Linux十大高级安全管理技巧

　　八、使用单一登录

　　系统维护分散的大网络环境中的多个用户帐号对于系统管理员来讲是一件非常头疼的事情。现在有一些单一的登录（signon）系统不仅可以减轻管理员的负担，而同时还提高了安全级别。

　　网络信息服务（NIS）是一个很好的单一登录系统，它在Sun公司的YellowPage服务的基础上发展来的，它的基本安全特性不够健状，由于不断有一些bug和脆弱性被公布，因此有人戏称它为网络入侵者服务（NetworkIntruderService）。NIS的更新版本NIS+原NIS的不足进行了改进，现在已经有了用于Linux的NIS+版本。

　　Kerberos也是一种非常有名的单一登录系统。Kerberosv4具有一些很有名的安全漏洞，如入侵者可以离线进行穷尽攻击Kerberoscookie而不会被发现。Ketberosv5大大进行了改进，不会再有v4的问题。

　　在大的网络中，象NIS和Kerberos这样的单一的登录系统虽然有有利的一面，但也有它不利的一面。一方面，在不同系统上都具有认证机制有助于隔离该功能并且减少它与其它服务相互之间的影响。另一方面，一旦一个系统中的某个帐号被破坏，所有可通过这个帐号访问的系统都将同样遭到破坏。因此在单一的登录系统中特别要求具有较高防猜测水平的口令字。

　　基于Windows的网络在WindowsNT域系统中有自己的单一登录系统。Linux系统可以根据Windows系统进行认证。这允许用户在Windows系统下修改、维护和管理它们的帐号和口令字并且修改结果会在同时在UNIX登录中得到体现。如使用pam_smb，Linux系统可以根据WindowsSMBDomain进行认证。这在以Windows网络管理为中心的网络中是相当方便的，但它也带来了Windows认证系统自身的一些不安全性。

　　九、掌握最新安全产品和技术

　　作为一个系统管理员，还必须时刻跟踪Linux安全技术的发展动向，并且适时采用更先进的Linux安全工具。目前国际上有许多有关Linux安全的研究和开发项目，目前至少有三个安全Linux项目已经启动，每个项目的目标都有自己的侧重点，它们分别是：

　　● 安全Linux（SecureLinux）安全Linux（www.reseau.nl/securelinux）项目的目标是提供一个用于Internet服务器系统的安全的Linux分发。该项目管理者正寻求在这个产品中集成强大的密码和一些额外的Web服务器功能。既然它是在美国之外创建的，人们可望能够得到改进的密码安全而不会受到美国安全产品出口法律的限制。

　　● BastilleLinuxBastilleLinux(www.bastille-linux.org）项目寻求在Linux环境中建立一个类似OpenBSD的标准。该项目宣称的目标是为台式机创建一个安全的分发，使网络管理者可以不用担心用户的安全。

　　● Kha0sLinuxKha0sLinux（www.kha0s.org）正寻求创建了一个具有强加密和类似OpenBSD的安全政策的最小的安全Linux分发。该小组目前正在它的Web站点上请求全球用户和厂商的参与和合作。

　　除此之外，下面两点对于管理员提高Linux安全管理水平也是十分有用的：

　　访问安全Linux邮件列表现在有许多关于Linux安全的邮件列表，如securedistros@nl.linux.org、Kha0s-dev@kha0s.org等，经常访问这些邮件列表可以得到大量的安全信息。

　　还有另一个通用的邮件列表是security-audit@ferret.lmh.ox.ac.uk，它是专门讨论源代码的安全审计的。这个列表可能与其它的邮件列表有大量的重复，但如果想了解源代码审计和相关的安全问题的话还是很值得一读的。

　　十、多管齐下

　　任何一种单一的安全措施其防范能力都是有限的，一个安全的系统必须采取多种安全措施，多管齐下才能更好的保证安全。假如一个Linux系统采取了以上各种安全措施，那么要想侵入你的系统，攻击者将不得不绕过防火墙、避开入侵检测系统、跳过陷井程序、通过系统过滤器、逃过你的日志监视器、修改文件系统属性、破坏安全登录服务器才能最终达到目的。由于其中任何一个环节都可能激发报警，因此入侵者要想侵入这样的系统而又不被发现几乎是不可能的。