红旗linux认证：Ubuntu安全设置指南

会计考友

Ubuntu的默认安装机制给其带来了潜在的安全问题，比如默认开启了一些后门以及种种新的更新带来的BUG。本文将教会你关闭一些Ubuntu不安全的后门，以及针对当前Ubuntu漏洞保护你的系统。 　　1.修改默认设置
　　以下是被认为的三个不安全的设置：
/ X( H/ B* q* q% u　　1)重新配置共享内存
( M: [2 N9 ~4 \+ s　　用文本编辑器打开“/etc/fstab”文件，并在文件中加入以下语句：
　　tmpfs /dev/shm tmpfs defaults,ro 0 0
, i/ [  B  [- U) t# G8 k0 K　　2)禁用SSH ROOT登录
　　使用文本编辑器打开”/etc/ssh/sshd_config”文件，将
6 M4 ]/ }: }6 y7 ]　　PermitRootLogin yes
　　改成
  g3 C; Q4 Y4 u0 h6 T( H　　PermitRootLogin no
7 e5 I0 j$ ]9 m+ J　　3)限制对“SU”程序的访问
　　打开终端执行以下指令：
　　sudo chown root:admin /bin/su sudo
　　chmod 04750 /bin/su
; W. |/ K- o( ^4 r& C7 G3 h　　2.启用自动更新
  p2 s* u1 K5 u' D8 L5 D3 V　　Ubuntu开发团队定期发布升级包，维持升级可以帮助你修复系统BUG以及增强安全机制。可是有很多朋友会忘记定期去更新，这个时候，我们最好打开系统自动更新。这样，当有新的更新可用时，青年人网提示系统会提醒你进行升级。
* [  n/ v' t2 ]8 _- h　　启用自动更新方法：
& t1 w  W  @) |* F& K8 p　　打开系统->管理->软件源，在网络更新标签里启用检查自动更新。
! ~+ @% i2 L) b+ N1 D2 E　　3.增强HOME目录安全性
) `% h8 t7 t2 U4 q- j7 R3 O2 ?# Z　　HOME目录安全性直接决定当前系统用户安全文件安全性，你可以通过以下方式来加强HOME目录安全性：
. {& }# |7 \1 W3 R9 {* c　　打开终端，执行指令
3 ~- ^4 c# o# r+ N　　chmod 0700 /home/redbots.cn #把redbots.cn换成你当前系统用户名
/ J9 q7 S8 V0 g　　4.安装安全软件
　　虽然Ubuntu系统并不会轻易受到病毒的干扰，不过不排除系统漏洞带来的安全隐患，我们可以通过安装以下一些软件，从而关闭系统后门以及保护系统漏洞。
　　grsecurity ：Linux内核保护套件
* q6 R0 L/ Q! d$ V4 M! h# A　　PaX ：本软件以包含grsecurity，另外加强了Ubuntu内存溢出保护。
" Z# V  V7 C/ }1 k3 r2 L　　Pro Police ：IBM公司解决方案，用以避免栈溢出攻击。
　　DigSig ：帮助你通过用户定义的数字签名验证应用程序的完整性及安全性。
　

会计考友

5.安装额外辅助软件
# p& m' q* _; F) ]. j7 b　　通过以上这些措施，从最常用的角度出发，基本增强了Ubuntu系统的安全性，如果你是专业用户，或者你对安全有更高层次的要求，可以继续看下面的内容，从中选用适当的防护软件。
　　1)ROOTKIT防护
3 `& {1 ]" e- }% F& w) y4 Z　　如果你担心黑客利用系统漏洞在系统中植入Rootkit工具，可以安装以下软件，定期扫面检查：
$ h0 f$ V' y+ p" r2 q! r　　chkrootkit ：提供rootkit扫描以及常见木马的查杀
: e2 W" y% A5 A) e4 V　　Rootkit Hunter ：一款优秀的rootkit检测工具
! `0 m9 T. {7 h　　2)防病毒软件
2 T5 _  l0 ^9 N( K" t　　虽然说Linux系统下病毒相当少，统计也不过几百种，不过对于商业用户来说，还是有必要做下病毒防御工作的。
) n& z" E7 i/ @1 ~. t　　Clam AntiVirus ：一款基于UNIX系统的防病毒解决方案软件，包含电子邮件网关。
　　AVG Anti-Virus ：一款可商用的免费病毒查杀工具。
　　BitDefender ：恶意Shell脚本扫描工具。
　　linux/linux.asp" target=_blank>Panda Antivirus ：一款针对服务器连接的客户端病毒查杀工具。
( Q. T2 M$ _& K9 ^: M3 P　　3)防火墙
7 \) l" V3 l" u" x$ ?( u/ R* G　　安装具备强大过滤规则的防火墙，可以极大程度的避免你的系统遭受入侵的恶意事件。
　　Firestarter ：具备友好界面的通用防火墙
- v& Y3 A: F, n5 u　　SmoothWall ：一款可配置性较高的专业防火墙，推荐商业用户使用。

　　HardWall Firewall ：一款基于Iptables的防火墙

会计考友

</p>　　Firewall Builder ：一款针对不同应用环境预置丰富规则的防火墙软件。
4 x- |1 F! f% A9 [1 G) E　　BullDog ：一款基于Iptables的高端防火墙工具，推荐商业用户使用。
　　4)网络工具
　　这些工具可以帮助你检测及保护网络。
. w# ?) o+ u+ i8 S2 c4 l/ Y　　Nagios ：一款全套的网络监测软件
" ]/ Y4 v  z* d& W4 S3 \5 z　　Network Mapper ：基于IP层的网络包扫描工具。
  k$ _2 q, ]! j0 N* x& c　　Wireshark ：一款集成网络数据检测及分析的完备性工具。
　　Nessus ：本工具可以扫描分析网络，并且可以进一步帮助你找出网络中的薄弱环节。
　　EtherApe ：图形化网络监控软件。
( d( h& [( ^4 U' {9 [* M! ^　　tcpdump ：简单而强大的网络监控软件。
　　tcptrace ：一款tcpdump分析工具。
　　5)其它
　　Snort ：一款开源的入侵检测系统。
0 A0 Q/ F6 }# w6 x/ J7 ^7 [　　OpenSSH ：提供数据加密功能，确保主机与客户端的数据通信安全性。
　　OpenVPN ：一款虚拟专用网络系统。
　　strongSwan ：基于IpSec的虚拟专
9 @; h0 G. h' e2 |( z! a2 X3 V- x用网络系统。
6 O% o0 L# V" S9 X% _6 E
　　Kismet ：无线网络探测器，保障无线网络的安全。
　　GNU Privacy Guard ：卓越的命令行加密及数字签名工具。
　　TrueCrypt ：一款虚拟加密磁盘工具。
6 M* k/ I* {, v' S　　Thunderbird ：Mozilla的安全电子邮件客户端。