定制安全的Linux系統的服務平臺(4)

災難恢復

盡管已經采用了許多的安全措施來保護主機穩定運行，但是遇到一些意外情況，如停電、硬件故障或地震等仍有可能發生系統崩潰事件。要想在最短時間內恢復系統，必須事先做好備份工作。

在進行備份之前，首先要選擇合適的備份策略，包括何時需要備份，以及出現故障時進行恢復的方式。通常使用的備份方式有三種：

1．完全備份

每隔一定時間就對系統進行一次全面的備份，這樣在備份間隔期間出現數據丟失等問題，可以使用上一次的備份數據恢復到前次備份時的數據狀況。

2．增量備份

首先進行一次完全備份，然后每隔一個較短時間進行一次備份，但僅備份在這個期間更改的內容。這樣一旦發生數據丟失，首先恢復到前一個完全備份，然后按日期逐個恢復每天的備份，就能恢復到前一天的情況。這種備份方法比較經濟。

3．累計備份

這種備份方法與增量備份相似，首先每月進行一次完全備份，然后備份從上次進行完全備份后更改的全部數據文件。一旦發生數據丟失，使用一個完全備份和一個累計備份就可以恢復故障以前的狀態。累計備份只需兩次恢復，因此它的恢復工作相對簡單。

式 備份內容 工作量 恢復步驟 恢復速度 優缺點

完全備份 全部內容 大，慢 一次操作 很快 占用空間大，恢復快

增量備份 每次修改后的單個內容 小，很快 多次操作 中 空間小，恢復麻煩

累計備份 每次修改后的所有內容 中，快 二次操作 快 空間較小，恢復快

增量備份和累計備份都能以比較經濟的方式對系統進行備份。如果系統數據更新不是太頻繁的話，可以選用累計備份。如果系統數據更新太快，使每個備份周期后的幾次累計備份的數據量相當大，這時候可以考慮增量備份或混用累計備份和增量備份的方式，或者縮短備份周期。下面是一個有效的備份方式供參考。

假設備份介質為支持熱插拔的硬盤，掛接在/backup目錄下：

# tar zcvf /backup/bp_full.tar.gz /*（先做一個完全備份）

# find / -mtime -7 -print > /tmp/filelist（找出7天內修改過的文件）

# tar -c -T /tmp/filelist -f /backup/bp_add.tar.gz（每隔7天做增量備份）

其它建議和技巧

1．用密碼保護單用戶模式。

# vi /etc/lilo.conf

restricted

password="I am admin"

2．修改/etc/inittab文件。

# ca::ctrlaltdel:/sbin/shutdown -t3 -r now

#表示取消Alt+Ctrl+Delete重啟機器

3．刪除登錄信息(不顯示內核版本，主機名，發行版本號及一些后臺進程的版本號)，這樣可以從一定程度上防止別有用心的探測。

# cat /dev/null > /etc/issue

# cat /dev/null > /etc/issue.net

# cat /dev/null > /etc/motd

4．設置密碼屬性，包括有效時間（-e）、失效時間、警告時間（-w）等。修改缺省的密碼長度。

# vi /etc/login.defs

PASS_MAX_DAYS 99999（設置密碼有效期限）

PASS_MIN_DAYS 0　�。ㄔO置修改密碼的最少時間段）

PASS_MIN_LEN 5　�。ㄐ薷拿艽a設置的長度）

PASS_WARN_AGE 7　�。ㄐ薷母淖兠艽a的告警時間）

修改為：

PASS_MAX_DAYS 30 �。�30天后必須重新設置）

PASS_MIN_LEN 　 8 �。�密碼長度不得少于8位）

5．默認賬號的管理。查看/etc/passwd 文件，刪除多余的賬號，檢查有沒有除root外UID、GID為0的其它非法用戶。

6．如果正在接手的是一個新的服務器，那么對原先的配置必須有深刻的了解。要刪除一些舊的系統賬戶應注意以下問題:

(1) 刪除用戶與其home目錄

# userdel -r good

(2) 刪除用戶未接收的郵件

# rm /var/spool/mail/good

(3) 刪除由此用戶在后臺執行的程序

# ps -aux|grep "good"

# kill PID

(4) 刪除crontab 任務

# crontab -l good

# crontab -d good

7．應該取消普通用戶的控制臺訪問權限，比如shutdown、reboot、halt等命令。

# rm -f /etc/security/console.apps/*

*表示要注銷的程序名，如halt、shutdown

8．修改/etc/profile文件中的“HISTFILESIZE”和“HISTSIZE”行，確定所有用戶的.bash_history文件中可以保存的舊命令條數。編輯profile文件（vi /etc/profile），把下面這行改為：

HISTFILESIZE=30

HISTSIZE=30

表示每個用戶的.bash_history文件只可以保存30條舊命令。

9．編輯.bash_logout文件。

# vi /etc/skel/.bash_logou（添加下面這行）

# rm -f $HOME/.bash_history

這樣，當用戶每次注銷時，.bash_history文件自動被刪除。

隨著越來越多的人對Linux的關注和使用，Linux的應用前景將會越來越美好。同時我們也應該清楚地認識到，一方面由于主流操作系統的發展和應用在不斷壯大，導致黑客們對Linux操作系統的興趣日趨增加，攻擊行為也不斷增加；另一方面目前精通Linux在系統管理和網絡管理安全方面應用的人才還為數不多，大部分網絡管理員的安全措施都是建立在系統安裝初期的安全等級上。由于此種安全級別是系統提供商的大眾配置，在安全最大化上的情況并不樂觀，因此，如何量身定制適合于不同應用環境的系統平臺才是管理員真正需要花時間和精力去努力的。希望這篇文章能起到拋磚引玉的作用，給正在從事網絡管理和系統管理的朋友們做個參考！