如何保護你的linux操做系統

使用SELinux

SELinux是用來對Linux進行安全加固的，有了它，用戶和管理員們就能夠對訪問控制進行更多控制。SELinux爲訪問控制添加了更細的顆粒度控制。與僅能夠指定誰能夠讀、寫或執行一個文件的權限不一樣的是，SELinux可讓你指定誰能夠刪除連接、只能追加、移動一個文件之類的更多控制。（LCTT譯註：雖然NSA也給SELinux貢獻過不少代碼，可是目前尚無證據證實SELinux有潛在後門）

訂閱漏洞警報服務

安全缺陷不必定是在你的操做系統上。事實上，漏洞多見於安裝的應用程序之中。爲了不這個問題的發生，你必須保持你的應用程序更新到最新版本。此外，訂閱漏洞警報服務，如SecurityFocus。

禁用不用的服務和應用

一般來說，用戶大多數時候都用不到他們系統上的服務和應用的一半。然而，這些服務和應用仍是會運行，這會招來攻擊者。於是，最好是把這些不用的服務停掉。（LCTT譯註：或者乾脆不安裝那些用不到的服務，這樣根本就不用關注它們是否有安全漏洞和該升級了。）

檢查系統日誌

你的系統日誌告訴你在系統上發生了什麼活動，包括攻擊者是否成功進入或試着訪問系統。時刻保持警戒，這是你第一條防線，而常常性地監控系統日誌就是爲了守好這道防線。

考慮使用端口試探

設置端口試探（Port knocking）是創建服務器安全鏈接的好方法。通常作法是發生特定的包給服務器，以觸發服務器的迴應/鏈接（打開防火牆）。端口敲門對於那些有開放端口的系統是一個很好的防禦措施。

使用Iptables

Iptables是什麼？這是一個應用框架，它容許用戶本身爲系統創建一個強大的防火牆。所以，要提高安全防禦能力，就要學習怎樣一個好的防火牆以及怎樣使用Iptables框架。

默認拒絕全部

防火牆有兩種思路：一個是容許每一點通訊，另外一個是拒絕全部訪問，提示你是否許可。第二種更好一些。你應該只容許那些重要的通訊進入。（LCTT譯註：即默認許可策略和默認禁止策略，前者你須要指定哪些應該禁止，除此以外通通放行；後者你須要指定哪些能夠放行，除此以外所有禁止。）

使用入侵檢測系統

入侵檢測系統，或者叫IDS，容許你更好地管理系統上的通訊和受到的攻擊。Snort是目前公認的Linux上的最好的IDS。

使用全盤加密

加密的數據更難竊取，有時候根本不可能被竊取，這就是你應該對整個驅動器加密的緣由。採用這種方式後，若是有某我的進入到你的系統，那麼他看到這些加密的數據後，就有得頭痛了。根據一些報告，大多數數據丟失源於機器被盜。

免費提供最新Linux技術教程書籍，爲開源技術愛好者努力作得更多更好：http://www.linuxprobe.com/