Linux系統服務(wù)器網(wǎng)絡(luò )安全

如果你的Linux服務(wù)器被非受權用戶(hù)接觸到（如服務(wù)器放在公用機房?jì)?、公用辦公室內），那么它的安全就會(huì )存在嚴重的隱患。

　　使用單用戶(hù)模式進(jìn)入系統

　　Linux啟動(dòng)后出現boot:提示時(shí)，使用一個(gè)特殊的命令，如 linuxsingle或linux 1，就能進(jìn)入單用戶(hù)模式（Single-User mode）。這個(gè)命令非常有用，比如忘記超級用戶(hù)（root）密碼。重啟系統，在boot:提示下輸入linux single（或linux 1），以超級用戶(hù)進(jìn)入系統后，編輯Passwd文件，去掉root一行中的x即可。

　　防范對策：

　　以超級用戶(hù)（root）進(jìn)入系統，編輯/etc/inittab文件，改變id：3：initdefault的設置，在其中額外加入一行（如下），讓系統重新啟動(dòng)進(jìn)入單用戶(hù)模式的時(shí)候，提示輸入超級用戶(hù)密碼：

　　~~:S:walt:/sbin/sulogin

　　然后執行命令：/sbin/init q，使這一設置起效。

　　在系統啟動(dòng)時(shí)向核心傳遞危險參數

　　在Linux下*常用的引導裝載（boot loader）工具是LILO，它負責管理啟動(dòng)系統（可以加入別的分區及操作系統）。但是一些非法用戶(hù)可能隨便啟動(dòng)Linux或者在系統啟動(dòng)時(shí)向核心傳遞危險參數，這也是相當危險的。

　　防范對策：

　　編輯文件/etc/lilo.conf，在其中加入restricted參數，這一參數必須同下面一個(gè)要講的password參數一起使用，表明在boot：提示下，傳遞給Linux內核一些參數時(shí)，需要你輸入密碼。

　　password參數可以同restricted一起使用，也可以單獨使用，下面將分別說(shuō)明。

　　同restricted一起使用：只有在啟動(dòng)時(shí)需要傳遞給內核參數時(shí)，才會(huì )要求輸入密碼，而在正常（缺?。┠Ｊ较?，是不需要密碼的，這一點(diǎn)一定要注意。

　　單獨使用（沒(méi)有同restricted一起使用）：表示不管用什么啟動(dòng)模式，Linux總會(huì )要求輸入密碼；如果沒(méi)有密碼，就沒(méi)有辦法啟動(dòng)Linux，在這種情況下的安全程度更高，相當于外圍又加入一層防御措施。當然也有壞處 ——你不能遠程重啟系統，除非你加上restricted參數。

　　由于密碼是明文沒(méi)有加密，所以/etc/lilo.conf文件一定要設置成只有超級用戶(hù)可讀，可使用下面的命令進(jìn)行設置：

　　chmod 600 /ietc/lilo.conf

　　然后執行命令：/sbin/lilo -V，將其寫(xiě)入boot sector，并使這一改動(dòng)生效。

　　為了加強/etc/liIo.conf文件的安全，你還可以設置這個(gè)文件為不可改變的屬性，可使用命令：

　　chattr 十i/etc/lilo.conf

　　如果日后你要修改/etc/liIo.conf文件，用chattr -i/etc/lilo.conf命令去掉這個(gè)屬性即可。

　　使用“Ctrl+Alt+Del”組合鍵重新啟動(dòng)

　　對于這一點(diǎn)，非常重要，也非常容易忽略，如果非法用戶(hù)能接觸到服務(wù)器的鍵盤(pán)，他就可以用組合鍵“Ctrl+AIt+Del”使你的服務(wù)器重啟。

　　防范對策：

　　編輯/etc/inittab文件，給ca：：ctrlaltdel：/sbin/shutdown-t3 -r now加上注釋###ca：：ctrlaltdeI：/sbin/shutdown-t3 -r now。

　　然后執行命令：/sbin/init q，使這一改動(dòng)生效。