Linux连接互联网之前必须做的十件事

1. 你的目标

Linux和微软Windows一样，都只不过是一个电脑操作系统。每次当我和那些第一次使用Linux的朋友和同事谈起Linux的时候，这都是我强调的第一个观点。Linux本身并不是一根神奇的魔杖，你只要挥动它，就能够让所有的计算问题统统消失。Windows有自己的问题，Linux也是一样。世界上并不存在一个完美或者完全安全的计算机操作系统。这台机器是桌面电脑还是服务器，不同的使用目的决定了如何对你的Linux进行初始安装和配置。

2. 安装

和Windows不同，Linux并不把自己划分为“服务器”版本和“桌面电脑”版本。在Linux的典型安装中，你可以按照自己的需要选择安装哪些软件，因此可以成为一个完全适合你需要的系统。因此，你需要意识到安装程序需要你来指导安装。例如，一些版本会把Samba服务器或者邮件服务器作为基本安装的一部分。取决于该Linux PC的用途和你准备接受的安全等级，你甚至可能完全不需要这些服务。花点时间熟悉你所选择的Linux版本的安装程序，这样可以避免很多以后的麻烦，或者重新安装。

3. 安装并配置软件防火墙

无论在哪种类型的网络中，本地软件防火墙都能够提供“以防万一”式的安全防护。这些类型的防火墙能够过滤到达你电脑的网络通信，这和Windows防火墙很类似。Mandriva的名为Shorewall和Linux内核中名为Netfilterprovides的组件形成了一个软件防火墙。通过安装和配置Shorewall，你可以阻止特定类型的网络通信，规定信息出入电脑的规则。

你可以通过在命令提示符后输入mcc（或者Mandriva Control Center）来配置你的防火墙，根据你所使用的图形环境，你也可以从基本系统菜单访问Mandriva Control Center。在安全选项中，选择防火墙图标，然后你会看到一个需要通过防火墙的通用应用列表。例如，选择“SSH server”将会为安全远程访问打开供Secure Shell server 使用的22端口。在高级选项中你可以选择那些不那么常用的端口。例如，输入“8000/tcp”将为基于TCP的网络通信打开电脑上的8000端口。

阻止或允许网络通信提供了一层安全防护，但是你该如何保护那些被允许使用互联网或者内部网的服务？基于主机的安全防护提供了另一重保障。

4. 配置/etc/hosts.deny和/etc/hosts.allow文件

在前面的讲述中，我们提到这样一个例子，通过在防火墙上打开22端口，允许Secure Shell进行网络通信。为了进一步保护这一服务器不受未经许可的通信或潜在黑客的攻击，我们也许会希望限制能够连接到该服务器应用的主机或者电脑。我们可以使用/etc/hosts.deny 和/etc/hosts.allow文件实现这一目的。

当一台电脑试图访问一项服务的时候，比如你的新Linux电脑上的secure shell server，/etc/hosts.deny 和/etc/hosts.allow文件会进行处理，根据一些非常容易配置的规则，访问会被允许或者拒绝。对于Linux桌面电脑来说，在/etc/hosts.deny文件中增加下列内容会非常有帮助：

ALL: ALL

这将拒绝来自任何主机的、对于任何服务的访问。第一眼看到这个命令的时候可能会觉得它过于严格，但是之后，我们可以在/etc/hosts.allow文件中增加允许访问服务的主机。下面的例子中，允许了一些主机通过远程secure shell访问服务：

sshd: 192.168.0.1 #allow 192.168.0.1 to access ssh

sshd: somebox.somedomain.com #allow somebox.somedomain.com to access ssh

这两个文件为你的Linux电脑提供强大的、基于主机的过滤方法。

5. 关闭或者移除不重要的服务

和Windows系统一样，有一些你不希望、也不会用到的服务会在后台运行。使用Linux命令chkconfig，你可以看到有哪些服务在后台运行，并可以根据自己的需要打开或关闭它们。没有运行的服务不会为潜在的黑客提供安全漏洞，也不会消耗宝贵的CPU资源。

6. 保护你所需要的服务

如果你的新Linux电脑中有些服务需要连接到互联网，你要留意它们的配置，并且按照需要使用它们。例如，如果你的Linux电脑会接受安全shell connections，你应该检查sshconfig文件（对于Mandriva，它是/etc/ssh/sshd_config），然后禁用诸如root login之类的选项。每一台Linux电脑都有一名根用户，所以你应该通过ssh禁止根用户登录，以免黑客用暴力破解密码的方式获得你的超级用户帐户。

7. 调整内核网络安全选项

Linux内核本身可以提供一些附加的网络安全性。建议你熟悉一下/etc/sysctl.conf文件中的选项，并按照需要使用它们。例如，这个文件里的选项控制哪些类型的网络信息被登记到你的系统日志中。

8. 将PC连接到路由器

今天，硬件路由器已经成为家庭电脑硬件中很普遍的一部分。它是任何家庭网络或者办公网络的第一道安全防线，让多台电脑共享一个可见的或者外部互联网地址。这对于任何黑客或者恶意程序来说通常都是个坏消息，因为你的电脑会阻止所有的网络通信，除非是你特别允许的通信。家庭网络路由器和那些被大型企业用来把自己企业内部基础架构和互联网隔离开的设备很类似，但只是一个更小版本的产品。

9. 升级

一直保持你电脑上的软件及时更新，并且安装了最新的安全补丁，这对于无论Linux、 Windows、BSD或者是WhoKnowsWhat都是一样重要。你所使用的版本会发布一些常规安全补丁，这些补丁非常实用，你可以在互联网上获得它们。对于Windows，这应该是你互联网上的第一目的地。

10.其他软件

你在互联网上第二件需要做的事情也许就应该是安装一些其他的控制或系统监控软件。

Bastille-Linux是一款软件，你可以用来管理或者在某些方面保护你新的Linux电脑。它以交互式的方式，创建出安全策略，然后根据将这一策略应用于系统，并对潜在的安全漏洞给出报告。它是一款非常出色的软件，能够帮助你保护你的Linux电脑。

Tripwire是另一款监视软件，它可以检查出system binaries中未经授权的修改。黑客通常会修改system binaries，因此这种做法对探测系统入侵非常有效。被修改过的程序可能会向你报告虚假信息，并让黑客能够控制你的系统。（责任编辑：王叶）

查看本文的国际来源