linux 安全加固指的是什么？

这个涉及到有点广泛，在安全性方面，Linux内核提供了经典的Unix自主访问控制（root用户、用户ID安全机制）， 以及部分支持了POSIX1e标准草案中的Capabilities安全机制。自主访问控制（Discretionary Access Control，DAC）是指主体对客体的访问权限是由客体的属主或超级用户决定的，而且此权限一旦确定，将作为以后判断主体对客体是否有及有什么权限的惟一依据。只有客体的属主或超级用户才有权更改这些权限。传统Linux系统提供DAC支持，客体在Linux系统当中主要是指文件、目录等系统资源，主体是指访问这些资源的用户或进程。控制粒度为客体的拥有者、属组和其他人。简单说，1．文件系统及访问权限 2用户和账号管理。3．系统审计

服务器设置：

第1步 进行服务器全局参数设置：点“Edit”菜单，选“Settings”

General settings（常规设置）：

Listen on Port：监听端口，其实就是FTP服务器的连接端口。

MaxNumber of users：允许最大并发连接客户端的数量。

Number of Threads：处理线程。也就是CPU优先级别。数值调得越大优先级越高，一般默认即可。

timeout setting：超时设置，自上至下分别为：连接超时、传输空闲超时、登入超时。单位为秒。

Welcome message页面设置：客户端登录成功以后显示的Welcome信息。建议不要用软件默认的，因为任何软件都不能保证没有什么漏洞，如果在这里暴露软件名称的话，一旦这个FTP Server软件有什么安全漏洞，别有用心的人知道了服务器软件的名称就可能针对性地发起攻击。所以建议这里设置的信息不要包含任何服务器资料。强烈建议修改默认的欢迎信息为“Welcom to Serv-U FTP Server”，这样Filezilla在欢迎消息中就会Serv-U字样，以达到欺骗攻击者的目的。注意：本步骤非常重要！

现在我们用telnet去连接一下FTP的21端口，即可看到修改过的“假”的提示信息，这样服务器的安全性可以得到比较明显的提高。

IP bindings（IP绑定）页面：把服务器与IP地址绑定，使用以绑定到所有地址。

IP Filter（IP过滤器）页面：设置IP过滤规则，在上面栏目中的IP是被禁止与FTP服务器连接的，下面的是允许的。格式：可以是单个IP地址、IP地址段，可以使用通配符、使用IP/subnet语法或正则表达式（以“/”结尾）来过滤主机名。

Bastille加固软件可以“牢牢锁定” *** 作系统，积极主动地配置系统，以提高安全性，并且降低容易出现中招和停运的几率。Bastille还能评估系统的当前加固状态，精细化地报告它所处理的每一个安全设置。目前它支持红帽(Fedora、Enterprise和Numbered/Classic)、SUSE、Ubuntu、Debian、Gentoo、Mandrake、Mac OS X和HP-UX等 *** 作系统。
Bastille致力于让系统的用户/管理员可以选择到底如何加固 *** 作系统。在其默认的加固模式下，它以互动方式向用户提出问题，解释那些问题的主题，并且根据用户的回答来制定策略。然后，它将该策略运用到系统。在评估模式下，它建立一份报告，旨在教用户注意可用的安全设置，并且告知用户哪些设置已经加强。
将Bastille安装到Ubuntu/Debian上
使用下列命令，在Ubuntu/Debian及其衍生版上安装Bastille：
sk@sk:~$ sudo apt-get install bastille perl-tk
启动Basetille
执行下列命令，开始使用Bastille：
sk@sk:~$ sudo bastille
首先，它会显示License Agreement(许可证协议)。输入accept表示同意：

---