[IT168专稿]众所周知，就安全性而言，Linux相对于Windows具有更多的优势。但是，不管选择哪一种Linux发行版本，在安装完成以后都应该进行一些必要的配置，来增强它的安全性。下面就通过几个步骤来加固的Linux服务器。

        8. 完整的日志管理

　　日志文件时刻为你记录着你的系统的运行情况。当黑客光临时，也不能逃脱日志的法眼。所以黑客往往在攻击时修改日志文件，来隐藏踪迹。因此我们要限制对／var／log文件的访问，禁止一般权限的用户去查看日志文件。另外要使用日志服务器。将客户机的日志信息保存副本是好主意，创建一台服务器专门存放日志文件，可以通过检查日志来发现问题。

        修改/etc/sysconfig/syslog文件加入接受远程日志记录。完整的日志管理要包括网络数据的正确性、有效性、合法性。对日志文件的分析还可以预防入侵。例如、某一个用户几小时内的20次的注册失败记录，很可能是入侵者正在尝试该用户的口令。

　　9. 终止正进行的攻击

　　假如你在检查日志文件时，发现了一个用户从你未知的主机登录，而且你确定此用户在这台主机上没有账号，此时你可能正被攻击。首先你要马上锁住此账号(在口令文件或shadow文件中，此用户的口令前加一个Ib或其他的字符)。若攻击者已经连接到系统，你应马上断开主机与网络的物理连接。如有可能，你还要进一步查看此用户的历史记录，查看其他用户是否也被假冒，攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件hosts.deny中。

　　10. 使用安全工具软件：
　　Linux已经有一些工具可以保障服务器的安全。如bastille linux和Selinux。bastille linux对于不熟悉 linux 安全设定的使用者来说，是一套相当方便的软件，bastille linux 目的是希望在已经存在的 linux 系统上，建构出一个安全性的环境。

　　增强安全性的Linux（SELinux）是美国安全部的一个研发项目，它的目的在于增强开发代码的Linux内核，以提供更强的保护措施，防止一些关于安全方面的应用程序走弯路，减轻恶意软件带来的灾难。普通的Linux系统的安全性是依赖内核的，这个依赖是通过setuid/setgid产生的。在传统的安全机制下，暴露了一些应用授权问题、配置问题或进程运行造成整个系统的安全问题。

        这些问题在现在的操作系统中都存在，这是由于他们的复杂性和与其它程序的互用性造成的。SELinux只单单依赖于系统的内核和安全配置政策。一旦你正确配置了系统，不正常的应用程序配置或错误将只返回错误给用户的程序和它的系统后台程序。其它用户程序的安全性和他们的后台程序仍然可以正常运行，并保持着它们的安全系统结构。

        用简单一点的话说就是：没有任何的程序配置错误可以造成整个系统的崩溃。安装SELinux SELinux的内核、工具、程序/工具包，还有文档都可以到增强安全性的Linux网站上上下载你必须有一个已经存在的Linux系统来编译你的新内核，这样才能访问没有更改的系统补丁包。

　　11. 使用保留IP地址

　　维护网络安全性最简单的方法是保证网络中的主机不同外界接触。最基本的方法是与公共网络隔离。然而，这种通过隔离达到的安全性策略在许多情况下是不能接受的。这时，使用保留IP地址是一种简单可行的方法，它可以让用户访问Internet同时保证一定的安全性。

        RFC 1918规定了能够用于本地 TCP/IP网络使用的IP地址范围，这些IP地址不会在Internet上路由，因此不必注册这些地址。通过在该范围分配IP地址，可以有效地将网络流量限制在本地网络内。这是一种拒绝外部计算机访问而允许内部计算机互联的快速有效的方法。  保留IP地址范围:

        ---- 10.0.0.0 - 10.255.255.255
　　---- 172.16.0.0 - 172.31.255.255
　　---- 192.168.0.0 - 192.168.255.255

　　来自保留IP地址的网络交通不会经过Internet路由器，因此被赋予保留IP地址的任何计算机不能从外部网络访问。但是，这种方法同时也不允许用户访问外部网络。IP伪装可以解决这一问题。

　　12. 合理选择Linux服务器的版本

　　对于服务器使用的Linux版本，既不使用最新的发行版本，也不选择太老的版本。应当使用比较成熟的版本：前一个产品的最后发行版本如RHEL 4.0等。毕竟对于服务器来说安全稳定是第一的。

　　13. 备份重要的文件

　　很多木马、蠕虫和后门都会用替换重要文件的办法隐藏自己，将最重要和常用的命令备份是好习惯。准备一套只读介质，DVD光盘或者闪盘，甚至放到上传到网络服务器都可以。总之是在必要时使用原始的命令而不是系统中可能被感染的命令。需要注意备份的如下：

　　14. /bin/su
　　15. /bin/ps
　　16. /bin/rpm
　　17. /usr/bin/top
　　18. /sbin/ifconfig
　　19. /bin/mount

　　14.实时关注服务器补丁

　　你应该经常到你所安装的系统发行商的主页上去找最新的补丁。操作系统是计算机系统灵魂，维护着系统的底层，对内存、进程等子系统进行管理和调度。如果操作系统本身出现了漏洞，其影响将会是致命的。

        操作系统的内核，对于网络安全是至关重要的。目前，内核的维护主要分两种模式：对于私有操作系统，如Windows/Solaris等，由于个人用户不能直接接触其源代码，其代码由公司内部开发人员维护，其安全性由同样的团队保证，内核的修正与其他应用程序一样，以patch/SP包的方式发布。对于Linux这样的开放式系统，是一种开放的结构。

        应该说，开放的模式是双刃剑。从机制上讲，全世界的开发人员都能获得源代码，从而找出其中的纰漏，似乎安全性应该更好;但是同时，如果网络管理人员不能及时更新内核，也会留下安全隐患。如果你是一个Linux网管员，你经常需要上相应的网站看，是否有补丁，是否有了bug fix，是否需要升级。千万不要报侥幸心理，否则一个Shell脚本就可能拿下你的网站。

        套用一句名言：你的服务器永远可能在第二天被黑客接管。Linux服务器运行的软件主要包括：Samba，VsFtp，OpenSsh，Mysql，Php，Apache等，这些软件，大都是开源软件，而且都在不停升级，稳定版和测试版交替出现。在www.apache.org 上最新的ChangeLog中都写着：bug fix, security bug fix的字样。所以Linux网管员要经常的关注相关网站的bug fix和升级，及时升级或添加补丁。

　　总结

　　正如没有牢不可破的盾一样，没有任何的系统是绝对安全的。同样在安全领域中，也没有谁可以说自己是高手。系统的安全是靠很多前辈的汗水和智慧来换取的。