构建安全可靠的Linux服务平台(上)

　　如果很少对账户进行添加、变更或删除操作，把/home本身设置为Immutable属性也不会造成什么问题。

　　在很多情况下，整个/usr目录树也应该具有不可改变属性。实际上，除了对/usr目录使用chattr -R +i /usr/命令外，还可以在/etc/fstab文件中使用ro选项，使/usr目录所在的分区以只读的方式加载。

　　另外，把系统日志文件设置为只能添加属性(Append-only)，将使入侵者无法擦除自己的踪迹，以便于执法人员取证、分析。

　　文件系统的完整性检查

　　完整性是安全系统的核心属性。管理员需要知道是否有文件被恶意改动过。攻击者可以用很多方法破坏文件系统，例如，可以利用错误配置获得权限，也可以修改文件植入特洛伊木马和病毒。Linux中常用如下工具进行校验检查。

　　1．md5sum

　　md5sum 命令可以用来创建长度为128位的文件指纹信息。通过md5sum -c命令可以反向检查文件是否被修改过。黑客进入到系统后，会用修改后的文件来取代系统上某些特定的文件，如netstat命令等。于是当使用 netstat -a命令查看系统状态时，不会显示系统攻击者存在的信息。攻击者还可能会替代所有可能泄露其存在的文件，一般来说包括：

　　这些文件都是替代的对象。由于这些文件已经被取代，那么简单地利用ls命令是查看不出这些文件有什么破绽的。因此你需要用md5sum工具在系统安装前期为这些文件做好指纹认证并保存，以备日后检测所用。