Linux系统安全管理高级技巧

由于Linux *** 作系统是一个开放源代码的免费 *** 作系统，因此受到越来越多用户的欢迎。随着Linux *** 作系统在我国的不断普及，有关的政府部门更是将基于Linux开发具有自主版权的 *** 作系统提高到保卫国家信息安全的高度来看待，因此我们不难预测今后Linux *** 作系统在我国将得到更快更大的发展。虽然Linux与UNIX很类似，但它们之间也有一些重要的差别。对于众多的习惯了UNIX和Windows NT的系统管理员来讲，如何保证Linux *** 作系统的安全将面临许多新的挑战。本文介绍了一系列实用的Linux安全管理经验。

一、文件系统在Linux系统中，分别为不同的应用安装单独的主分区将关键的分区设置为只读将大大提高文件系统的安全。这主要涉及到Linux自身的ext2文件系统的只添加（只添加）和不可变这两大属性。

●文件分区Linux的文件系统可以分成几个主要的分区，每个分区分别进行不同的'配置和安装，一般情况下至少要建立/、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生了改变，那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽量将它们设置为只读，并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。

当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等，其自身的性质就决定了不能将它们设置为只读，但应该不允许它具有执行权限。

●扩展ext2使用ext2文件系统上的只添加和不可变这两种文件属性可以进一步提高安全级别。不可变和只添加属性只是两种扩展ext2文件系统的属性标志的方法。一个标记为不可变的文件不能被修改，甚至不能被根用户修改。一个标记为只添加的文件可以被修改，但只能在它的后面添加内容，即使根用户也只能如此。

可以通过chattr命令来修改文件的这些属性，如果要查看其属性值的话可以使用lsattr命令。要想了解更多的关于ext2文件属性的信息，可使用命令man chattr来寻求帮助。这两上文件属性在检测黑客企图在现有的文件中安装入侵后门时是很有用的。为了安全起见，一旦检测到这样的活动就应该立即将其阻止并发出报警信息。

如果你的关键的文件系统安装成只读的并且文件被标记为不可变的，入侵者必须重新安装系统才能删除这些不可变的文件但这会立刻产生报警，这样就大大减少了被非法入侵的机会。

●保护log文件当与log文件和log备份一起使用时不可变和只添加这两种文件属性特别有用。系统管理员应该将活动的log文件属性设置为只添加。当log被更新时，新产生的log备份文件属性应该设置成不可变的，而新的活动的log文件属性又变成了只添加。这通常需要在log更新脚本中添加一些控制命令。

二、备份在完成Linux系统的安装以后应该对整个系统进行备份，以后可以根据这个备份来验证系统的完整性，这样就可以发现系统文件是否被非法窜改过。如果发生系统文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。

接下来我们开始手动创建LVM逻辑卷分区。

我们先用新安装Linux系统时的图形化界面，来演示一下LVM逻辑卷如何进行分区。

从 安装Linux系统（二） 文章的第12步开始，我们来演示一下LVM逻辑卷分区。

之前我们12步选择的分区类型是 自定义分区 ，然后进入手动分区的配置页面。而 自定义分区 前面的分区选项，无论你选择哪个分区类型，都属于系统自动分区。例如选择 使用所有空间 ，点击下一步，如下图：

通过上图可以看出，系统自动分配的磁盘划分，比我们自己定义的磁盘划分要复杂。你还可以看出，系统自动分配的分区有两个，一个是 boot 分区 sda1 ，另一个就是LVM分区 sda2 。

也就是说安装Linux系统时，如果你不自定义手工分区，默认都是用LVM进行分区。所以当我们学过LVM分区之后，在生产服务器上至少要采用LVM分区。因为标准分区是不支持分区大小调整的。

接下来我们实践一下自定义手动创建LVM分区。

选择创建自定义布局，点击下一步。

在Linux系统分区中，有一个强制需要创建的分区，就是 boot 分区。 boot 分区很特殊，用于Linux系统启动， 而 boot 分区只能放在普通标准分区上，不能放在LVM分区中。如果把 boot 分区放在LVM分区中，系统将无法启动。（这个和Linux系统的启动管理有关系，强制记住就可以了。）

如果有多个卷组，在 LVM逻辑卷 后就可以上下选择卷组。

其实这个页面中的小窗口，点击右边的添加就可以d出这个小窗口了，可以继续创建逻辑卷，不用退出。

这样通过图形化界面就完成LVM逻辑卷分区了。

红帽认证系统管理员（RHCSA）：是红帽的初级认证，它证明你完全可以对Linux系统进行基础管理和维护工作。如：创建用户、管理磁盘、文件权限等。【51CTO红帽认证送考量位居前列，优质红帽课程免费试学】

红帽认证工程师（RHCE）：是红帽Linux的中级水平认证，它证明你具有红帽企业Linux系统高级系统管理员所需的知识、技能和能力。既能对服务器进行基础管理，还可以配置注入WEB、邮件、DNS等服务器，并且实现其安全运行。

红帽认证架构师（RHCA）：是红帽Linux最高级别认证，也是公认的更受欢迎、更成熟的认证。它主要是面向那些负责部署和管理大型企业环境中众多系统的高级Linux系统管理员提供深入的实际 *** 作培训。

想学习的话可以咨询一下51CTO学堂，51CTO学堂拥有丰富的实践课程，专业的试题，超多的学习路线，强大的学习功能，最重要的是 *** 作还简单。讲师团由IT领域的技术牛人及专家组成，他们凭借自身在IT领域的丰富经验，为在校学生打造了众多专业且实战性强的IT视频课程。

---