管理员帐户root的自动注销

　　假如管理员离开时忘记把root注销，这就存在了隐患。为了能够使系统应该能够自动从shell中注销，以达到保护root帐户的目的。我们通常可以设置一个特殊的“tmout”变量，即编辑文件/etc/profile，在“histfilesize=”命令行的下一行增加　“tmout=900”表示所有用户如果在15分钟内无任何操作将自动注销此帐户，同时，增加了此命令行后，请重新用root登录，更改才能生效!

　　无用帐号的删除。

　　象Windows一样Linux提供了多种帐号类型，平常被用户经常使用的也就一两个，因此不需要的完全可以移除，以下是可以有选择性删除的系统帐号：

　　1. Sendmail服务器：news、uucp、operator。

　　2. X windows服务器：gopher。

　　3. 具有某些特权的帐号：adm、shutdown、mail、sync。

　　除此之外，还有某些系统用户、组用户、匿名FTP帐户等，使用命令格式为：userdel username。

　　口令的设定规则

　　设置口令一直都是系统安全的第一道屏障。Linux安装时默认的口令长度最小为5，为了确保口令不易被某些暴力破解软件检测到，一般采用增加口令最小长度的方法解决。具体方法为，修改文件/etc/login.defs中的参数PASS_MIN_LEN(口令最小长度)；PASS_MIN_DAYS(口令使用时间)，以对口令的使用时间作限制，定期更换口令达到安全的目的。

      系统本身的漏洞是影响系统安全性的最大难题，甚至可能造成更大规模的安全事故，那么有必要认识这些漏洞，并修复它成为首选。

　　缓冲区溢出的安全漏洞

　　我们知道windows下的缓冲区溢出漏洞是经常受攻击的主要对象，其可以通过用匿名的帐户轻松获得主机的控制权。要预防此类漏洞攻击，在安装系统时就应该着重注意。很多资料上都说，如果用root分区纪录数据，就可能因为拒绝服务产生大量日志或垃圾邮件，从而导致系统崩溃；所以笔者建议为/var设立单独的分区用于存放日志和邮件，避免root分区被溢出；最为理想的办法是为特殊的应用程序单独设立分区，以及给/home单独设立一个区，经过这样的单独分区设定，可以有效避免针对Linux分区溢出的某些恶意攻击。

　　服务配置文件/etc/inetd.conf

　　/etc/inetd.conf文件定制/usr/sbin/inetd将要监听的服务，一般需定义telnet和ftp，其它的可以有选择的关闭，比如finger、imap、exec以及shell等，当然这只是相对与个人用户而言，具体的配置方法需要考虑用户的实际需求，量身打造。

　　先查看系统开放的服务：

　　grep -v "#" /etc/inetd.conf

　　然后运行#killall -HUP inetd来关闭不需要的服务。

      配置完成后再使用#chattr -i /etc/inetd.conf命令将其改为不可更改，而只能用root 帐户才能解开。

　　最后一般使用以下命令来查看哪些服务在正常运行：netstat -na --ip 。

　　限制用户资源

　　对系统上的用户资源作适当限制可以有效防止DoS类型的攻击。

　　系统日志安全性

　　Linux所有的日志内容都放在/var/log下，除了FTP外一般来说linux的日志功能已经十分强大。通常修改FTP日志的办法为，修改/etc/ftpaccess使其记录每一个ftp连接日志或通过安装Sniffer解决。

　　IPChains

　　谈到Linux的安全性，一定要讨论IPChains，IPChains是集成到2.2.x内核中的包过滤防火墙软件。只要运行了Red Hat 6.0或更高版本，IPChains就已在Linux安装包内。如对一台独立服务器系统，可以配置IPChains仅允许出站的TCP连接， 这样当外部主机试图发起任何TCP连接，都会被禁止连接；设置记录所有的被禁止连接，这样可以根据日志跟踪系统，及时发现漏洞所在并做出应对。

　　当然这只是一般的几种解决方法，系统的漏洞也绝不可能仅次而已，跟windows平台一样，Linux也需要经常为其版本更新和补丁升级的。不同的厂商会提供其版本的更新下载或提供系统自带的升级工具。任何系统都会有隐患和漏洞存在，做出正确的判断，才能真正做到网络的安全。