安全之道　部署Linux五个步骤

来源：51cto 作者：51cto 出处：巧巧读书 2008-03-31 进入讨论组

接下来就该为系统打补丁了，虽然有时很乏味，但打补丁还是必需的，毕竟843个包需要许多保护的，同时，你需要将系统设置为实时更新，以便出现新的威胁时可以及时处理，庆幸的是，本文中的样例发行版做升级都很容易，在Fedora客户端，你一样可以很容易地进行升级，在第一次登陆后，系统自动检查更新(图5)，Fedora使用Yellow Dog升级管理器，它比yum更有名，它有一个新的GUI界面 - 小狗- 来自动执行升级过程，但是，这个弹出式提示好象只能在GNOME环境下工作，如果你想手动升级你的系统，还可以使用命令yum list updates或yum info updates来查看哪个软件包需要升级，你也可以不加任何参数运行yum来升级所有安装了软件包的可用升级。

　　图5 在安装完毕后Fedora立即检查更新

　　继续样例服务器，Debian使用一个叫做aptitude(apt)的工具来升级软件包，apt传统上是作为一个软件包管理器使用，如 RedHat的RPM一样，但是它也可以象yum一样进行更新检查了，它使用预先定义好的和自定义的源列表来检查你安装的软件包的更新，如果在你的 /etc/apt/sources.list文件中没有下面这行，请将其添加进去，它让你可以在主干稳定的US归档服务器上检查更新。

　　deb http://http.us.debian.org/debian stable main contrib non-free

　　然后运行apt-get升级命令，要为你系统升级所有的包，在命令提示符后输入apt-get upgrade(图6)，系统将开始检查，得到你的同意后，开始下载并应用更新，在运行apt-get前如果你想看看你安装了哪些软件包，使用命令 dpkg –l，要设置为每周检查一次更新，使用下面的命令或你自己编写脚本并用crontab来安排执行时间。

echo /usr/bin/apt-get update > /etc/check4updates
echo /usr/bin/apt-get upgrade >> /etc/check4updates
chmod 750 /etc/check4updates
crontab –e

　　图6 使用apt-get查找Debian安全更新

　　将下面这行代码添加到你的crontab文件，让脚本在每周三上午3:30执行：

30 3 * * 3 /etc/check4updates

　　注意：如果你是编译的你自己的包或从另一个源下载的包，使用yum或apt-get可能不能进行自动升级。

　　步骤四：加固

　　在给你的新系统打好补丁后，你可能需要额外的步骤来加固它，在你的计划中应该有一个安全目标，参照这些目标确定要做哪些事情，你的目标越多，事情就越多，尽量保持简化，实际上复杂的设置会让系统更不安全，因为它们常常导致配置失效，同时，在你的安装日志中记录这些步骤。

　　Fedora实例已经准备好展示两个重要的步骤来增强安全性：启用SELinux和安装一个防火墙。在大多数典型的使用桌面的情况下，安装一个杀毒软件就足够了，对于Debian盒子而言，我选择了三个可以在任何服务器上使用的步骤：使用sudo、锁住ssh和使用一个限制性的iptables防火墙，这些项目应该在任何服务器上考虑部署，如果需要，它们也可以在桌面系统上应用。

　　sudo

　　sudo对于限制root访问而言是一个伟大的程序，它应该在任何服务器上接受严格的监视，将用户添加到/etc/sudoers文件中，限制它们使用su来执行特殊的命令，访问特殊的目录或访问网络主机，在sudoers文件中的任何用户只要在它运行命令前输入sudo来进入root环境即可执行想执行的程序，这比起将root密码告诉每个人来将更容易，而且更安全了。

　　ssh

　　ssh是目前linux系统上标准的远程访问协议，在它的默认配置下，它有一些设置明确地需要你进行锁定，将下面两行添加到/etc/ssh/sshd.config文件中：　

PermitRootLogin no
X11DisplayForwarding no

　　第一行阻止root用户通过ssh登陆到服务器，永远都不要用root用户登陆ssh，第二行禁用了X转发(它允许用户快速地从你的服务器启动一个 X会话)，在本例中，X并没有安装，因此这不是问题，你应该通过chroot技术或使用TCP Wrappers进一步锁定ssh，由于空间限制，我忽略了这些配置步骤。

　　iptables防火墙