所謂“棒打出頭鳥”一點都不錯。當(dāng)我們還在努力學(xué)習(xí)什么是linux時，絕然不會想到如今的Linux系統(tǒng)也成為了黑客口口聲聲要攻破的熱門話題。相比Windows系統(tǒng)而言，Linux系統(tǒng)穩(wěn)定、成本低廉，最重要的是它相對安全。于是，Linux忽如一夜春風(fēng)來，為形形色色各種人群所用，花開千萬樹。當(dāng)然隨之而來的也不僅僅是開源軟件的大肆發(fā)展，還有越來越多的安全問題。

　　作為極受歡迎的開源軟件，每當(dāng)Linux出現(xiàn)安全漏洞時總是會有很多人主動將其修復(fù)，不過隨著問題的逐漸增多，及時地修補(bǔ)已很難實現(xiàn)。不過，一般認(rèn)為，計算機(jī)網(wǎng)絡(luò)威脅主要來源于計算機(jī)病毒和黑客攻擊兩個方面，那么就讓我們也從這兩方面入手，更加有目的性地進(jìn)行Linux系統(tǒng)的安全防護(hù)工作。

　　拒絕來自病毒的威脅

　　病毒是任何系統(tǒng)都會首先遭遇的安全威脅。盡管我們熟知的很多Linux病毒并不會真正破壞Linux系統(tǒng)，但是它會感染到與之相鄰的Windows系統(tǒng)，同樣可以造成系統(tǒng)無法正常工作。

　　目前Linux下的防病毒軟件主要分為基于開放源代碼的防病毒軟件和商業(yè)防毒軟件兩大部分，前者有德國SEBASTIAN、H+BEDV AntiVir/X公司的Anti Vir Linux，后者包括GeCAD Software 的RAV Anti Virus Desktop For Linux v8等。

　　在上述的防病毒軟件中，最常用的產(chǎn)品是AntiVir Linux。軟件本身是基于命令行的工具，因此在一些高級參數(shù)配置上需要管理員較高的水平。在桌面級產(chǎn)品中，RAV Anti Virus Desktop For Linux v8是頗受用戶青睞的產(chǎn)品。

　　安裝系統(tǒng)時怎樣分區(qū)抵御黑客攻擊

　　在各種常見的攻擊中，以緩沖區(qū)溢出為典型的安全漏洞攻擊數(shù)量最高。這種攻擊使得任何一個網(wǎng)絡(luò)用戶可能獲得主機(jī)的控制權(quán)。所以我們在安裝系統(tǒng)時就要注意分區(qū)的問題。

　　如果用root分區(qū)紀(jì)錄數(shù)據(jù)，如log文件和電郵，可能因為拒絕服務(wù)產(chǎn)生大量日志或垃圾郵件導(dǎo)致系統(tǒng)崩潰。所以建議為/var開辟單獨(dú)的分區(qū)，用來存放日志和郵件，以避免root分區(qū)被溢出。最好為特殊的應(yīng)用程序單獨(dú)開一個分區(qū)，特別是可以產(chǎn)生大量日志的程序。另外建議為/home單獨(dú)分一個區(qū)，這樣它們就無法填滿/分區(qū)，從而避免了部分針對Linux分區(qū)溢出的惡意攻擊。

　　BIOS的設(shè)置

　　在BIOS設(shè)置中設(shè)定密碼，不接受軟盤啟動系統(tǒng)。此舉可阻止那些試圖用專門的啟動盤來進(jìn)入系統(tǒng)的黑客。

　　用戶口令

　　這是一個老生常談的話題。無論什么系統(tǒng)，用戶口令都是最基本的安全起點。雖然從理論上說，只要有足夠的時間和資源可以利用，就沒有不能破解的口令，但是一串奇特的字符也許就能幫你抵御外部威脅，何樂而不為?

　　小心默認(rèn)帳號、服務(wù)

　　在第一次安裝Linux系統(tǒng)時我們就應(yīng)該刪除那些用不到的帳戶。你暴露的信息越多，受到的傷害就越大。

　　Linux是一個強(qiáng)大的系統(tǒng)，它給用戶提供了很多服務(wù)，但并不是每一個服務(wù)都是你的所需。這個文件就是/etc/inetd.conf，它制定了/usr/sbin/inetd將要監(jiān)聽的服務(wù)，你可能只需要其中的兩個：telnet和ftp，其它的類如shell、login、exec、talk等等，除非你真的有必要，否則統(tǒng)統(tǒng)關(guān)閉。

　　阻止來自外界的Ping請求

　　“echo 1 > /PRoc/sys/net/ipv4/icmp_echo_ignore_all”

　　這樣一個命令行到，

　　/etc/rc.d/rc.local

　　當(dāng)系統(tǒng)每次啟動后，它會自動幫你阻止來自外界的Ping請求。

　　加強(qiáng)日志管理

　　按理說，默認(rèn)的Linux日志管理已經(jīng)非常完善，但是在所有的行為記錄中，卻不包括ftp連接記錄。網(wǎng)管們可以通過修改/etc/ftpaccess 或者/etc/inetd.conf，來保證每一個ftp連接日志都能夠紀(jì)錄下來。詳細(xì)掌握系統(tǒng)的每一個行為，有助于網(wǎng)管抵御任何一個可能的攻擊。

　　注意Telnet服務(wù)

　　用戶可利用Telnet遠(yuǎn)程登陸Linux，不過在登陸的同時，操作系統(tǒng)和版本信息容易暴露，這時候可以修改Telnet命令行使Telnet命令行不顯示系統(tǒng)信息，以避免有針對性的攻擊。

　　對于網(wǎng)管來說，保護(hù)系統(tǒng)安全還有一個最簡單有效的方法，那就是到系統(tǒng)發(fā)行商那里下載最新的安全補(bǔ)丁(只是，這些補(bǔ)丁的發(fā)現(xiàn)也極有可能是黑客的功勞，也許是他們發(fā)現(xiàn)了系統(tǒng)漏洞所在)。

　　建立良好的安全意識，從最簡單的安全設(shè)置開始，合理利用安全工具，對于Linux管理員來說，這一切看似簡單。但是保護(hù)Linux，正是要從簡單開始。