LINUX安全管理10要點（2）

口令管理
口令的長度一般不要少于8個字符，口令的組成應以無規則的大小寫字母、數字和符號相結合，嚴格避免用英語單詞或詞組等設置口令，而且各用戶的口令應該養成定期更換的習慣。另外，口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護，必須做到只有系統管理員才能訪問這2個文件。安裝一個口令過濾工具加npasswd，能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具，建議你現在馬上安裝。如果你是系統管理員，你的系統中又沒有安裝口令過濾工具，請你馬上檢查所有用戶的口令是否能被窮盡搜索到，即對你的／ect／passwd文件實施窮盡搜索攻擊。對那些糟糕的口令，強令它們的主人修改它，或干脆鎖住它們的賬號。
分區管理
一個潛在的攻擊，它首先就會嘗試緩沖區溢出。在過去的幾年中，以緩沖區溢出為類型的安全漏洞是最為常見的一種形式了。更為嚴重的是，緩沖區溢出漏洞占了遠程網絡攻擊的絕大多數，這種攻擊可以輕易使得一個匿名的Inte.net用戶有機會獲得一臺主機的部分或全部的控制權！
為了防止此類攻擊，我們從安裝系統時就應該注意。如果用root分區紀錄數據，如log文件和email，就可能因為拒絕服務產生大量日志或垃圾郵件，從而導致系統崩潰。所以建議為/var開辟單獨的分區，用來存放日志和郵件，以避免root分區被溢出。最好為特殊的應用程序單獨開一個分區，特別是可以產生大量日志的程序，還建議為/home單獨分一個區，這樣他們就不能填滿/分區了，從而就避免了部分針對Linux分區溢出的惡意攻擊。
謹慎使用．Rhosts文件
．Rhosts文件中存儲的是可以直接遠程訪問本系統的主機及用戶名。當你用telnet命令或r*命令(如rlogin、rcp等)來遠程訪問本系統時，系統首先檢查．Rhosts文件中是否存有你此時的主機名和用戶名。當找到你的主機名和用戶名后，它將允許你直接訪問它，而不需輸入口令。當黑客一旦攻破你的系統，他必將要在你的系統中留下一個供他日后自由出入的后門。只要他將自己的主機名和用戶名寫進．Rhosts文件，就達到了這一目的。
所以我們要時刻檢查我們的orhosts文件，一旦發現里面出現莫名其妙的主機名和用戶名，馬上刪除它們。并把它們報告給它們的服務提供商，警告他們的行為?！?

原文轉自：http://www.kjueaiud.com