

Linux系統中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱。 例如， 在RedHatLinux系統中， 該文件的初始值僅允許本地虛擬控制臺(rtys)以root權限登錄， 而不允許遠程用戶以root權限登錄。 最好不要修改該文件， 如果一定要從遠程登錄為root權限， 最好是先以普通賬號登錄， 然后利用su命令升級為超級用戶