Linux系統(tǒng)安全保護方法如下：

保持最新的系統(tǒng)核心

由于Linux流通渠道很多，而且經(jīng)常有更新的程序和系統(tǒng)補丁出現(xiàn)，因此，為了加強系統(tǒng)安全，一定要經(jīng)常更新系統(tǒng)內(nèi)核。

Kernel是Linux操作系統(tǒng)的核心，它常駐內(nèi)存，用于加載操作系統(tǒng)的其他部分，并實現(xiàn)操作系統(tǒng)的基本功能。由于Kernel控制計算機和網(wǎng)絡(luò)的各種功能，因此，它的安全性對整個系統(tǒng)安全至關(guān)重要。

早期的Kernel版本存在許多眾所周知的安全漏洞，而且也不太穩(wěn)定，只有2.0.x以上的版本才比較穩(wěn)定和安全，新版本的運行效率也有很大改觀。在設(shè)定Kernel的功能時，只選擇必要的功能，千萬不要所有功能照單全收，否則會使Kernel變得很大，既占用系統(tǒng)資源，也給黑客留下可乘之機。

在Internet上常常有最新的安全修補程序，Linux系統(tǒng)管理員應該消息靈通，經(jīng)常光顧安全新聞組，查閱新的修補程序。

增強安全防護工具

SSH是安全套接層的簡稱，它是可以安全地用來取代rlogin、rsh和rcp等公用程序的一套程序組。SSH采用公開密鑰技術(shù)對網(wǎng)絡(luò)上兩臺主機之間的通信信息加密，并且用其密鑰充當身份驗證的工具。

由于SSH將網(wǎng)絡(luò)上的信息加密，因此它可以用來安全地登錄到遠程主機上，并且在兩臺主機之間安全地傳送信息。實際上，SSH不僅可以保障Linux主機之間的安全通信，Windows用戶也可以通過SSH安全地連接到Linux服務(wù)器上。

限制超級用戶的權(quán)力

我們在前面提到，root是Linux保護的重點，由于它權(quán)力無限，因此最好不要輕易將超級用戶授權(quán)出去。但是，有些程序的安裝和維護工作必須要求有超級用戶的權(quán)限，在這種情況下，可以利用其他工具讓這類用戶有部分超級用戶的權(quán)限。Sudo就是這樣的工具。

Sudo程序允許一般用戶經(jīng)過組態(tài)設(shè)定后，以用戶自己的密碼再登錄一次，取得超級用戶的權(quán)限，但只能執(zhí)行有限的幾個指令。

設(shè)定用戶賬號的安全等級

除密碼之外，用戶賬號也有安全等級，這是因為在Linux上每個賬號可以被賦予不同的權(quán)限，因此在建立一個新用戶ID時，系統(tǒng)管理員應該根據(jù)需要賦予該賬號不同的權(quán)限，并且歸并到不同的用戶組中。

在Linux系統(tǒng)上的tcpd中，可以設(shè)定允許上機和不允許上機人員的名單。其中，允許上機人員名單在/etc/hosts.allow中設(shè)置，不允許上機人員名單在/etc/hosts.deny中設(shè)置。設(shè)置完成之后，需要重新啟動inetd程序才會生效。此外，Linux將自動把允許進入或不允許進入的結(jié)果記錄到/rar/log/secure文件中，系統(tǒng)管理員可以據(jù)此查出可疑的進入記錄。

每個賬號ID應該有專人負責。在企業(yè)中，如果負責某個ID的職員離職，管理員應立即從系統(tǒng)中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號。

在用戶賬號之中，黑客最喜歡具有root權(quán)限的賬號，這種超級用戶有權(quán)修改或刪除各種系統(tǒng)設(shè)置，可以在系統(tǒng)中暢行無阻。因此，在給任何賬號賦予root權(quán)限之前，都必須仔細考慮。

Linux系統(tǒng)中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱。例如，在RedHatLinux系統(tǒng)中，該文件的初始值僅允許本地虛擬控制臺(rtys)以root權(quán)限登錄，而不允許遠程用戶以root權(quán)限登錄。最好不要修改該文件，如果一定要從遠程登錄為root權(quán)限，最好是先以普通賬號登錄，然后利用su命令升級為超級用戶。

【編輯推薦】

1. Linux平臺安全防護策略
2. Linux平臺安全防護策略 續(xù)
3. Linux系統(tǒng)安全的維護常識
4. Linux服務(wù)器安全之維護常識
5. Linux操作系統(tǒng)服務(wù)器上進行安全配置
6. 從堵住系統(tǒng)漏洞開始 保護Linux系統(tǒng)安全