如何来量身定制安全的Linux系统服务平台

　　如果主机直接暴露在因特网或者位于其它危险（如其它非管理员亦可接触服务器）环境，有很多Shell账户或提供HTTP和FTP等网络服务，一般应该在安装配置完成后使用如下命令，便于保护这些重要目录：

　　[root#] chattr -R +i /bin /boot /etc /lib /sbin

　　[root#] chattr -R +i /usr/bin /usr/include /usr/lib /usr/sbin

　　[root#] chattr +a /var/log/messages /var/log/secure......

　　如果很少对账户进行添加、变更或删除操作，把/home本身设置为Immutable属性也不会造成什么问题。

　　在很多情况下，整个/usr目录树也应该具有不可改变属性。实际上，除了对/usr目录使用chattr -R +i /usr/命令外，还可以在/etc/fstab文件中使用ro选项，使/usr目录所在的分区以只读的方式加载。

　　另外，把系统日志文件设置为只能添加属性(Append-only)，将使入侵者无法擦除自己的踪迹，以便于执法人员取证、分析。

　　文件系统的完整性检查

　　完整性是安全系统的核心属性。管理员需要知道是否有文件被恶意改动过。攻击者可以用很多方法破坏文件系统，例如，可以利用错误配置获得权限，也可以修改文件植入特洛伊木马和病毒。Linux中常用如下工具进行校验检查。

　　1．md5sum

　　md5sum 命令可以用来创建长度为128位的文件指纹信息。通过md5sum -c命令可以反向检查文件是否被修改过。黑客进入到系统后，会用修改后的文件来取代系统上某些特定的文件，如netstat命令等。于是当使用 netstat -a命令查看系统状态时，不会显示系统攻击者存在的信息。攻击者还可能会替代所有可能泄露其存在的文件，一般来说包括：

　　/bin/ps、/bin/netstat、/bin/login、/bin/ls、

　　/usr/bin/top、/usr/bin/passwd、/usr/bin/top、