种类

描述

通用的安全小贴士

- 防止当你作为根用户登录时做常规的工作。
- 检查登录文件寻找可疑行为。
- 安装和执行城堡Linux 防护工具。
- 设置sudo（超级用户来做）来执行优先权命令作为一个普通用户而不使用su。
- 使用强大的和加密的密码来保护你的系统和数据
- 使除根用户以外的用户不能使用crtl+alt+del关机－通过使用“隐藏”密码（加密的）保护etc/passwd 。

文件安全

针对未授权使用setuid 和setgid 的审计系统
减少不必要的公众可写的文件
指出没有拥有者或群组的所有文件-它们可能由一名侵入者所创建
使用工具例如Tripwire来监控文件的完整性

内核安全

-密码-保护LILO来要求授权
-使用OpenWall内核补丁来防止缓冲器溢出，限制普通用户在/proc中的可用信息，和其它修改
-icmp_echo_ignore_all: 忽视所有的ICMP ECHO请求。这个选项防止ping 泛滥。
-icmp_echo_ignore_broadcasts: 忽视带有一个广播/多播目的地地址的ICMP请求回显。
- tcp_syncookies: 防止来自“SYN Attack”的攻击。当一个套接字溢出SYN缓冲区队列时发送syncookies
- rp_filter: 确定是否源地址验证是激活的。这个选项可以防止IP洪水攻击内部网络。
- secure_redirects: 仅接受列在默认网关列表中的ICMP重寄信息。
- log_martians:拥有对内核日志来说不可能的日志包。

网络安全

-使用SSH(安全shell)或OpenSSH来代替telnet, ftp, rsh, 和rlogin应该是标准做法。
-关掉任何对服务器正常工作无用的网络服务或开放端口。
-使用防火墙来加强由tcpd（tcp wrapper）提供的安全性。
-安装nmap来确定远程的潜在通信信道。

系统备份和更新

-备份系统，应用程序和周期数据。
-经常检查你的用户和系统文件备份来保证它们是可用的。
-保持系统和应用程序更新。