寫這篇文章是針對使用linux的管理員，愛好者，對linux安全性很關心的同僚們，希望對大家有所幫助，廢話就不多說了，進入正題吧。
在說安全設置之前，我想先說說關于發(fā)行版和安裝的問題。對于發(fā)行版，我相信大都知道，linux發(fā)行版實在是太多了我也不止一次在很多網(wǎng)站的文章，很多書籍上看到過議論那種發(fā)行版是最好的，其實我個人認為，在linux世界中，沒有最好的這種說法，只要自己習慣，熟悉的一種版本，那么我就可以說他是最好的。寫這篇文章，我也試找了很多資料，試圖找到一個大家都覺得常用的，熟悉的，最后，我覺得redhat linux真的很不錯，雖然它的內(nèi)核比較龐大，而且效率不使所有發(fā)行版中最高的，但是它的普遍性，易用性和軟件升級支持，應用軟件支持方面是值得提出的，這些方面也正是一個好的linux發(fā)行版需要具有的。 這篇文章建立在redhat linux 7.3版之上，所有的軟件設置均在這個版本上測試通過。
說到這里，可能大家要問，為什么我要用redhat 7.3?現(xiàn)在不是有很多嗎?就redhat來說就有redhat 8.0, redhat 9.0還有什么redhat 高級企業(yè)版，等等。這么多新的東西為什么不用呢？這個問題問得很好，這正是我要說的安裝和選擇發(fā)行版是要注意的一點。
1、版本的選擇
我使用redhat也有很長時間了，個人認為，redhat的.0版本都屬于大版本升級的第一個版本，這個版本往往很多軟件包不是很穩(wěn)定，而且容易出現(xiàn)故障，對于管理員來說linux絕大部分是用來作為服務器使用的，那么要最為服務器，最最大的首要問題就是穩(wěn)定，其次最重要的也是安全，所以如果你是管理員，而非狂熱的愛好者，發(fā)燒友，我建議你選擇redhat 7.3。redhat 的版本號，后面跟了小版本號的就是軟件包有很多更新和修改的，雖然這個更新可能不是最新，但是至少它是這個穩(wěn)定版本中最新最穩(wěn)定的，不知大家理解這個問題沒有，后面我將詳細介紹一下版本的升級問題，那里我將會說明這個理論。
2、安裝方式
選擇好了安裝發(fā)行版，那么我們就開始安裝了，其實安裝的時候只有幾個需要注意的地方，其一就是分區(qū)，其二就是安裝的軟件包。分區(qū)的講究就是你需要針對你的應用來規(guī)劃分區(qū)，過去看過很多論述linux是否有一個最佳的分區(qū)方案，雖然很多人也提出了很多優(yōu)秀的分區(qū)方案，但是我覺得還是需要更具自己的應用作的分區(qū)才是最佳的分區(qū)，下面各個分區(qū)方案，但是純屬建議，還是要更具自己的需要來作。個人認為，標準的服務器，至少擴常用的分區(qū)，因此建議將硬盤劃分為以下的樣子: /boot swap / /var /usr /home /tmp ，大小根據(jù)自己的應用來，/不能小于1G,/usr 和 /var都要大一點，因為大部分軟件在里面，其他幾個更具需要來，說到swap我想關于這個區(qū)的大小爭議也比較大，我在綜合了很多朋友的意見后，總結出一條規(guī)則，如果你的內(nèi)存小于1G那么分為內(nèi)存的2倍，如果大于1G那么就分最大2G的swap,這樣做是為什么呢？因為swap大家都知道，是虛擬內(nèi)存的空間，小了又不能發(fā)揮最好的作用，大了又浪費空間，這個大小是具體的理由就是，內(nèi)存大的話，那么應用程序占用的虛擬空間就小，但是為了完全滿足服務器的內(nèi)存需要，據(jù)很多朋友的經(jīng)驗，還有我切身的體驗，這種分法可以說是一個最佳的方案了，特別對于數(shù)據(jù)庫等大型應用程序的內(nèi)存需要來講，而且很多服務器的內(nèi)存都是1G-2G左右。安裝軟件包，講究的是安裝得越少越精越好，但是redhat開始安裝的時候，作為一個服務器，下面的幾個軟件包組需要選擇：
Networ support（網(wǎng)絡支持）
Messaging and web tools（可選擇安裝，一些聯(lián)網(wǎng)的工具如ncftp等）
Router/Firewall（防火墻軟件，需要安裝，但是他有一點不好把ipchian,iptables,ipwf等都安裝了，后面將解釋如何刪除）
Network managed workstation（管理用工具）
Utilities（常用工具，備份工具等）
雖然我們現(xiàn)在安裝是簡單的選擇了這幾個軟件包組，我們在后面的安全設置時將會刪除一些不用的包，這將在后面說。
3、更新軟件
雖然redhat 7.3是更新過的版本，但是其中還有很多軟件包有漏洞，其中最大的漏洞就是2.4.18的一個漏洞，它會導致ext3文件系統(tǒng)崩潰，我就遇到過很幾次（據(jù)ext3開發(fā)小組稱，這種現(xiàn)象是在特定的操作和條件下才會產(chǎn)生的，一般用戶很少出現(xiàn)這種現(xiàn)象），雖然很多現(xiàn)在已近解決這個問題，但是7.3沒有更新內(nèi)核的話還是不穩(wěn)定的，更新有兩種方式，一種時下在更新的軟件包手動的用rpm –Uvh 來更新，另外一種也是我推薦的方式，使用up2date來更新，這可是一個好東西，它能很方便的更新你的系統(tǒng)，而且是更具你安裝的軟件包來更新的，他不會把bind8更新為bind9，不會把redhat 7.3更新到redhat 9.0，這樣就確保了你目前使用的版本的穩(wěn)定性和完整性，它只是針對這個版本的軟件包進行了修正，版本號一般就是這樣變得，比如iptables ，7.3的rpm 版本是1.2.5那么更新后就是1.2.8修正了很多漏洞錯誤，但是并沒有作大的調整，確保了你的使用和與應用程序的兼容性。
Up2date的使用，在自動升級之前，建議幾個操作：
第一個，由于redhat 7.3版自帶的up2date有SSL的bug，因此，需要取下在一個最新的up2date來更新，下載地址https://rhn.redhat.com/errata/RHSA-2003-267.html
第二個，一般來說，我們都不希望up2date自動更新內(nèi)核，然后內(nèi)核的更新直接解決很多重大漏洞，特別是新安裝的redhat 7.3就有ext3崩潰的漏洞因此，我建議大家自己先手工升級內(nèi)核，當然使用rpm 包來升級，這樣節(jié)約很多時間，開始我就說過，雖然redhat不是效率最高的，但是確實做得最普遍的一個系統(tǒng)，rpm的方便就完全體現(xiàn)了這點優(yōu)勢，redhat 7.3內(nèi)核的下載地址：
http://updates.redhat.com/7.3/en/os/i386/kernel-2.4.20-20.7.i386.rpm
http://updates.redhat.com/7.3/en/os/i386/kernel-2.4.20-20.7.i586.rpm
http://updates.redhat.com/7.3/en/os/i386/kernel-2.4.20-20.7.i686.rpm