一：概述

Linux系统开源导致了系统的安全性问题，经常会遭遇到来自系统底层的进攻。系统管理员要清楚的了解LInux系统中可能会遇到的进攻类型和对应的措施，一旦发现系统中存在安全漏洞，我们应该立刻采取措施修复漏洞，保护系统安全、加强防御。计算机中的安全问题主要是针对信息安全泄露与窃取的对策、入侵防御、入侵检测和入侵后的对策几个方面。

二：防御入侵的措施

防止信息泄露和窃取的措施主要包括文件访问限制和加密等，入侵检测和入侵防御主要是针对防火墙、IDS(入侵检测系统)和IPS(入侵防御系统)的入侵检测和防御系统。

防止信息泄露和窃取，可以从以下方面入手：

• 本地信息泄露的应对方法：不管是系统管理员还是普通用户都必须要学会正确的设置文件的访问权限和ACL(访问控制列表)，还可以通过SELinux设置访问控制策略。
• 网络数据被窃取的应对策略：在网络上进行通信的时候，由于http、telnet、ftp都是未加密的通信，就容易遭到窃取；而WEB服务器和客户端之间的通信都是通过https(超文本传输安全协议)传输的，保证了安全性。主机之间通信可以通过ssh，而不是telnet，这样也可以增加安全性。

我们所针对的主要是来自网络的入侵，通过防御网络入侵和管理权限来加强系统的安全性有如下方面进行了解：

1. 经常更新软件：一般情况下，我们为了避免他人通过软件中存在的漏洞入侵系统，必须更新软件到最新版本。
2. 下载数据的注意事项：在网络上意外下载或安装了不知名的软件都可能造成系统被入侵，为了防止这种情况发生，我们需要从标准或受信任得存储库中下载软件包。注意欺诈性得电子邮件，不要随机打开电子邮件中得附件或者链接。
3. 防止不必要得服务：服务中的软件也会存在漏洞，有时候系统也会受到这些软件中的漏洞进攻，因此我们需要防止启动不必要的服务。
4. 合理设置防火墙：使用Netfilter等拒绝未授权的访问，并合理地设置每个服务器地访问控制表。
5. 使用身份验证：为了防止暴力破译密码，我们需要使用高强度安全地身份验证方法，禁止使用密码验证，而是改用公钥验证。
6. 禁止root登录：平时登录系统地时候只允许以普通用户地身份登录系统，只有在需要管理员权限时才能通过su命令获取root权限，用户需要输入私钥和密码，以提高系统地安全性。
7. 还需要注意文件/var/log/secure,它负责记录安全相关的信息。如果文件很大，那么说明有人在破译你的root密码。

三：检测和防止外来入侵的对策

平时我们在使用系统的过程中虽然采用了不少的措施防止外来入侵，但还是避免不了软件漏洞，系统仍然有被入侵的可能性。在这种情况下，必须以最快的速度检测到入侵，最大程度地减少伤害。不管任何时候，只要发现系统中存在可疑的情况，都应该监视进程、内存、磁盘和网络活动，发现潜在的危害。

可以使用一些监控命令来监测系统的运行状况，包括top、ps、vmstat、lsof、tcpdump等，比如使用tail -f命令实时的监控Web服务器日志，也就是文件/var/log/https/access_log；还可以通过图形化的工具实时监视系统资源，在应用程序中找到“系统监视器”并启动，实时监视系统资源，包括CPU、内存信息，

从系统监视器中可以看出CPU的使用情况、内存、交换分区的可用空间以及正在接收和发送的字节速度。还可以通过last命令查看用户登录系统的记录，包括用户名、登录的远程名称或IP地址以及登录时间。last命令显示的内容来自于/var/log/wtmp日志文件，这是一个二进制文件，它会永久记录每一个用户登录、注销和启动、停机的事件。因此随着系统正常运行时间的增加，这个文件的大小也会随着越来越大。使用last命令查看登录记录如下图所示：

通过这种方法可以监控异常登录的情况，可以通过less /var/lof/secure命令查看不同身份的用户登录访问系统状态。

如果你的系统被入侵了，并且对方获得了你的root权限，那么入侵者可以执行任何操作。一旦发生这种情况，你必须重新安装操作系统。另外系统中的身份验证信息也可能被窃取，因此有必要创建所有用户的身份验证信息。

如果对方获取了系统中某个应用程序的使用权，在应用程序有权访问的文件系统和数据库中，有可能已经创建了非法入侵的后门。在这种情况下，你不仅需要更新版本修复应用程序的漏洞，原则上也有必要重新安装应用程序并重建数据库。