第5招：設(shè)定用戶賬號的安全等級
除密碼之外，用戶賬號也有安全等級，這是因?yàn)樵贚inux上每個賬號可以被賦予不同的權(quán)限，因此在建立一個新用戶ID時，系統(tǒng)管理員應(yīng)該根據(jù)需要賦予該賬號不同的權(quán)限，并且歸并到不同的用戶組中。
在Linux系統(tǒng)上的tcpd中，可以設(shè)定允許上機(jī)和不允許上機(jī)人員的名單。其中，允許上機(jī)人員名單在/etc/hosts.allow中設(shè)置，不允許上機(jī)人員名單在/etc/hosts.deny中設(shè)置。設(shè)置完成之后，需要重新啟動inetd程序才會生效。此外，Linux將自動把允許進(jìn)入或不允許進(jìn)入的結(jié)果記錄到/rar/log/secure文件中，系統(tǒng)管理員可以據(jù)此查出可疑的進(jìn)入記錄。
每個賬號ID應(yīng)該有專人負(fù)責(zé)。在企業(yè)中，如果負(fù)責(zé)某個ID的職員離職，管理員應(yīng)立即從系統(tǒng)中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號。
在用戶賬號之中，黑客最喜歡具有root權(quán)限的賬號，這種超級用戶有權(quán)修改或刪除各種系統(tǒng)設(shè)置，可以在系統(tǒng)中暢行無阻。因此，在給任何賬號賦予root權(quán)限之前，都必須仔細(xì)考慮。
Linux系統(tǒng)中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機(jī)名稱。例如，在RedHatLinux系統(tǒng)中，該文件的初始值僅允許本地虛擬控制臺(rtys)以root權(quán)限登錄，而不允許遠(yuǎn)程用戶以root權(quán)限登錄。最好不要修改該文件，如果一定要從遠(yuǎn)程登錄為root權(quán)限，最好是先以普通賬號登錄，然后利用su命令升級為超級用戶。
第6招：消除黑客犯罪的溫床
在Unix系統(tǒng)中，有一系列r字頭的公用程序，它們是黑客用以入侵的武器，非常危險，因此絕對不要將root賬號開放給這些公用程序。由于這些公用程序都是用.rhosts文件或者h(yuǎn)osts.equiv文件核準(zhǔn)進(jìn)入的，因此一定要確保root賬號不包括在這些文件之內(nèi)。
由于r字頭指令是黑客們的溫床，因此很多安全工具都是針對這一安全漏洞而設(shè)計(jì)的。例如，PAM工具就可以用來將r字頭公用程序的功力廢掉，它在/etc/pam.d/rlogin文件中加上登錄必須先核準(zhǔn)的指令，使整個系統(tǒng)的用戶都不能使用自己home目錄下的.rhosts文件。
第7招：增強(qiáng)安全防護(hù)工具
SSH是安全套接層的簡稱，它是可以安全地用來取代rlogin、rsh和rcp等公用程序的一套程序組。SSH采用公開密鑰技術(shù)對網(wǎng)絡(luò)上兩臺主機(jī)之間的通信信息加密，并且用其密鑰充當(dāng)身份驗(yàn)證的工具。
由于SSH將網(wǎng)絡(luò)上的信息加密，因此它可以用來安全地登錄到遠(yuǎn)程主機(jī)上，并且在兩臺主機(jī)之間安全地傳送信息。實(shí)際上，SSH不僅可以保障Linux主機(jī)之間的安全通信，Windows用戶也可以通過SSH安全地連接到Linux服務(wù)器上。
第8招：限制超級用戶的權(quán)力
我們在前面提到，root是Linux保護(hù)的重點(diǎn)，由于它權(quán)力無限，因此最好不要輕易將超級用戶授權(quán)出去。但是，有些程序的安裝和維護(hù)工作必須要求有超級用戶的權(quán)限，在這種情況下，可以利用其他工具讓這類用戶有部分超級用戶的權(quán)限。Sudo就是這樣的工具。
Sudo程序允許一般用戶經(jīng)過組態(tài)設(shè)定后，以用戶自己的密碼再登錄一次，取得超級用戶的權(quán)限，但只能執(zhí)行有限的幾個指令。例如，應(yīng)用sudo后，可以讓管理磁帶備份的管理人員每天按時登錄到系統(tǒng)中，取得超級用戶權(quán)限去執(zhí)行文檔備份工作，但卻沒有特權(quán)去作其他只有超級用戶才能作的工作。
Sudo不但限制了用戶的權(quán)限，而且還將每次使用sudo所執(zhí)行的指令記錄下來，不管該指令的執(zhí)行是成功還是失敗。在大型企業(yè)中，有時候有許多人同時管理Linux系統(tǒng)的各個不同部分，每個管理人員都有用sudo授權(quán)給某些用戶超級用戶權(quán)限的能力，從sudo的日志中，可以追蹤到誰做聳裁匆約案畝 了系統(tǒng)的哪些部分 ?
值得注意的是，sudo并不能限制所有的用戶行為，尤其是當(dāng)某些簡單的指令沒有設(shè)置限定時，就有可能被黑客濫用。例如，一般用來顯示文件內(nèi)容的/etc/cat指令，如果有了超級用戶的權(quán)限，黑客就可以用它修改或刪除一些重要的文件。
第9招：追蹤黑客的蹤跡
當(dāng)你仔細(xì)設(shè)定了各種與Linux相關(guān)的組態(tài)，并且安裝了必要的安全防護(hù)工具之后，Linux操作系統(tǒng)的安全性的確大為提高，但是卻并不能保證防止那些藝高人膽大的網(wǎng)絡(luò)黑客的入侵。
在平時，網(wǎng)絡(luò)管理人員要經(jīng)常提高警惕，隨時注意各種可疑狀況，并且按時檢查各種系統(tǒng)日志文件，包括一般信息日志、網(wǎng)絡(luò)連接日志、文件傳輸日志以及用戶登錄日志等。在檢查這些日志時，要注意是否有不合常理的時間記載。例如：
正常用戶在半夜三更登錄；
◆不正常的日志記錄，比如日志只記錄了一半就切斷了，或者整個日志文件被刪除了；
◆用戶從陌生的網(wǎng)址進(jìn)入系統(tǒng)；
◆因密碼錯誤或用戶賬號錯誤被擯棄在外的日志記錄，尤其是那些一再連續(xù)嘗試進(jìn)入失敗，但卻有一定模式的試錯法；
◆非法使用或不正當(dāng)使用超級用戶權(quán)限su的指令；
◆重新開機(jī)或重新啟動各項(xiàng)服務(wù)的記錄。
第10招：共同防御，確保安全
從計(jì)算機(jī)安全的角度看，世界上沒有絕對密不透風(fēng)、百分之百安全的計(jì)算機(jī)系統(tǒng)，Linux系統(tǒng)也不例外。采用以上的安全守則，雖然可以使Linux系統(tǒng)的安全性大大提高，使順手牽羊型的黑客和電腦玩家不能輕易闖入，但卻不一定能阻擋那些身懷絕技的武林高手，因此，企業(yè)用戶還需要借助防火墻等其他安全工具，共同防御黑客入侵，才能確保系統(tǒng)萬無一失。