操纵系统的安适问题是信息安适范围最重要和最根基的问题之一。跟着近几年国内互联网技术和行业的迅猛成长，给与Linux网络操纵系统作为处事器的用户也越来越多。Linux面临着前所未有的成长机遇，同时Linux也面临着越来越多的安适隐患。作为一个开放式系统，互联网上有大量的Linux版本的开源软件产品和工具。这既便利于满足用户使用需求，也给黑客供给了更多的途径来打击处事器，甚至偷取处事器上的机密信息。因此，详细分析Linux系统的安适机制，找出它可能存在的安适隐患，给出相应的安适计谋和掩护法子是十分须要的。

Linux操纵系统供给了根基的安适机制。本文以Red Hat Enterprise Linux Server release 6.7为例介绍这些安适机制的基来源根底理及实施要领，主要包孕以下内容：

1、 系统帐号和暗码打点

2、Linux网络安适

3、 文件系统的安适

4、 系统日志的生存

5、 内核更新及安适补丁安置

1. 系统帐号和暗码打点

账户和暗码可以说是操纵系统安适的第一道防线。此中账户用来确认系统访谒者的身份，暗码可以验证系统访谒者是否有权使用此账户。暗码泄露就像是房门钥匙被人窃取一样危险。系统一旦被入侵，不但对使用者账户自己有影响，系统内的所有资料和文档都有被窃取和损坏的危害，从而造成巨大的损掉。所以，打点员应该采纳须要的技术手段强制用户使用强暗码并按期变动，按期验证系统中账号合法性，及时删除不须要的账户、防备超级用户被篡改等，保证系统用户账号和暗码的安适。

1.1. 及时删除或禁用无用账户

Linux系统中所有的账户都存放在/etc/passwd文件中。系统打点员可以按期监控/etc/passwd文件，验证系统中勾当账户的合法性，及时删除或禁用系统中不须要或不再使用的账户。此类账户主要分为以下两种情况。

1) 某些处事安置时默认创建的执行账户，好比ftp、news、postfix、apache、squid等。

2) 无人使用或者无业务需求的账户。

此类账户最好做删除措置惩罚惩罚。如下示例所示：

如果因为特殊原因需保存账户，可以锁定账户或者改削账户登录shell为/sbin/nologin。如下示例所示：

1.2. 设置暗码庞大度计谋

此刻的计算机的计算能力越来越强，弱暗码很容易被破解。Linux有自界说暗码庞大度计谋的机制，可以从以下几个方面加强打点。

1) 最短暗码长度为8。

2) 包罗一个字符或非字符(数字、标点或特殊字符)。

3) 暗码中不允许包罗账户。

4) 每隔90天改削一次暗码。

5) 暗码最短生命周期设置为1，防备恶意变动暗码。

6) 8次改削暗码不成以反复并且加密生存。

7) 持续5次输入错误暗码，锁定账户。

8) 首次登录强制改削暗码。

具体实现方法，如以下示例所示：

1.3. 掩护shadow暗码文件

Linux中账户暗码叫做影子文件，存放在/etc/shadow里面。如果在/etc/pam.d/system-auth中设置了加密存储，那在/etc/shadow中看到的将是加密后的暗码信息。虽然颠末了加密措置惩罚惩罚，但这些加密信息仍然可以借助一些暗码破解措施进行强制破解。John the Ripper就是这样的一个暗码破解措施，该措施的源代码可以从网站上下载。颠末尝试，通过John措施可以等闲的破解shadow中的加密暗码。所以系统打点员应掩护好shadow文件，正常情况下应只有root用户拥有该文件的访谒权限。别的，打点员不该在有其他人员在场的情况下随便打开shadow文件，以免此中的内容被人窃取。

1.4. 防备root账户被篡改

在Linux系统中root账户是超级打点员账户。它可以执行所有的系统的命令，也具有系统中最高的权限。而且Linux系统中只有一个root超级账户。但是在Linux系统中，用户是由UID来区分，而不是账户名。如果把一个普通账户的UID改削为0，即root账户的UID，则这个普通账户也将获得root不异的超级打点员权限。如果这种账户，没有颠末正常的审批流程，或者不是系统打点员设置，这种账户很有可能是犯警入侵者变动的。所谓打点员，应及时发明这种犯警账户，并作相应的措置惩罚惩罚。

2. Linux网络安适