11.分区管理
对于一个潜在的黑客攻击,它首先会尝试缓冲区溢出。以缓冲区溢出为类型的安全漏洞是最为常见的一种形式,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。
为了防止此类攻击,从安装系统时就应该注意。如果用root分区纪录数据,如log文件和email,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序。此外,还应为/home单独分一个区,这样黑客就不能填满“/”分区,可以避免部分针对Linux分区溢出的恶意攻击。
12.UUCP文件传输和网络安全
UUCP命令用于将文件从一个Linux系统传送到另一个Linux系统。通过UUCP传送的文件通常存丁/usr/spool/uucppublic/login目录中,Login是用户的登录名,该目录存取许可为777。通过网络传输并存放于此目录的文件属于UUCP所有,文件存取许可为666和777。用户应当将通过UUCP传送的文件加密,并尽快移到自己的目录中。其他网络将文件传送到用户home目录下的RJC目录中,该目录对其他人是可写、可搜索的,但不一定是可读的。因而用户的RJC目录的存取许可方式应为733,允许程序在其中建立文件。同样,传送的文件也应加密并尽快移到自己的目录中。
13.不要让文件或目录被他人读写
如果不信任本组用户,可将umask设置为022。应确保自己的.profile文件不被他人读写,暂存目录最好不要存放重要文件。home目录不允许任何人写,而uucp传输的文件应该加密,并尽快转移到自己的目录中。
14.最低权限原则
在网络上开放一个服务供用户使用时,只授予它“最低权限”。这样,该服务就很难被黑客利用。
15.避免运行“危险”的软件
系统所用的任何软件都可能很危险,因为软件都可能有漏洞,黑客可能会利用它来取得对系统的访问权。因此,在使用任何新的应用系统时,都要对其有一个详细的了解,尤其是那些需要特殊权限的程序具有更高的危险性。
16.定期检查系统的日志文件
任何防范都可能会失效。因此必须尽早地发现入侵者,定期检查系统日志文件是有效的方法之一。
