让Linux 更安全（三）

　　保护本地文件系统

　　保护本地文件系统涉及的是文件和目录的所有者及访问它们的权限。要保护文件系统，文件和目录的保护位必须设置为只授予最小限度的权限。

　　要特别注意关于所有人可写的文件和系统目录的不适当权限，以及所谓的 setuid 或者 setgid 命令。这些命令运行时的用户权限比运行此命令的用户实际拥有的权限更高。对访问只有 root 才可以访问的文件来说这可能是必需的（比如 /bin/passwd 需要访问 /etc/passwd）。对于这些命令，要确保它们每一个都确实需要设置 setuid/setgid 位。如果不是这样，那么禁用它。

　　当某个分区上的所有文件确实都不需要 setuid/setgid 位时， /etc/fstab 中的 nosuid 选项可以为相应文件系统中的每个文件都禁用它（下面的示例中的 /dev/hdc1）：

　　此外，对于所有敏感的数据，都有必要对其进行加密并使用密码保护它。为此，GnuPG 提供了一个合适的软件包。

　　强制实行配额和限制

　　Linux PAM（插入式认证模块，Pluggable Authentication Modules）可以强制实行一些实用的限制，在 /etc/security/limits.conf 文件中对此进行配置。谨记，这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构： username|@groupname type resource limit。

　　为了与 username 区别，groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制（soft-limit）可以被超出，通常只是警戒线，而硬限制（hard-limit）不能被超出。resource 可以是下面的关键字之一：