配置安全的Linux操作系统

　　取消匿名FTP访问

　　去除非必需的suid程序

　　使用tcpwrapper

　　使用ipchains防火墙

　　日志系统syslogd

　　一些细节：

　　1.操作系统内部的log file是检测是否有网络入侵的重要线索，当然这个假定你的logfile不被侵入者所破坏，如果你有台服务器用专线直接连到Internet上，这意味着你的IP地址是永久固定的地址，你会发现有很多人对你的系统做telnet/ftp登录尝试，试着运行#more /var/log/secure | grep refused 去检查。　

　　2. 限制具有SUID权限标志的程序数量，具有该权限标志的程序以root身份运行，是一个潜在的安全漏洞，当然，有些程序是必须要具有该标志的，象passwd程序。　

　　3.BIOS安全。设置BIOS密码且修改引导次序禁止从软盘启动系统。　

　　4. 用户口令。用户口令是Linux安全的一个最基本的起点，很多人使用的用户口令就是简单的‘password'，这等于给侵入者敞开了大门，虽然从理论上说没有不能确解的用户口令，只要有足够的时间和资源可以利用。比较好的用户口令是那些只有他自己能够容易记得并理解的一串字符，并且绝对不要在任何地方写出来。　

　　5./etc/exports 文件。如果你使用NFS网络文件系统服务，那么确保你的/etc/exports具有最严格的存取权限设置，不意味着不要使用任何通配符，不允许root写权限，mount成只读文件系统。编辑文件/etc/exports并且加：例如：　

　　/dir/to/export host1.mydomain.com(ro,root_squash)

　　/dir/to/export host2.mydomain.com(ro,root_squash)

　　/dir/to/export 是你想输出的目录，host.mydomain.com是登录这个目录的机器名，ro意味着mount成只读系统，root_squash禁止root写入该目录。