Linux作爲是一個(gè)開(kāi)放(fàng)源代碼的(de)免費操作系統，
以其高(gāo)效隐定的(de)優秀質量，越來越受到(dào)用(yòng)戶們的(de)歡迎，并在全世界不斷普及開(kāi)來。
相(xiàng)信在不久的(de)将來Linux還會(huì)得到(dào)更大(dà)更快的(de)發展。
雖然，Linux和(hé)Unix很相(xiàng)似，但(dàn)是它們之間還是有(yǒu)不少(shǎo)重要的(de)差别。
對于很多習(xí)慣了UNIX和(hé)Windows的(de)系統管理(lǐ)員來講
如(rú)何保證Linux操作系統的(de)安全可(kě)靠将面臨許多新的(de)挑戰。
本文(wén)在此将給大(dà)家介紹一些Linux管理(lǐ)安全的(de)基本技巧，希望能(néng)對大(dà)家有(yǒu)所幫助。

首先我想從系統的(de)安全配置，開(kāi)始我們的(de)話(huà)題。
因爲我個(gè)人(rén)認爲一位管理(lǐ)員要能(néng)充分(fēn)利用(yòng)系統提供的(de)安全機制(zhì)、
挖掘系統自身的(de)潛力來對服務器(qì)進行(xíng)高(gāo)效安全的(de)維護，才能(néng)稱得上(shàng)優秀。
我并不是完全反對使用(yòng)防火(huǒ)牆等工(gōng)具，但(dàn)是正如(rú)人(rén)一樣，
我們可(kě)以消毒、可(kě)以帶口罩，卻沒有(yǒu)我們自身體魄強健、有(yǒu)抗體來得好。

 Linux是完全開(kāi)放(fàng)源代碼的(de)免費操作系統，其可(kě)開(kāi)發的(de)潛力極大(dà)，
有(yǒu)能(néng)力的(de)管理(lǐ)員甚至可(kě)以通過自行(xíng)改編内核來滿足自己服務器(qì)優良工(gōng)作的(de)需要。
當然，在此我們隻講一些基本，但(dàn)實用(yòng)的(de)配置技巧。

一、 ILO的(de)安全設置
LILO是Linux
Loader的(de)縮寫，它是LINUX的(de)啓動模塊。
我們可(kě)通過修改「/etc/lilo.conf」文(wén)件(jiàn)中的(de)内容來對它進行(xíng)配置。
在文(wén)件(jiàn)中加上(shàng)，如(rú)下兩個(gè)參
數：restricted,password
。這兩個(gè)參數可(kě)以使您的(de)系統在啓動lilo時就要求密碼驗證。
boot=/dev/hda

　　map=/boot/map

　　install=/boot/boot.b

　　prompt

　　timeout=00 #把這行(xíng)該爲00，這樣系統啓動時将不在等待，而直接啓動LINUX

　　message=/boot/message

　　linear

　　default=linux

　　restricted #加入這行(xíng)

　　password= #加入這行(xíng)并設置自己的(de)密碼

　　image=/boot/vmlinuz-2.4.2-2

　　label=linux

　　root=/dev/hda6

　　read-only

因爲"/etc/lilo.conf"文(wén)件(jiàn)中包含明(míng)文(wén)密碼，所以要把它設置爲root權限讀(dú)取。

　　# chmod 0600 /etc/lilo.conf

還要使用(yòng)「chattr」命令使"/etc/lilo.conf"文(wén)件(jiàn)變爲不可(kě)改變。

　　# chattr +i /etc/lilo.conf

　　這樣可(kě)以對「/etc/lilo.conf」文(wén)件(jiàn)起到(dào)很好的(de)保護作用(yòng)。（對其它文(wén)件(jiàn)的(de)保護也(yě)可(kě)以采用(yòng)此方法）

最後要使lilo.conf文(wén)件(jiàn)生效要用(yòng)

# /sbin/lilo -v

更新一下系統。

二、 口令安全

口令可(kě)以說是系統的(de)第一道防線，
目前網絡上(shàng)大(dà)部分(fēn)的(de)系統入侵都(dōu)是從猜測口令或者截獲口令開(kāi)始的(de)，所以口令安全至關重要。

首先要杜絕不設口令的(de)賬号存在。
這可(kě)以通過查看/etc/passwd文(wén)件(jiàn)來發現。
例如(rú)，存在用(yòng)戶名爲test的(de)賬号，沒有(yǒu)設置口令，則在/etc/passwd文(wén)件(jiàn)中就有(yǒu)如(rú)下一行(xíng)：

test::100:9::/home/test:/bin/bash

其第二項爲空，說明(míng)test這個(gè)賬号沒有(yǒu)設置口令，這是非常危險的(de)！應将該類賬号删除或者設置口令。

其次，在舊版本的(de)linux中，在/etc/passwd文(wén)件(jiàn)中是包含有(yǒu)加密的(de)密碼的(de)，
這就給系統的(de)安全性帶來了很大(dà)的(de)隐患，
最簡單的(de)方法就是可(kě)
以用(yòng)暴力破解的(de)方法來獲得口令（如(rú)，用(yòng)John等工(gōng)具）。
可(kě)以使用(yòng)命令
/usr/sbin/pwconv或者/usr/sbin/grpconv
來建立
 /etc/shadow或者/etc/gshadow文(wén)件(jiàn)，
這樣在/etc/passwd文(wén)件(jiàn)中不再包含加密的(de)密碼，
而是放(fàng)在/etc/shadow文(wén)件(jiàn)
中，該文(wén)件(jiàn)隻有(yǒu)超級用(yòng)戶root可(kě)讀(dú)！
第三點是修改一些系統賬号的(de)Shell變量，
例如(rú)uucp,ftp和(hé)news等，
一些僅僅需要FTP功能(néng)的(de)賬号，
一定不要給他(tā)們設置
/bin/bash或者/bin/sh等 Shell變量。
可(kě)以在/etc/passwd中将它們的(de)Shell變量置空，
例如(rú)設爲/bin/false或者
/dev/null等，
也(yě)可(kě)以使用(yòng)usermod -s /dev/null
username命令來更改username的(de)Shell爲/dev/null。
這樣使用(yòng)這些賬号将無法Telnet遠程登錄到(dào)系統中來！
第四點是修改缺省的(de)密碼長度：在安裝linux時默認的(de)密碼長度是5個(gè)字節。
但(dàn)這并不夠，要把它設爲8。
修改最短密碼長度需要編輯login.defs文(wén)件(jiàn)（vi/etc/login.defs），把下面這行(xíng)

　　PASS_MIN_LEN 5

　　改爲

　　PASS_MIN_LEN 8

　　login.defs文(wén)件(jiàn)是login程序的(de)配置文(wén)件(jiàn)。

最後别忙了爲root加上(shàng)一個(gè)強壯的(de)密碼，8位以上(shàng)，最好包含特殊字符。

三、 登錄安全

1、自動注銷賬号的(de)登錄，在unix系統中root賬戶是具有(yǒu)最高(gāo)特權的(de)。
如(rú)果系統管理(lǐ)員在離(lí)開(kāi)系統之前忘記