7、追蹤黑客蹤跡：日志管理

 

　　當用戶仔細設定了各種與Linux相關的配置(最常用日志管理選項)，并且安裝了必要的安全防護工具之后，Linux操作系統的安全性的確大為提高，但是卻并不能保證防止那些比較熟練的網絡黑客的入侵。

 

　　在平時，網絡管理人員要經常提高警惕，隨時注意各種可疑狀況，并且按時檢查各種系統日志文件，包括一般信息日志、網絡連接日志、文件傳輸日志以及用戶登錄日志等。在檢查這些日志時，要注意是否有不合常理的時間記載。例如：

 

　　

 

　　正常用戶在半夜三更登錄;

 

　　不正常的日志記錄，比如日志只記錄了一半就切斷了，或者整個日志文件被刪除了;

 

　　用戶從陌生的網址進入系統;

 

　　因密碼錯誤或用戶賬號錯誤被擯棄在外的日志記錄，尤其是那些一再連續嘗試進入失敗，但卻有一定模式的試錯法;

 

　　非法使用或不正當使用超級用戶權限su的指令;

 

　　重新開機或重新啟動各項服務的記錄。

 

　　上述這些問題都需要系統管理員隨時留意系統登錄的用戶狀況以及查看相應日志文件，許多背離正常行為的蛛絲馬跡都應當引起高度注意。

 

　　8、橫向擴展：綜合防御管理

 

　　防火墻、IDS等防護技術已經成功地應用到網絡安全的各個領域，而且都有非常成熟的產品。

 

　　在Linux系統來說，有一個自帶的Netfilter/Iptables防火墻框架，通過合理地配置其也能起到主機防火墻的功效。在Linux系統中也有相應的輕量級的網絡入侵檢測系統Snort以及主機入侵檢測系統LIDS(Linux Intrusion Detection System)，使用它們可以快速、高效地進行防護。

 

　　需要提醒注意的是：在大多數的應用情境下，我們需要綜合使用這兩項技術，因為防火墻相當于安全防護的第一層，它僅僅通過簡單地比較IP地址/端口對來過濾網絡流量，而IDS更加具體，它需要通過具體的數據包(部分或者全部)來過濾網絡流量，是安全防護的第二層。綜合使用它們，能夠做到互補，并且發揮各自的優勢，最終實現綜合防御。

 

　　9、評測：漏洞追蹤及管理

 

　　Linux作為一種優秀的開源軟件，其自身的發展也日新月異，同時，其存在的問題也會在日后的應用中慢慢暴露出來。黑客對新技術的關注從一定程度上來說要高于我們防護人員，所以要想在網絡攻防的戰爭中處于有利地位，保護Linux系統的安全，就要求我們要保持高度的警惕性和對新技術的高度關注。用戶特別是使用Linux作為關鍵業務系統的系統管理員們，需要通過Linux的一些權威網站和論壇上盡快地獲取有關該系統的一些新技術以及一些新的系統漏洞的信息，進行漏洞掃描、滲透測試等系統化的相關配套工作，做到防范于未然，提早行動，在漏洞出現后甚至是出現前的最短時間內封堵系統的漏洞，并且在實踐中不斷地提高安全防護的技能，這樣才是一個比較的解決辦法和出路。

 

　　10、保持更新：補丁管理

 

　　Linux作為一種優秀的開源軟件，其穩定性、安全性和可用性有極為可靠的保證，世界上的Linux高手共同維護著個優秀的產品，因而起流通渠道很多，而且經常有更新的程序和系統補丁出現，因此，為了加強系統安全，一定要經常更新系統內核。

 

　　Kernel是Linux操作系統的核心，它常駐內存，用于加載操作系統的其他部分，并實現操作系統的基本功能。由于Kernel控制計算機和網絡的各種功能，因此，它的安全性對整個系統安全至關重要。早期的Kernel版本存在許多眾所周知的安全漏洞，而且也不太穩定，只有2.0.x以上的版本才比較穩定和安全(一般說來，內核版本號為偶數的相對穩定，而為奇數的則一般為測試版本，用戶們使用時要多留意)，新版本的運行效率也有很大改觀。在設定Kernel的功能時，只選擇必要的功能，千萬不要所有功能照單全收，否則會使Kernel變得很大，既占用系統資源，也給黑客留下可乘之機。

 

　　在Internet上常常有最新的安全修補程序，Linux系統管理員應該消息靈通，經常光顧安全新聞組，查閱新的修補程序。一般情況下，用戶可以隨時保持對Red Hat門戶網站(www.redhat.com)，Debian Linux門戶網站(www.debian.org)、Turbolinux門戶網站(www.turbolinux.com)、SuSE門戶網站(www.suse.com/index_us.html)、Fedora門戶網站(fedora.redhat.com)等優秀Linux發行套件網站的關注，即時的更新系統的最新核心以及打傷安全補丁，這樣能較好地保證Linux系統的安全。