如何保护你的linux操做系统

使用SELinux

SELinux是用来对Linux进行安全加固的，有了它，用户和管理员们就能够对访问控制进行更多控制。SELinux为访问控制添加了更细的颗粒度控制。与仅能够指定谁能够读、写或执行一个文件的权限不一样的是，SELinux可让你指定谁能够删除连接、只能追加、移动一个文件之类的更多控制。（LCTT译注：虽然NSA也给SELinux贡献过不少代码，可是目前尚无证据证实SELinux有潜在后门）

订阅漏洞警报服务

安全缺陷不必定是在你的操做系统上。事实上，漏洞多见于安装的应用程序之中。为了不这个问题的发生，你必须保持你的应用程序更新到最新版本。此外，订阅漏洞警报服务，如SecurityFocus。

禁用不用的服务和应用

一般来说，用户大多数时候都用不到他们系统上的服务和应用的一半。然而，这些服务和应用仍是会运行，这会招来攻击者。于是，最好是把这些不用的服务停掉。（LCTT译注：或者干脆不安装那些用不到的服务，这样根本就不用关注它们是否有安全漏洞和该升级了。）

检查系统日志

你的系统日志告诉你在系统上发生了什么活动，包括攻击者是否成功进入或试着访问系统。时刻保持警戒，这是你第一条防线，而常常性地监控系统日志就是为了守好这道防线。

考虑使用端口试探

设置端口试探（Port knocking）是创建服务器安全链接的好方法。通常作法是发生特定的包给服务器，以触发服务器的回应/链接（打开防火墙）。端口敲门对于那些有开放端口的系统是一个很好的防御措施。

使用Iptables

Iptables是什么？这是一个应用框架，它容许用户本身为系统创建一个强大的防火墙。所以，要提高安全防御能力，就要学习怎样一个好的防火墙以及怎样使用Iptables框架。

默认拒绝全部

防火墙有两种思路：一个是容许每一点通讯，另外一个是拒绝全部访问，提示你是否许可。第二种更好一些。你应该只容许那些重要的通讯进入。（LCTT译注：即默认许可策略和默认禁止策略，前者你须要指定哪些应该禁止，除此以外通通放行；后者你须要指定哪些能够放行，除此以外所有禁止。）

使用入侵检测系统

入侵检测系统，或者叫IDS，容许你更好地管理系统上的通讯和受到的攻击。Snort是目前公认的Linux上的最好的IDS。

使用全盘加密

加密的数据更难窃取，有时候根本不可能被窃取，这就是你应该对整个驱动器加密的缘由。采用这种方式后，若是有某我的进入到你的系统，那么他看到这些加密的数据后，就有得头痛了。根据一些报告，大多数数据丢失源于机器被盗。

免费提供最新Linux技术教程书籍，为开源技术爱好者努力作得更多更好：http://www.linuxprobe.com/