linux系统安全防护大体上分成4个关键部分:

1.文件系统的保护。linux系统就是文件系统,其中的所有设备都是通过文件进行操作和管理的。

2.用户管理安全。linux是多任务,多用户的操作系统,用户的管理直接关系到整个系统的安全。

3.进程保护。所有的攻击行为都是通过进程实现。

4.日志管理。linux提供了丰富的日志系统,可以清晰的了解系统的运行状况和入侵的行为。

一)使用tripwire在linux系统中监控属性保证文件系统的安全完整。

下载tripwire 网址:http://download.chinaunix.net/download.php?id=35329&ResourceID=10643  tripwire-2.4.2-src.tar.bz2对于2.3.1的版本本身配置的时候会出现许多问题,需要打补丁等一系列问题,所以采用最新版本

[root@localhost ~]# tar -jxvf tripwire-2.4.2-src.tar.bz2

[root@localhost ~]#mv tripwire-2.4.2-src  /opt/

[root@localhost ~]# cd /opt/

[root@localhost ~]# cd tripwire-2.4.2-src/

[root@localhost ~]# ./configure

[root@localhost ~]# make

[root@localhost ~]# cd install

[root@localhost ~]# vim install.cfg

#TWMAILMETHOD=SENDMAIL
TWMAILMETHOD=SMTP
TWSMTPHOST="mail.teksundigital.com"
TWSMTPPORT=25

[root@localhost ~]# make install

[root@localhost ~]# cat install.sh>install

[root@localhost ~]# chmod a+x install

[root@localhost ~]# tripwire -init

生成初始的基准数据库

[root@localhost ~]# tripwire -check

检查变动。

具体的一些使用方法可以上网查询一些资料,在安装的时候注意几点,在做make install的时候不要在那个目录下而是在其他地方,当中必须键入accept而不能简单的y或n,要求输入密码时是不显示的但还是要输入。

[root@localhost ~]# tripwire --init
Please enter your local passphrase:
Parsing policy file: /usr/local/etc/tw.pol
Generating the database...
*** Processing Unix File System ***
The object: "/misc" is on a different file system...ignoring.
The object: "/net" is on a different file system...ignoring.
The object: "/sys" is on a different file system...ignoring.

二)对于进程的安全保护。

linux系统提供了who,w,ps,top等查看进程的调用。

who 参看当前在线上用户的情况。

w   who命令的增强版,还可以显示用户正在做哪个命令。

ps  强大的进程查看命令

top 动态的查看进程命令,还可以看cpu等信息。

通过一些进程文件来管理进程。 ls   /proc

三)用户账户管理的安全。

通过以下几个方面考虑。

密码复杂度,不能规则,长度要求,定期修改,加密保存密码,账户锁机制。

可以使用john the   ripper  测试密码的安全。

linux系统本身通过访问权限的设置就对账号文件的安全考虑的比较完全。

系统的个人环境都是从/etc/skel下文件复制。

四)日志的安全管理。

linux系统的4类主要日志:

1.连接时间日志

管理员通过/va/log/wtmp  和 /var/run/utmp可以看到某人在何时登陆系统

2.进程统计日志

目的是为了系统中的基本服务提供命令来使用统计。pacct或acct。

3.错误日志

/var/log/message值得注意的事件。

4.使用程序日志。

su命令允许用户获得另一个用户的权限,安全很重要,所以sulog,sudolog;

apache服务有access_log和error_log,sendmail有logmail等。

wtmp和utmp是二进制文件不能直接读取。

who可以看到当前用户登录,使用who  /var/log/wtmp可以查看以前的记录。

users打印当前登录的用户,可重复。

last可以显示从文件wtmp创建以来登录过的用户。可以last+用户名筛选。

ac 当前登录用户连接时间。

lastlog检查特定的用户上次登录的时间,格式化输出内容。