歡迎您光臨本站 註冊首頁

linux系統安全詳解

←手機掃碼閱讀     火星人 @ 2014-03-12 , reply:0
  linux系統安全詳解
引自:http://blog.chinaunix.net/u/30548/showart_291582.html


一,BIOS安全(硬體上的安全)
1,最基本最簡單的安全配置,保障計算機硬體配置等不被別人更改.給BIOS設置密碼,防止改變啟動順序從軟盤或

光碟啟動.防止特殊的啟動盤啟動用戶的系統,進入rescue或其他模式.改變或刪除當前配置等.每一個細心的網

管每個細節都不應該忽視!
2,禁止使用contral+alt+delete重起機器
編輯/etc/inittab文件,註釋掉下面一行.
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
該成:(使用#)
# ca::ctrlaltdel:/sbin/shutdown -t3 -r now
 
二,帳號安全
口令,系統的第一道防線,目前大多數數攻擊都是截獲口令或猜測口令等口令攻擊開始的.
/etc 目錄下主要存放系統的配置文件.我們要對這個目錄下的好多文件進行修改.
1,/etc/login.defs文件是login程序的配置文件.口令的長度和口令的有效期等可以在這裡設置.
[root@tp ~]# vi /etc/login.defs
...
PASS_MAX_DAYS   9999  密碼被用最多天數
PASS_MIN_DAYS   0     密碼被用最少天數
PASS_MIN_LEN    5     系統默認密碼長度5,我們可以該成8或更多.
PASS_WARN_AGE   7     密碼有效期警告,超過7天將提示用戶更換新的密碼.
...
 
2,/etc/profile文件是環境變數設置文件.在此文件設置環境變數將對所有用戶生效.我們要在此文件設置自動

註銷帳戶的時間.及命令的歷史記錄數.
[root@tp ~]# vi /etc/profile
...
HOSTNAME=`/bin/hostname`
HISTSIZE=1000 這裡1000代表用戶操作命令的歷史記錄.應盡量小一些.設置成0也可以,呵呵.
tmout=600 添加此行,如果系統用戶在600秒(10分鐘)內不做任何操作,將自動註銷這個用戶.
...
3,/etc/passwd文件存放系統用戶名,用戶標識(UID),組標識(GID)等的地方.我們要在這裡找到並清除沒有設置

口令的用戶.同時還要清除一些特別帳號(因為可能會存在潛在的危險).
[root@tp ~]# vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
...
wh::500:501::/home/wh:/bin/bash
仔細觀察上面的一行(wh用戶),在第二項,兩個冒號中間什麼都沒有,而上面的的用戶(如root用戶)都是x. 這表

明此用戶沒有密碼.要不添加上,要不刪掉.
4,特別帳號的處理
如果不啟動用sendmail,刪除如下用戶
[root@tp wh]# userdel adm
[root@tp wh]# userdel lp
[root@tp wh]# userdel sync
[root@tp wh]# userdel shudown
[root@tp wh]# userdel halt
[root@tp wh]# userdel mail
如果不用X windows伺服器.可有刪除
[root@tp wh]# userdel news
[root@tp wh]# userdel uucp
[root@tp wh]# userdel operator
[root@tp wh]# userdel games
如果不允許匿名FTP帳號登陸,可刪除
[root@tp wh]# userdel gopher
[root@tp wh]# userdel ftp
 
三,重要文件的安全設置.
首先要了解兩個命令
1,chmod:改變文件的屬主
2,chattr:改變文件屬性
我們要做的是把重要文件的屬主改成root並給相應的許可權,還有就是改變文件的屬性讓它禁止被修改
我們來統計一下重要文件:(其實,只要你不想讓其他用戶更改的文件都可以這麼做,我這裡只是為安全而選擇了

下面的文件.)
1,/etc/passwd,passwd-,passwd.OLD,group,group- 用戶,組的ID等信息文件.
2,/etc/shadow,shadow-,gshadow,gshadow- 用戶,組密碼加密文件.
3,/etc/xinetd.conf 網路守護進程主配置文件
4,/etc/inittab  系統在啟動是會讀取這個文件里的內容.
5,/etc/services 防止未經許可的刪除或添加服務
6,/etc/rc.d/rc.sysinit 系統啟動是需要讀取的文件,
7,/etc/rc.d/init.d/*  
以一個文件為例,其它都一樣
[root@tp etc]# chmod 700 passwd
[root@tp etc]# chattr +i passwd
當chattr +i時就是禁止對文件進行修改,當我們要添加用戶時,就會有麻煩,因為passwd文件禁止修改寫入.所以

我們還要該掉它的屬性.chattr -i.
 
四,防止攻擊系統安全設置
1,限制用戶使用系統資源,主要包括資源最大進程數,內存使用量等.這樣可以防止DOS類型攻擊.
需要編輯文件
[root@tp /]# vi /etc/security/limits.conf
...
(這三行是添加的)
* hard core 0    禁止創建core文件
* hard rss 5000  其他用戶(除root)最多使用5M內存
* hard nproc 20  最多進程數限制在20
注:*表示所有登陸到linux的用戶.
# End of file
[root@tp /]# vi /etc/pam.d/login
...
在文件末尾加入下面一行
session required /lib/security/pam_limits.so
2,限制控制台的訪問
[root@tp /]# vi /etc/securetty
...
我們註釋掉
tty1
# tty2
# tty3
# tty4
# tty5
# tty6
只留下tty1,這時,root僅可在tty1終端登錄
3,禁止外來ping請求.
[root@tp /]# vi /etc/rc.d/rc.local
...
在最後加入一行
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
4,防止IP地址欺騙
[root@tp /]# vi /etc/host.conf
加入如下幾行
order bind,hosts
multi off
nospoof on
5,禁止su命令進入root(這一部我反覆測試總是不成功,group組裡的用戶依然不能su成root用戶.希望知道的朋

友告訴我,謝謝)
[root@tp pam.d]# vi /etc/pam.d/su
...
在下面加入如下兩行
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=xxx
這表示只有xxx組的用戶可以su成root.
6,使用TCP_WRAPPER
在默認情況下linux系統允許所有請求,可用TCP_WRAPPER增強安全性,
在/etc/hosts.deny寫入"ALL:ALL"禁止所有請求
[root@tp etc]# vi /etc/hosts.deny
#
# hosts.deny    This file describes the names of the hosts which are
#               *not* allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow.  In particular
# you should know that NFS uses portmap!
   "ALL:ALL"
把允許訪問的客戶,或服務添加到/etc/hosts.allow,冒號左邊為服務,冒號右邊為授權的機器
[root@tp etc]# vi /etc/hosts.allow
#
# hosts.allow   This file describes the names of the hosts which are
#               allowed to use the local INET services, as decided
#               by the '/usr/sbin/tcpd' server.
#
vsftp:211.101.46.253    注:僅如許IP地址為211.101.46.253的機器訪問FIP伺服器
7.刪減登錄信息
  [root@tp ~]# rm -f /etc/issue
  [root@tp ~]# rm -f /etc/issue.net
 [root@tp ~]# touch /etc/issue
  [root@tp ~]# touch /etc/issue.net
 
五,確保開啟服務的安全性
我們先來看一下自己系統開啟了多少服務.
[root@tp ~]# ps -eaf | wc -l
55
我的是55
我們可以通過當前的進程里在來看一下都是什麼服務
[root@tp ~]# ps -aux
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.3/FAQ
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.2  2592  560 ?        S    21:02   0:00 init [3]                           

                  
root         2  0.0  0.0     0    0 ?        SN   21:02   0:00 [ksoftirqd/0]
root         3  0.0  0.0     0    0 ?        S<   21:02   0:00 [events/0]
root         4  0.0  0.0     0    0 ?        S<   21:02   0:00 [khelper]
root         5  0.0  0.0     0    0 ?        S<   21:02   0:00 [kacpid]
root        20  0.0  0.0     0    0 ?        S<   21:02   0:00 [kblockd/0]
root        30  0.0  0.0     0    0 ?        S    21:02   0:00 [pdflush]
root        31  0.0  0.0     0    0 ?        S    21:02   0:00 [pdflush]
root        33  0.0  0.0     0    0 ?        S<   21:02   0:00 [aio/0]
root        21  0.0  0.0     0    0 ?        S    21:02   0:00 [khubd]
root        32  0.0  0.0     0    0 ?        S    21:02   0:00 [kswapd0]
root       107  0.0  0.0     0    0 ?        S    21:02   0:00 [kseriod]
root       181  0.0  0.0     0    0 ?        S<   21:03   0:00 [kmirrord]
root       182  0.0  0.0     0    0 ?        S<   21:03   0:00 [kmir_mon]
root       190  0.0  0.0     0    0 ?        S    21:03   0:00 [kjournald]
root      1085  0.0  0.1  2604  444 ?        S<s  21:03   0:00 udevd
root      1611  0.0  0.0     0    0 ?        S<   21:03   0:00 [kauditd]
root      1745  0.0  0.0     0    0 ?        S<   21:03   0:00 [kmpathd/0]
root      1769  0.0  0.0     0    0 ?        S    21:03   0:00 [kjournald]
root      2250  0.0  0.2  2668  632 ?        Ss   21:03   0:00 syslogd -m 0
root      2254  0.0  0.1  3352  472 ?        Ss   21:03   0:00 klogd -x
rpc       2274  0.0  0.2  2220  572 ?        Ss   21:03   0:00 portmap
rpcuser   2294  0.0  0.2  2108  756 ?        Ss   21:03   0:00 rpc.statd
root      2322  0.0  0.3  5344  992 ?        Ss   21:03   0:00 rpc.idmapd
root      2399  0.0  0.3  2612  816 ?        S    21:03   0:00 /usr/sbin/smartd
root      2409  0.0  0.2  3176  540 ?        Ss   21:03   0:00 /usr/sbin/acpid
root      2440  0.0  1.4 11192 3680 ?        Ss   21:03   0:00 cupsd
root      2497  0.0  0.6  5044 1712 ?        Ss   21:03   0:00 /usr/sbin/sshd
root      2526  0.0  0.3  2760  876 ?        Ss   21:03   0:00 xinetd -stayalive -pidfile

/var/run/xinetd.pid
root      2536  0.0  0.2  1788  528 ?        Ss   21:03   0:00 gpm -m /dev/input/mice -t imps2
htt       2565  0.0  0.1  1960  316 ?        Ss   21:03   0:00 /usr/sbin/htt -retryonerror 0
htt       2566  0.0  1.1  8256 3024 ?        S    21:03   0:00 htt_server -nodaemon
canna     2578  0.0  6.8 19932 17628 ?       Ss   21:03   0:00 /usr/sbin/cannaserver -syslog -u

canna
root      2590  0.0  0.4  7428 1204 ?        Ss   21:03   0:00 crond
xfs       2628  0.0  1.3  5692 3332 ?        Ss   21:03   0:00 xfs -droppriv -daemon
root      2638  0.0  0.2  2092  640 ?        SNs  21:03   0:00 anacron -s
root      2647  0.0  0.2  3712  740 ?        Ss   21:03   0:00 /usr/sbin/atd
dbus      2657  0.0  0.5 13296 1324 ?        Ssl  21:03   0:00 dbus-daemon-1 --system
root      2668  0.0  0.4  3156 1040 ?        Ss   21:03   0:00 cups-config-daemon
root      2679  0.0  1.7  6540 4424 ?        Ss   21:03   0:00 hald
root      2688  0.0  0.5  2916 1288 ?        Ss   21:03   0:00 login -- root    
root      2689  0.0  0.1  1528  404 tty2     Ss+  21:03   0:00 /sbin/mingetty tty2
root      2690  0.0  0.1  2048  404 tty3     Ss+  21:03   0:00 /sbin/mingetty tty3
root      2691  0.0  0.1  3488  404 tty4     Ss+  21:03   0:00 /sbin/mingetty tty4
root      2692  0.0  0.1  2368  404 tty5     Ss+  21:03   0:00 /sbin/mingetty tty5
root      2693  0.0  0.1  3296  404 tty6     Ss+  21:03   0:00 /sbin/mingetty tty6
root      3136  0.0  0.5  5920 1396 tty1     Ss+  21:05   0:00 -bash
root      3574  0.0  0.8  8400 2276 ?        Ss   21:05   0:00 sshd: root@pts/0
root      3576  0.0  0.5  6896 1388 pts/0    Ss   21:05   0:00 -bash
root      3608  0.0  0.4  6584 1216 pts/0    S+   21:05   0:00 ntsysv
root      4019  0.0  0.8  8408 2276 ?        Rs   21:09   0:00 sshd: root@pts/1
root      4021  0.0  0.5  6912 1388 pts/1    Ss   21:09   0:00 -bash
root      4084  0.0  0.2  2852  748 pts/1    R+   21:17   0:00 ps -aux
這些進程,服務,都是開機自動載入的!我們可以用命令來看一下,
[root@tp ~]# ntsysv
 
那些前面有*號的就是開機自動啟動的服務.也就是說我們開機的話就要同時開啟這麼多的服務.(和我們windows

里的服務是一樣的,沒用的完全可以關了).
我們要掌握一個原則:就是運行的服務越少,肯定系統就越安全.
上面看的是系統開機都會開啟那些服務.那麼那些服務是正在運行的呢?
[root@tp ~]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State     
tcp        0      0 0.0.0.0:32768               0.0.0.0:*                   LISTEN     
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN     
tcp        0      0 0.0.0.0:113                 0.0.0.0:*                   LISTEN     
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN     
tcp        0      0 :::80                       :::*                        LISTEN     
tcp        0      0 :::22                       :::*                        LISTEN     
tcp        0      0 :::443                      :::*                        LISTEN     
tcp        0    880 ::ffff:192.168.0.1:22       ::ffff:192.168.0.5:2683     ESTABLISHED
udp        0      0 0.0.0.0:32768               0.0.0.0:*                              
udp        0      0 0.0.0.0:111                 0.0.0.0:*                              
udp        0      0 0.0.0.0:631                 0.0.0.0:*                              
udp        0      0 0.0.0.0:764                 0.0.0.0:*                              
帶有LISTEN的代表正在開啟的埠,開啟的服務.
如果你對linux系統的啟動過程了解的話.(建議先去看看,我以後也會寫的)
我們進入這個目錄
[root@tp ~]# cd /etc/rc.d
[root@tp rc.d]# ls
init.d  rc  rc0.d  rc1.d  rc2.d  rc3.d  rc4.d  rc5.d  rc6.d  rc.local  rc.sysinit
如果你的系統是X(圖形化啟動的話)運行級別是5,那就是rc5.d,我的是rc3.d,運行級別是3.(多用戶模式)
是哪個模式就進入哪個目錄,看一下
[root@tp rc.d]# cd rc3.d/
[root@tp rc3.d]# ls
K01yum             K16rarpd           K35cyrus-imapd  K50snmptrapd  K84bgpd        K96ipmi        

     S13irqbalance  S55sshd
K02NetworkManager  K20bootparamd      K35dhcpd        K50tux        K84ospf6d      K99readahead   

     S13portmap     S56rawdevices
K03rhnsd           K20netdump-server  K35smb          K50vsftpd     K84ospfd       

K99readahead_early  S14nfslock     S56xinetd
K05atd             K20nfs             K35vncserver    K54dovecot    K84ripd        

S00microcode_ctl    S15mdmonitor   S85gpm
K05innd            K20rstatd          K35winbind      K61ldap       K84ripngd      S01sysstat     

     S18rpcidmapd   S87iiim
K05saslauthd       K20rusersd         K36dhcp6s       K65kadmin     K85mdmpd       S05kudzu       

     S19rpcgssd     S90canna
K10dc_server       K20rwhod           K36lisa         K65kprop      K85zebra       S06cpuspeed    

     S25netfs       S90crond
K10psacct          K24irda            K36mysqld       K65krb524     K87auditd      

S08arptables_jf     S26apmd        S95anacron
K10radiusd         K25squid           K36postgresql   K65krb5kdc    K87multipathd  S08ip6tables   

     S26lm_sensors  S97messagebus
K10xfs             K28amd             K45arpwatch     K73ypbind     K88opensm      S08iptables    

     S28autofs      S98cups-config-daemon
K12dc_client       K30sendmail        K45named        K74nscd       K89iscsi       S09isdn        

     S40smartd      S98haldaemon
K12FreeWnn         K30spamassassin    K46radvd        K74ntpd       K89netplugd    S09pcmcia      

     S44acpid       S99local
K12mailman         K34dhcrelay        K50netdump      K74ypserv     K90bluetooth   S10network     

     S54hpoj
K15httpd           K34yppasswdd       K50snmpd        K74ypxfrd     K94diskdump    S12syslog      

     S55cups
linux在開機時會讀取/etc/rc.d/rcX.d(根據X的運行級別)
終止K開頭的服務.
開啟S開頭的服務.
我們通過ntsysv命令所做的更改都會在這裡體現出來.
好,現在應該到我們的重點了,就是要開啟那些服務,關閉那些服務.
我把每一個服務都代表什麼寫出來,大家自己根據自己的需要來決定.
amd:自動安裝NFS(網路文件系統)守侯進程
apmd:高級電源管理
Arpwatch:記錄日誌並構建一個在LAN介面上看到的乙太網地址和IP地址對資料庫
atd 運行用戶用At命令調度的任務。也在系統負荷比較低時 運行批處理任務。
Autofs:自動安裝管理進程automount,與NFS相關,依賴於NIS
Bootparamd:引導參數伺服器,為LAN上的無盤工作站提供引導所需的相關信息
crond:Linux下的計劃任務
Dhcpd:啟動一個DHCP(動態IP地址分配)伺服器
Gated:網關路由守候進程,使用動態的OSPF路由選擇協議
gpm gpm為文本模式下的Linux程序如mc(Midnight Commander)提供了
滑鼠的支持。它也支持控制台滑鼠的拷貝,粘貼操作以及彈出式菜單。
Httpd:WEB伺服器
Inetd:支持多種網路服務的核心守候程序
Innd:Usenet新聞伺服器
keytable 該程序的功能是轉載您在/etc/sysconfig/keyboards里說明的鍵盤
映射表,該表可以通過kbdconfig工具進行選 擇。您應該使該程序
處於激活狀態。
ldap LDAP代表Lightweight Directory Access Protocol, 實現了目錄
訪問協議的行業標準。
Linuxconf:允許使用本地WEB伺服器作為用戶介面來配置機器
Lpd:列印伺服器
Mars-nwe:mars-nwe文件和用於Novell的列印伺服器
mcserv Midnight Commander服務進程允許遠程機器上的用戶通過Midnight
Commander文件管理器操作本機文件。服務進程用PAM來驗證用戶,
需要給出「用戶名/口令」以通過驗證
named:DNS伺服器
netfs:安裝NFS、Samba和NetWare網路文件系統
network:激活已配置網路介面的腳本程序
nfs:打開NFS服務
nscd:nscd(Name Switch Cache daemon)伺服器,用於NIS的一個支持服務,它高速緩存用戶口令和組成成員關


Pcmcia pcmcia主要用於支持筆記本電腦。
portmap:RPC portmap管理器,與inetd類似,它管理基於RPC服務的連接
postgresql:一種SQL資料庫伺服器
random 保存和恢復系統的高質量隨機數生成器,這些隨機數是系統一些隨
機行為提供的
routed:路由守候進程,使用動態RIP路由選擇協議
rstatd:一個為LAN上的其它機器收集和提供系統信息的守候程序
ruserd:遠程用戶定位服務,這是一個基於RPC的服務,它提供關於當前記錄到LAN上一個機器日誌中的用戶信


rwalld:激活rpc.rwall服務進程,這是一項基於RPC的服務,允許用戶給每個註冊到LAN機器上的其他終端寫消


rwhod:激活rwhod服務進程,它支持LAN的rwho和ruptime服務
sendmail:郵件伺服器sendmail
smb:Samba文件共享/列印服務
snmpd:本地簡單網路管理候進程
squid:激活代理伺服器squid
syslog:一個讓系統引導時起動syslog和klogd系統日誌守候進程的腳本
Webmin webmin是基於web的集系統管理與網路管理於一身的強大管理工具。
利用webmin的強大功能,用戶可以通過web瀏覽器來方便地設置自
己的伺服器、dns、samba、nfs、本地/遠程文件系統以及許多其他的
系統配置。
xfs:X Window字型伺服器,為本地和遠程X伺服器提供字型集
xntpd:網路時間伺服器
ypbind:為NIS(網路信息系統)客戶機激活ypbind服務進程
yppasswdd:NIS口令伺服器
ypserv:NIS主伺服器
gpm:管滑鼠的
identd:AUTH服務,在提供用戶信息方面與finger類似
可能還有不全的解釋,希望大家能補上.
 
六,日誌的安全.
我在這裡只講解日誌的安全問題,也就是通過日誌來查看那些可疑的用戶登陸過機器.不會詳細介紹日誌方面的

知識.(關於linux日誌我認為是很重要的東西,作為一名系統維護人員,必須對linux日誌有一定了解.我也會馬上

詳細寫這方面的文章.)
三個重要的日誌文件
/var/log/wtmp 記錄每個用戶登陸和推出時間的永久記錄.
/var/run/utmp 記錄當前登陸到系統的每個用戶信息.
/var/log/lastlog 每個用戶最後一次登陸的信息(最新的信息)
wtmp和utmp都是二進位文件,它們要用命令來查看內容.
1,命令who,查看utmp文件當前的每個用戶的信息,它默認輸出包括用戶名,終端類型,登陸時間及遠程主機.
如下:
[root@tp log]# who
root     pts/0        May  4 22:10 (192.168.0.5)
如果指明了文件,則回顯示自wtmp創建以來所有登陸的用戶信息.
[root@tp log]# who /var/log/wtmp
root     tty1         May  4 20:44
root     pts/0        May  4 20:52 (211.101.46.195)
root     tty1         May  4 21:05
root     pts/0        May  4 21:05 (211.101.46.195)
root     pts/1        May  4 21:09 (192.168.0.5)
root     pts/0        May  4 21:38 (192.168.0.5)
root     pts/0        May  4 22:10 (192.168.0.5)
2,命令w,查看utmp文件並顯示當前系統中每個用戶和它所運行的進程信息.
如:
[root@tp log]# w
 23:00:48 up 54 min,  1 user,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    192.168.0.5      22:10    0.00s  0.03s  0.00s w
3,users,顯示當前當前登陸的用戶數量.
如,
[root@tp log]# users
root root
這表明兩個root用戶在同時登陸這台機器.
4,last命令,用來顯示wtmp文件第一次 創建以來所有登陸過的用戶.
如:
[root@tp log]# last
root     pts/1        192.168.0.5      Fri May  4 23:01 - 23:02  (00:00)   
root     pts/0        192.168.0.5      Fri May  4 22:10   still logged in  
reboot   system boot  2.6.9-34.EL      Fri May  4 22:07          (00:59)   
root     pts/0        192.168.0.5      Fri May  4 21:38 - down   (00:27)   
reboot   system boot  2.6.9-34.EL      Fri May  4 21:36          (00:29)   
root     pts/1        192.168.0.5      Fri May  4 21:09 - down   (00:25)   
root     pts/0        211.101.46.195   Fri May  4 21:05 - down   (00:29)   
root     tty1                          Fri May  4 21:05 - down   (00:30)   
reboot   system boot  2.6.9-34.EL      Fri May  4 21:03          (00:31)   
root     pts/0        211.101.46.195   Fri May  4 20:52 - crash  (00:11)   
root     tty1                          Fri May  4 20:44 - crash  (00:18)   
reboot   system boot  2.6.9-34.EL      Fri May  4 20:32          (01:02)   
reboot   system boot  2.6.9-34.EL      Tue May  1 08:32         (3+13:02)  
reboot   system boot  2.6.9-34.EL      Tue May  1 08:27         (3+13:07)  
reboot   system boot  2.6.9-34.EL      Tue May  1 08:24         (3+13:10)  
reboot   system boot  2.6.9-34.EL      Tue May  1 08:13         (3+13:22)  
wtmp begins Tue May  1 08:13:04 2007
我們也可以指明用戶,[root@tp log]# last root
root     pts/1        192.168.0.5      Fri May  4 23:01 - 23:02  (00:00)   
root     pts/0        192.168.0.5      Fri May  4 22:10   still logged in  
root     pts/0        192.168.0.5      Fri May  4 21:38 - down   (00:27)   
root     pts/1        192.168.0.5      Fri May  4 21:09 - down   (00:25)   
root     pts/0        211.101.46.195   Fri May  4 21:05 - down   (00:29)   
root     tty1                          Fri May  4 21:05 - down   (00:30)   
root     pts/0        211.101.46.195   Fri May  4 20:52 - crash  (00:11)   
root     tty1                          Fri May  4 20:44 - crash  (00:18)   
wtmp begins Tue May  1 08:13:04 2007
5,命令ac,根據wtmp文件中每個用戶進入和退出時間.(以小時計算),不用參數代表全部
[root@tp log]# ac
        total        2.88
[root@tp log]# ac -d 代表每天總連接時間
Today   total        2.89
[root@tp log]# ac -p 代表每個用戶總連接時間
        root                                 2.89
        total        2.89
我們要養成經常查看日誌來觀察有無可疑用戶等問題的存在.
 
七,防火牆
應該說防火牆還是很有必要安裝並配置的,應為要說的太多,我會在另一篇文章里專門介紹.
 
八,備份
及時有效的備份會給使我們及時恢復系統在被破壞前的狀態.篇幅有限,我同樣會在另一篇文章里專門介紹.


[火星人 ] linux系統安全詳解已經有620次圍觀

http://coctec.com/docs/security/show-post-72622.html