對linux安全設置中需要注意和掌握的地方

服務器的安全 （防范於未然 比入侵後再修補漏洞要好的多 一旦遭到入侵以後 當你發現你的水平在黑客的水平之下並且找不到 他攻擊的路徑和方法的話 最好重裝系統 並且更新你軟件的版本為最新的）
　
　　需要注意的地方：
　
　　1.使用 復雜的口令（ 都是廢話 但是卻是 非常關鍵的 很多資料都談到了 我也不必再重復）
　
　　2.摒棄不安全的連接方式 ： telnet 以及 ftp 都是不安全的連接方式 （ 盡量采用 ssh 和sftp 等等加密的通訊方式 防止通訊數據被人嗅探或者截獲）
　
　　4.對一些關鍵的 切換命令 比如 su mount ……等等 要嚴加控制 其使用權限 （su 需要指定專門的用戶才可以使用 防止暴力破解 mount 防止 有人通過遠程掛載 一些 目錄 上面suid 和sgid 的 程序 用於入侵或者攻擊）
　
　　5.經常的更新 和升級軟件的版本 （ 但是注意 盲目的升級軟件版本 很可能會造成新的軟件 運行不正常）redhat 有可以從 redhat network 獲得 更新的功能 使用 up2date 就可以更新系統的各類服務的數據包
　
　　6.sudo 的設置 （ 這個工具是授權 非root用戶 運行root 用戶的一些命令）
　
　　7.suid 和sgid 位的設置 （ 這個的危害 恐怕是非常嚴重的 ）
　
　　8.各種服務配置文件的設置 （卸載 自己沒有開設的服務的數據包 不要保留 ）
　
　　9.為了防止dns欺騙 要對的設置 進行修改 必須 讓服務器 進行反相解析 並且要 設置為 先從 外部dns服務器上獲得數據 不要 設置為 直接讀取自己機子的緩存信息
　
　　10.最好可以使用 vpn 來替代 利用外部網絡直接連接 遠程服務器
　
　　11. hosts.deny hosts.allow 文件 阻擋 非授權用戶訪問系統服務
　
　　12.iptables 防火牆設置 （這裡需要嚴格設置 並且要設置 關鍵文件的權限 同時在這裡 在保證安全的前提下盡量少的 規則可以提高效率和處理速度 對出口數據同樣要嚴格控制 防止反相連接 或者成為別人dos 攻擊的發源地 ！）
　
　　13.at 計劃任務的 檢查 （包括at.deny at.allow 文件的檢查） 這裡強調一下 很多服務都有這樣地後綴名為 deny allow文件 設置不當 就會給人以可乘之機 所以前面說的 對服務設置地了較 同樣非常重要）
　
　　14.cron 設置 檢查 定期運行的 列表裡 有什麼不妥當的 shell
　
　　15.系統在分區過程中 最好能夠 把一些目錄分開 如果有多的硬盤 最好把/home 和 應用程序的目錄分在各自單獨的硬盤上 並且做好 用戶的磁盤配額 來防止 入侵後對系統進行 惡意的寫數據 破壞硬盤的數據 最大限度上保證數據的安全
　
　　16.做好 raid 磁盤列陣 來防止硬盤的損壞 （安全不僅僅 指的是 系統的安全還 包括數據的安全和通訊的安全）
　
　　17.文件的文件完整性檢查 工具 tripwire 用來檢查文件的 完整性 （ 所以強烈建議 linux 系統的管理員在工作過程中 做好工作筆記 記錄在對系統設置修改中 更改的設置） 完整性檢查的數據不要保存到這台主機的硬盤上 最好使用移動介質（cdrom 或者移動硬盤）
　
　　18.檢查一些容易被黑客替換的命令文件 ls mount netstat lsof top …… 並且要備份一套 完整的沒有做過修改的系統檢查文件的 備份 （防止 這些檢查工具被 木馬話或者被替換 ）
　
　　19.最好 使用 chattr 命令 給寫文件加上 一些屬性 比如 +i 這樣可以防止任意更改文件（雖然不能阻止 獲得root 用戶的黑客修改參數 但是對 防范腳本攻擊卻非常有效 可以避免軟件本身有漏洞 造成被人修改 至少可以延緩 別人的攻擊速度 對方停留在系統的時間越長 留下的日志也就越多還有專門的工具 可以增強這個功能 設置後甚至於root 用戶都無權修改）
　
　　20.備份文件 這樣可以在出現問題的時候快速恢復數據
　
　　21.syslogd 日志 最好設置一個遠程日志服務器來保存日志 （這樣在黑客攻破主機後 為了擦除 日志記錄 就必須攻擊日志服務器 並且日志服務器上有可能只有開啟日志的服務 從而為入侵增加了難度 爭取了 大量的時間）
　
　　22.logsentry 日志監視工具 這個是用來在發現 監視工具中設置的一些敏感的 日志可以 盡快 發到 管理員手上
　
　　23.protsentry 端口衛兵監視工具 這個可以設置一些端口 來反正 黑客對系統的踩點（掃描） 這工具還可以設置 一些被掃描後 運行什麼腳本的功能 所以功能強大 如果可以設置的好 可以非常有效的防止 黑客對系統的掃描
　
　　上面強調的都是從 網絡上攻擊的防范方法：
　
　　其實物理的安全同樣重要 要是人家 拿走了你的硬盤 恐怕你的設置再安全也是 於事無補
　
　　24.同時對 bios 設置和 給grub 加密 還有 對自己離開主機是 鎖定 系統都是非常必要的 （ 可以防止 別人通過物理接觸來攻破系統）
　
　　25.上面的做的再好 沒有管理員的責任心 敬業精神 警惕心 和上進心 （每天需要對日志 和關鍵信息的 查閱 應該是管理員的必修課 同時需要不斷的學習 增強自己的技術水平） 再強的硬件和環境 都是一堆擺設 只會 成為黑客談論的笑柄 說白了 安全在於人為 不要怪罪於軟件和硬件 本身 ！！
　
　 -------------------------引用黑客常說的一句話; 沒有入侵不了的系統
　
　　我加上一句 ：但是事在人為 肯定會有打敗不了的管理員
　
　　最後忠告大家 當發現自己被某個 ip入侵 請不要采取極端的惡意攻擊活動 最好 發信件告知 （因為攻擊主機很可能是 黑客的跳板） 采取惡意攻擊 搞不好會把自己 搞進監獄
　
　　由於我並不是一個 非常了解入侵 的一個菜鳥 上面的有些知識點 有出入 希望大家給予添加和指導