Linux網絡安全問題及其對策

文章摘要:
　　　Linux作為開放式操作系統具有很多優點，但也存在一些安全隱患。關于如何解決這些隱患，為應用提供一個安全的操作平臺，本文會告訴你一些最基本、最常用，同時也是最有效的招數。

正文:

Linux 網絡安全問題及其對策　　

背景

　　Linux不論在功能上、價格上或性能上都有很多優點，然而，作為開放式操作系統，它不可避免地存在一些安全隱患。關于如何解決這些隱患，為應用提供一個安全的操作平臺，本文會告訴你一些最基本、最常用，同時也是最有效的招數。
　　Linux是一種類Unix的操作系統。從理論上講，Unix本身的設計并沒有什么重大的安全缺陷。多年來，絕大多數在Unix操作系統上發現的安全問題主要存在于個別程序中，所以大部分Unix廠商都聲稱有能力解決這些問題，提供安全的Unix操作系統。但Linux有些不同，因為它不屬于某一家廠商，沒有廠商宣稱對它提供安全保證，因此用戶只有自己解決安全問題。
　　Linux是一個開放式系統，可以在網絡上找到許多現成的程序和工具，這既方便了用戶，也方便了黑客，因為他們也能很容易地找到程序和工具來潛入Linux系統，或者盜取Linux系統上的重要信息。不過，只要我們仔細地設定Linux的各種系統功能，并且加上必要的安全措施，就能讓黑客們無機可乘。
　　一般來說，對Linux系統的安全設定包括取消不必要的服務、限制遠程存取、隱藏重要資料、修補安全漏洞、采用安全工具以及經常性的安全檢查等。本文以紅旗Linux為例，講述一些提高Linux系統安全性的方法，相信對于提高用戶 Linux 系統的安全性大有裨益。

 

一、取消不必要的服務

　　早期的Unix版本中，每一個不同的網絡服務都有一個服務程序在后臺運行，后來的版本用統一的/etc/inetd服務器程序擔此重任。Inetd是Internetdaemon的縮寫，它同時監視多個網絡端口，一旦接收到外界傳來的連接信息，就執行相應的TCP或UDP網絡服務。
　　由于受inetd的統一指揮，因此Linux中的大部分TCP或UDP服務都是在/etc/inetd.conf文件中設定。所以取消不必要服務的第一步就是檢查/etc/inetd.conf文件，在不要的服務前加上"＃"號。
　　一般來說，除了http、smtp、telnet和ftp之外，其他服務都應該取消，諸如簡單文件傳輸協議tftp、網絡郵件存儲及接收所用的imap/ipop傳輸協議、尋找和搜索資料用的gopher以及用于時間同步的daytime和time等。
　　還有一些報告系統狀態的服務，如finger、efinger、systat和netstat等，雖然對系統查錯和尋找用戶非常有用，但也給黑客提供了方便之門。例如，黑客可以利用finger服務查找用戶的電話、使用目錄以及其他重要信息。因此，很多Linux系統將這些服務全部取消或部分取消，以增強系統的安全性。
　　Inetd除了利用/etc/inetd.conf設置系統服務項之外，還利用/etc/services文件查找各項服務所使用的端口。因此，用戶必須仔細檢查該文件中各端口的設定，以免有安全上的漏洞。
　　在Linux中有兩種不同的服務類型：一種是僅在有需要時才執行的服務，如finger服務；另一種是一直在執行的永不停頓的服務。這類服務在系統啟動時就開始執行，因此不能靠修改inetd來停止其服務，而只能從修改/etc/rc.d/rc[n].d/文件或用Run?level?editor去修改它。提供文件服務的NFS服務器和提供NNTP新聞服務的news都屬于這類服務，如果沒有必要，最好取消這些服務。

二、口令安全

　　在進入Linux系統之前，所有用戶都需要登錄，也就是說，用戶需要輸入用戶賬號和密碼，只有它們通過系統驗證之后，用戶才能進入系統。
　　與其他Unix操作系統一樣，Linux一般將密碼加密之后，存放在/etc/passwd文件中。Linux系統上的所有用戶都可以讀到/etc/passwd文件，雖然文件中保存的密碼已經經過加密，但仍然不太安全。因為一般的用戶可以利用現成的密碼破譯工具，以窮舉法猜測出密碼。比較安全的方法是設定影子文件/etc/shadow，只允許有特殊權限的用戶閱讀該文件。
　　在 RedFlag Linux 中提供為影子口令有很好的支持，提供了豐富的工具：
　　1、把正?？诹钷D換成shadow口令， 并轉回（pwconv，pwunconv）。
　　2、較驗口令、組和相應的shadow文件（pwck，grpck)。
　　3、增加、 刪除和修改用戶帳號的工業標準方式（useradd， usermod,，和userdel）。
　　4、增加，刪除和修改用戶組的工業標準方式（groupadd,，groupmod, 和groupdel)。
　　5、管理/etc/group文件的工業標準方式（gpasswd）。
　　請注意: 關于這些工具, 還有一點有趣的地方:：不管是否用了shadow, 這些工具都能正常工作。
　　在RedFlag Linux 中，系統缺省情況已經將密碼放在 /etc/shadow 文件中，該文件只有超級用戶（root）可以讀?？梢允褂妹?/usr/sbin/pwconv 或 /usr/sbin/grpconv 來建立 /etc/shadow 或 /etc/gshadow 文件。
　　在Linux系統中，如果要采用影子文件，必須將所有的公用程序重新編譯，才能支持影子文件。這種方法比較麻煩，比較簡便的方法是采用插入式驗證模塊（PAM）。很多Linux系統都帶有Linux的工具程序PAM，它是一種身份驗證機制，可以用來動態地改變身份驗證的方法和要求，而不要求重新編譯其他公用程序。這是因為PAM采用封閉包的方式，將所有與身份驗證有關的邏輯全部隱藏在模塊內，因此它是采用影子檔案的最佳幫手。
　　此外，PAM還有很多安全功能：它可以將傳統的DES加密方法改寫為其他功能更強的加密方法，以確保用戶密碼不會輕易地遭人破譯；它可以設定每個用戶使用電腦資源的上限；它甚至可以設定用戶的上機時間和地點。
Linux系統管理人員只需花費幾小時去安裝和設定PAM，就能大大提高Linux系統的安全性，把很多攻擊阻擋在系統之外。在后面我們將對 PAM 進行介紹。

三、保持最新的系統核心

　　由于Linux流通渠道很多，而且經常有更新的程序和系統補丁出現，因此，為了加強系統安全，一定要經常更新系統內核。
　　Kernel是Linux操作系統的核心，它常駐內存，用于加載操作系統的其他部分，并實現操作系統的基本功能。由于Kernel控制計算機和網絡的各種功能，因此，它的安全性對整個系統安全至關重要。
　　早期的Kernel版本存在許多眾所周知的安全漏洞，而且也不太穩定，只有2.0.x以上的版本才比較穩定和安全，新版本的運行效率也有很大改觀。在設定Kernel的功能時，只選擇必要的功能，千萬不要所有功能照單全收，否則會使Kernel變得很大，既占用系統資源，也給黑客留下可乘之機。
　　在Internet上常常有最新的安全修補程序，Linux系統管理員應該消息靈通，經常光顧安全新聞組，查閱新的修補程序。

四、檢查登錄密碼

　　設定登錄密碼是一項非常重要的安全措施，如果用戶的密碼設定不合適，就很容易被破譯，尤其是擁有超級用戶使用權限的用戶，如果沒有良好的密碼，將給系統造成很大的安全漏洞。
　　在多用戶系統中，如果強迫每個用戶選擇不易猜出的密碼，將大大提高系統的安全性。但如果passwd程序無法強迫每個上機用戶使用恰當的密碼，要確保密碼的安全度，就只能依靠密碼破解程序了。
　　實際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然后將其與Linux系統的/etc/passwd密碼文件或/etc/shadow影子文件相比較，如果發現有吻合的密碼，就可以求得明碼了。
　　在網絡上可以找到很多密碼破解程序，比較有名的程序是crack。用戶可以自己先執行密碼破解程序，找出容易被黑客破解的密碼，先行改正總比被黑客破解要有利。

五、設定用戶賬號的安全等級

　　除密碼之外，用戶賬號也有安全等級，這是因為在Linux上每個賬號可以被賦予不同的權限，因此在建立一個新用戶ID時，系統管理員應該根據需要賦予該賬號不同的權限，并且歸并到不同的用戶組中。
　　在Linux系統上的tcpd中，可以設定允許上機和不允許上機人員的名單。其中，允許上機人員名單在/etc/hosts.allow中設置，不允許上機人員名單在/etc/hosts.deny中設置。設置完成之后，需要重新啟動inetd程序才會生效。此外，Linux將自動把允許進入或不允許進入的結果記錄到/rar/log/secure文件中，系統管理員可以據此查出可疑的進入記錄。
　　每個賬號ID應該有專人負責。在企業中，如果負責某個ID的職員離職，管理員應立即從系統中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號。
　　在用戶賬號之中，黑客最喜歡具有root權限的賬號，這種超級用戶有權修改或刪除各種系統設置，可以在系統中暢行無阻。因此，在給任何賬號賦予root權限之前，都必須仔細考慮。
　　Linux系統中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱。最好不要修改該文件，如果一定要從遠程登錄為root權限，最好是先以普通賬號登錄，然后利用su命令升級為超級用戶。

六、清除黑客犯罪的溫床

　　在Linux 系統中，有一系列r字頭的公用程序，可以使用戶在不需要提供密碼的情況下執行遠程操作。因此，在提供方便的同時，也帶來了潛在的安全問題，它們常被黑客用做入侵的武器，非常危險。
　　在 Linux 系統中，系統是通過查看 /etc/hosts.equiv 及$HOME/.rhosts文件來控制可以使用"r"命令的節點和用戶。所以，這兩個文件的正確設置是安全使用"r"命令的基本保障。
　　黑客在侵入某個Linux 系統后，通常做的一件事就是修改在主目錄下的".rhosts"文件，以便為自己日后再次進入系統留下后路。因此建議用戶在會議自己的系統被闖入時，馬上查看".rhosts"文件，檢查其最后一次修改日期及內容，特別注意文件中絕對不能出現"+ +"，否則你的帳戶就可以被網絡上任何一個用戶不需要知道你的密碼而任意進入。
　　另外，還要特別注意".rhosts"文件中不能涉及一些特殊帳戶（例如 news，bbs 等等），一些黑客就是通過這條途徑進入用戶帳戶而有不留下自己的來龍去脈。
　　可以看出，".rhosts"為外部侵入留下了潛在的危險，用戶在自己設置時要格外小心。如果不是特別需要，建議在".rhosts"文件中不要設外部入口。
　　同樣的，對于系統管理員，如果不是特別需要，建議在 /etc/hosts.equiv 中不設入口。如果在 /etc/hosts.equiv 中有入口，而用戶個人為了安全起見，可以在".rhost"文件中加入"- -"，從而關閉所有的入口。
此外，建議在這兩個文件中不要加注釋行（以"#"開頭），因為有些有特權的黑客可以將其節點名設成"#"而獲得進入你系統的權利。
　　目前很多系統都使用 ssh 來代替早期的這些"r"命令。我們在下面會介紹 ssh。
　　由于r字頭指令是黑客們的溫床，因此很多安全工具都是針對這一安全漏洞而設計的。例如，PAM工具就可以用來將r字頭公用程序的功能廢掉，它在/etc/pam.d/rlogin文件中加上登錄必須先核準的指令，使整個系統的用戶都不能使用自己home目錄下的.rhosts文件。

七、控制網絡地址用戶對系統的訪問

1、通過 IP 地址限制。
　　這是通過安裝TCP_Wrappers 軟件來實現的。該軟件可對系統進行 telnet、ftp、rlogin、rsh、finger和talk 等服務訪問的IP 地址進行控制。比如你可以只允許公司內部的一些機器對服務器進行這些操作。RedFlag Linux 系統缺省情況下已經安裝了TCP_Wrappers。

2、限制超級用戶口令。
　　超級用戶口令只允許系統管理員知道，并要求定期修改。另外，不允許用戶遠程登錄來訪問root，這是在系統文件 /etc/securetty 中缺省設置好的。還可以通過"sudo"命令，將原來只有root 能執行的一些操作分授給其他用戶。關于 "sudo"工具，我們將在下面講述。

八、root 帳號
　　一些系統管理命令只能由超級用戶 root 運行。超級用戶擁有其他用戶所沒有的特權。超級用戶不管文件存取權限如何，都可以讀、寫任何文件，運行任何程序。系統管理員通常使用命令 su 或以root 進入系統從而成為超級用戶。 su 命令可以不注銷帳號，而以另一用戶身份登錄系統。它將啟動一個新的shell 并將有效和實際的 UID 和 GID 設置給另一用戶，因此必須將 root 口令保密。

　　此外，在使用root 帳號時，還必須注意以下幾點：
　　1、在執行復雜任務之前，必須明白自己的目的，尤其在執行 rm 這樣的可能破壞系統的命令時。例如，如果要執行"rm *.c"時，應該首先執行"ls -l *.c"，列出所有要刪除的文件，當確信每個文件都可以刪除時才能繼續進行操作。
　　2、root 用戶的命令路徑是很重要的。命令路徑也就是PATH 環境變量的值，定義了shell 搜索命令的位置。在PATH 語句中，要盡量限制root 用戶的命令路徑，允許"."出現在變量中。另外，不要在路徑中出現可寫的目錄，防止黑客在目錄中修改或放置新的可執行文件，為自己留下"后門"。
　　3、不要由 root 執行 r 命令，如 rsh、rlogin等。這些命令將會導致各種類型的攻擊。不要為 root創建 .hosts 文件。
　　4、不要使用 root 遠程登錄系統。如果需要登錄，那么可以先以普通用戶身份登錄。然后使用 su 命令切換到 root。
　　5、以 root 身份登錄后，一切操作都要"三思而后行"。因為每一個操作都可能會給系統帶來很大的影響，所以在輸入命令之前必須考慮清楚。

　　如果必須允許其他人擁有 root 權限，那么可以使用一些工具來達到這一目的。Sudo 就是其中之一。它允許用戶用自己的口令以root 身份訪問有限的命令。例如，允許用戶在操作系統上安裝或卸載可移動介質，但是沒有其他root 用戶的特權。sudo 可以自動記錄日志。在日志里，記錄了每一條執行的命令和執行命令的用戶。所以，即使有很多用戶使用sudo 命令，也不會影響系統的運行。

九、 X管理

　　X 的使用使計算機網絡錦上添花。它除了提供友好的圖形用戶截面，還可以使用戶通過網絡在本機上調用遠程節點的 X 程序。同時，也由于 X 的廣泛應用，物美價廉的X終端才得以倍受歡迎。
　　X 產生的宗旨原本就是通過client/server 模型，使用戶的本地界面可以顯示網絡上任何其它系統的 X 客戶程序；反過來，本機 X 客戶程序也可以在網絡上任何其它系統上顯示。 X 的設計本身就是針對并構件與計算機網絡之上的。然而在它給廣大用戶帶來方便的同時，也正由于它的網絡屬性帶來了不可避免的網絡安全問題。

　　下面將推薦幾項措施，以保障你的 X 系統的基本安全：
1、設置 X 訪問控制。
　　X 提供了基于節點的訪問控制的基本手段。
（1）/etc/X0.hosts 文件的正確設置。
　　該文件列出了可以訪問本X服務器的一系列節點名。即名單上的系統的 X 客戶程序可以隨時訪問本地 X 服務器。這個文件應有系統管理員根據實際情況合理設定。從安全角度出發，建議此文件中盡可能地少設入口。
例如，PCWS2上/ETC/X0.hosts文件內容為：
PCWS0.RedFlag linux.com.cn
PCWS1.RedFlag linux.com.cn
…
PCXT1.RedFlag linux.com.cn
PCXT2.RedFlag linux.com.cn
　　即PCWS0 上的 X 客戶程序（如 XV，ghostview）被授權可以訪問PCWS2的X服務器，即PCWS0可以向 PCWS2 上送顯示內容。
（2） xhost 客戶程序。
　　Xhost 客戶程序可以交互地設置節點訪問控制。例如，允許PCXT1上的 X 客戶訪問PCWS0 的Xserver，則應該在PCWS0 上輸入"xhost+PCXT1"，那么就會產生下列信息：
　　PCXT1 added to aclearcase/" target="_blank" >ccess control list
　　"xhost+"則會解除訪問控制，允許任何節點的Xclient 訪問本地X服務器，從安全的角度講，這無疑是大開城門，存在著許多潛在的危險。因此，強烈建議用戶不要使用這樣的命令。

2、麻省理工魔術蛋糕（MIT-MAGIC-COOKIE1）
　　上面的措施只限制到節點，即使所有其它節點均處于訪問控制之下，也仍存在著一個很大的漏洞，即任何連接到本機節點上的用戶都有權訪問本機 X 服務器。
　　為了解決這一點，有些xhost 支持基于用戶的訪問控制，即 ，而普遍采取的方法是MIT-MAGIC-COOKIE-1。
（1） HOME/.Xauthority 文件。
　　如果你的系統提供MIT-MAGIC-COOKIE-1 服務，你就會在你的主目錄下發現一個.Xauthority 文件。這個文件裝有機器可識別代碼（代碼被稱為魔術蛋糕），相當于進入 X 服務器的密碼。一個 X 客戶機程序在被允許與 X 連接前，必須首先能夠從.Xauthority文件中獲得密碼，被 X 服務器核實后，才能獲得其訪問權。因此，為了確保你自己可以訪問你的X 顯示，你必須將.Xauthority文件保管好，只允許你本人可讀或修改此文件。即".Xauthority"的文件保護應設置為"-rw------"。
（2） xauth 命令。
　　用戶通常希望自己在網絡上無論哪個節點帳戶的 X 客戶程序均可以訪問魔術蛋糕，這樣，不僅可以很方便地使用 X 的網絡功能，又保證了安全性。當然，如果你的".Xauthority"是由你的幾個節點帳戶共享的（如用 NFS 系統），那么你這幾個節點的 X 客戶程序可以方便地訪問各 X 服務器。但如果是兩個互不關聯的系統，這時 xauth 命令可以解決這個問題。
　　xauth 命令用于將一個節點上的魔術蛋糕傳送給另一個節點，例如將節點 PCWS2 魔術蛋糕傳送給 PCXT1，可以使用下面的命令：
　　$xauth extract - PCWS2：0|rsh PCXT1 xauth merge -
　　這樣，只要是用戶本人使用這兩個節點的 X 資源，就不需要在做任何 X 訪問控制的設置。

3、保護 Xterm。
　　xterm 是 X 模擬字符終端提供的用戶窗口，用戶可以在命令提示符下鍵入各種命令。為了防止他人偷窺你在 xterm 輸入的內容，xterm 專門提供了 xterm 保護功能，即在 xterm 的主菜單下（同時按ctrl 和第一個鼠標鍵）選"Securekeyboard"一項，這時xterm 的底色應該變黑。如果沒有變色，則很有可能某個人正在監視你的xterm。一般建議用戶在輸入敏感信息時，將其 xterm 設保護。

十、安全檢查

　　保護系統安全的一個主要任務就是監視系統的安全。這包括檢查系統程序、系統日志以防未授權訪問或是監視系統本身以查找安全漏洞。本節將介紹如何監視系統安全。

1、檢查帳號安全
　　對于系統帳號，管理員要定期檢查的是：在不正常的時間（比如深夜或假期）登錄的用戶和執行意想不到命令的用戶。下面將為讀者介紹一些命令和文件，它們可以幫助管理員獲得這些信息。
(1)、lastlog 文件
　　/var/log/lastlog 文件可以記錄系統中每個用戶的最后一次登錄時間。當用戶每次登錄時，屏幕上顯示的時間就是從lastlog 文件中獲得的。而且，finger 命令報告的登錄時間也是從這個文件中取得的。系統管理員應該告訴每個用戶仔細檢查上次登錄的時間，并報告不正常的登錄時間。因為人們通常都會記得他上次登錄的時間，所以通過這種方法很容易發現被破解的帳號。

(2)、utmp 和 wtmp 文件
　　/var/run/utmp 文件記錄了當前登錄系統的用戶。我們可以使用who 命令來查看這個文件：
$ who

cuckoodoo ttyp1 Jul 22 22:03 (202.204.3.20)
zyc ttyp0 Jul 22 22:06 (202.204.3.16)

　　對于每個當前用戶、登錄名、使用終端、登錄時間和遠程主機（如果用戶是使用網絡登錄）等信息會顯示出來。
/var/run/wtmp 文件記錄了每個用戶的登錄時間和注銷時間。wtmp 可以用 last 命令查看。該命令將把文件中的每個項按照登錄時間和注銷時間合并、排序，然后顯示出來。如果不帶參數，last 命令將把文件中的所有信息都列出來。
$ last

devin ttyp1 vstout.vbrew.com Tue Nov 02 10:12-10:20（00:01）
chenlf ttyp2 cheli01.vbrewcom Tue Nov 02 10:14-10:23 (00:03)
reboot - Mon Nov 01 00:00
ring ttyp1 dragon.vbrew.com Mon Nov 01 17:32-18:39(00:01)

　　可以看出，輸出結果中包含每個登錄過程的用戶名、使用終端、遠程主機、登錄注銷時間和占用主機時間。而且，系統關閉和重新啟動的記錄在該文件中也可以找到。

(3)、pacct 文件
　　/var/log/pacct 文件記錄了用戶執行命令的信息（比如誰執行命令、命令執行時間、命令執行了多久等等）。如果編譯核心時加上了 SYSACCT 選項（通常是不加這一項的），那么每一條命令執行完畢之后，就向 pacct 文件中添加一條日志記錄。
　　可以使用 lastcomm 命令來列出 pacct 文件的內容。在不加參數的情況下，該命令會顯示文件中的所有信息。如果用命令、用戶名或終端作為參數，那么將只輸出包含給定命令、用戶名或終端名的信息。下面是執行 lastcomm 命令的一個例子：
$ lastcomm

sh S root - 0.67 sec Tue Nov 02 23:09
atrun root - 0.23 sec Tue Nov 02 23:09
lpd F root - 1.02 sec Tue Nov 02 23:08
lpr S ring tty01 1.21 sec Tue Nov 02 23:01
troff ring tty01 12.32 sec Tue Nov 02 23:01
eqn ring tty01 1:23 sec Tue Nov 02 23:01

　　文件中第一列的內容是命令名。下一列是一些特殊的命令標志："F"表示該進程產生了一個子進程；"S"表示已經設置了進程的 SUID；"D"表示結束進程時 存儲了內核；"X"表示進程被不正常的 kill 了。剩下的列顯示了運行程序的用戶、使用的終端、占用的 CPU時間和進程開始運行的時間和日期。

2、網絡應用安全
　　由于黑客可以使用很多種方法攻擊系統的網絡應用程序，所以很難監視網絡應用的安全。不過一些程序可以幫助用戶完成這一任務。
(1)、syslog
　　syslog 提供了一種機制可以發送錯誤、狀態和調試信息到控制臺或日志文件中。通常日志文件的位置會隨著Linux 的版本的不同而不同。在RedFlag Linux 中，可以在/var/log 目錄下找到messages 、 mail.log 等日志文件。
　　/var/log/messages 文件記錄了命令的執行信息，與其一起記錄下來的還有日期、時間、發送信息的程序名稱和程序的PID。
　　在 messages 文件中令管理員感興趣的應該時 login 和 su 程序發送的信息。無論何時有人用 root 登錄，login 程序都會在日志文件中添加一條記錄。如果用戶用 root 帳號直接登錄而不是使用 su 命令成為超級用戶，那么就很難確定是哪個用戶在使用這個帳號了。如果在系統中禁止使用root 帳號遠程登錄到系統，那么就可以更好的監控網絡安全了。
　　管理員應該經常查看 messages 文件，特別是一些系統認證信息。如果用戶反復嘗試某個帳號登錄系統而又不失敗，那么login程序也會將這一事件記錄到日志文件中。如果用戶嘗試了三次，那么login 程序將禁止該用戶繼續登錄。Messages 文件中的有關記錄可以提醒管理員有人在試圖猜口令。
　　當有人使用 su 命令切換到 root 或其他帳號時， su 程序將在日志文件中添加一條成功或失敗的信息。這些信息可以告訴用戶是否有人與他共享了一個口令，也能告訴管理員已經破解了一個系統帳號的黑客正在破解另一個帳號。
　　syslog 提供的信息是非常重要的，應該防止它們被篡改。因此必須修改 /var/log 目錄的訪問權限，使得只有少數用戶可以對它進行讀寫。如果日志文件被篡改了，那么要查看一下是否可以確定修改的事件，篡改了哪些內容的信息。用以前備份的日志文件和現在的作對比是一個比較好的做法。黑客篡改日志文件的主要目的是"擦掉"他們留在系統里的"蛛絲馬跡"。盡管日志文件被修改了，但是還是可以從留下的內容中發現可疑點。比如黑客修改它們之后檢查日志文件。
　　如果可能的話，可以配置syslog 使它可以發送大多數的重要信息的拷貝到一個安全的系統。這樣就可以防止黑客通過刪除日志來掩蓋他們的行跡了。有關內容可以參考sys.conf 的 man pages。
(3)、showmount 命令
　　在 NFS 文件服務器上，mounted 在/etc/mtab 文件中記錄已安裝的文件系統的情況，執行showmount 命令可以顯示文件的內容。不帶任何參數的 showmount 命令只是簡單地顯示所有的客戶機。帶 -a 和 -b 選項的 showmount 命令可以輸出更有用的信息。-a 選項可以輸出每個主機和該主機的安裝目錄，在輸出結果中，被主機安裝的每個目錄都占一行。而帶-d 選項的 showmount 命令會顯示某個主機安裝的所有目錄。
　　執行 showmount 命令后，應該仔細檢查輸出結果。檢查時，要注意兩個問題。首先，只有信任的主機才可以安裝文件目錄。其次，也只有正常的目錄才可以被安裝。如果管理員發現不常被安裝的目錄卻反常地安裝了，那么可能是有人想"拜訪"系統了。

3、 一些簡單的系統監視命令
　　與大型監視程序相比，一些簡單的 Linux 命令同樣可以有效的監視網絡的安全。經常運行這些命令，你就回習慣每個命令的輸出格式。通過熟悉運行在系統上的進程、不同用戶登錄的時間等情況，就可以很容易地發現異常情況。

ps 命令
　　ps 命令可以顯示當前運行的進程。ps 命令可以帶不同的命令行參數，感興趣的話，可以查看 ps 的man pages 以獲得詳細的信息。如果想檢查系統運行的情況，通常加"alxww"選項是最有效的。在Linux 系統中，應該注意輸出結果中的以下進程：
　　1) swapper，pagedaemon：虛擬內存系統的輔助程序。
　　2) init：init 進程，用來響應大量的任務，包括為終端啟動服務進程。
　　3) portmamp：NIS 的組成部分。
　　4) biod,rpc，nfsd，rpd.mountd， rpc.quatad， rpc.lockd ：網絡文件系統（NFS）的組成部分。如果系統不是文件服務器，那么就沒有rpc.nfsd 進程。
　　5) rarpd，rpc.bootparanmd：允許無盤工作站啟動的進程。
　　此外，還應該檢查的進程有update（文件系統更新程序）、gettty（每個終端都對應該進程）、lpd（打印守護進程）、bash（Shell 程序，每次登錄時都啟動一個或多個）。另外，如果當前有用戶登錄到系統上，那么你可以看到各種編譯器、文本編輯器和字處理程序等。

who 命令和 w
　　who 命令可以顯示當前登錄到系統中的用戶。通過執行這條命令，系統管理員可以了解到每天用戶都在什么時候上機。當發現用戶在特別的時間登錄時，系統管理遠應該調查用戶是否在做對系統有害的事情。
w 命令有點象 who 命令和ps 命令的組合。 W 命令不僅可以顯示登錄到系統上的用戶，還可以顯示用戶空閑的時間（沒有敲擊鍵盤的時間）和用戶正在運行的進程。

ls 命令
　　ls 命令是 Linux 系統最常用的命令之一。盡管功能很簡單，但它是檢查系統文件系統的一個不可少的命令。系統管理員應該用 ls 命令定期檢查每個系統目錄，檢查是否有不該出現的文件。在多數情況下，這些文件是偶然放在那里的。然而，保持對系統的完全控制可以盡早、盡快地發現問題。
　　當用 ls 命令檢查系統時，一定要帶上"-a"選項，這樣可以檢查以"."開頭的文件。黑客經常會在系統加入名為"…"或"‥（空格）"這樣的目錄或文件來迷惑管理員。

十一、 定期對服務器進行備份

　　為了防止不能預料的系統故障，或用戶不小心的非法操作，必須對系統進行安全備份。除了應該對全系統進行每月一次的備份外，還應該對修改過的數據進行每周一次的備份。同時應該將修改過的重要的系統文件存放在不同的服務器上，以便在系統萬一崩潰時，可以及時將系統恢復到最佳狀態。
　　目前，RedFlag Linux 中提供了很強的備份工具，如 dump 和 restore 等。

十二、共同防御，確保安全

　　從計算機安全的角度看，世界上沒有絕對密不透風、百分之百安全的計算機系統，Linux系統也不例外。采用以上的安全守則，雖然可以使Linux系統的安全性大大提高，使順手牽羊型的黑客和電腦玩家不能輕易闖入，但卻不一定能阻擋那些身懷絕技的武林高手，因此，企業用戶還需要借助防火墻等其他安全工具，共同防御黑客入侵，才能確保系統萬無一失

原文轉自：http://www.kjueaiud.com