主要内容：保护引导过程和本地文件、为服务和后台进程加锁、强制实行配额和限制、启用强制访问控制（mandatory access control）

关于加固

要让加固行动更为成功，您应该：
* 在系统连接到网络之前进行加固，以避免攻击。
* 基于 最小权限原则（least-privilege model） 进行配置：系统应该为特定的功能只赋予其所需要的权限。类似地，用户应该只拥有他们所需要的最小限度的权限。

在完成初步计划并准备和执行了最小化安装后，您需要进行一些配置步骤。这些步骤通常被称作是加固 Linux。
* 保护引导过程
* 保护服务和后台进程
* 保护本地文件
* 强制实行配额和限制
* 启用强制访问控制
* 更新和添加安全补丁

保护引导过程

配置引导加载器（LILO 或者 Grub），以令其在引导时不被任何用户干涉；这样就防止了用户在引导提示时向内核传递参数。除非您需要远程引导（比如在远程的数据中心），不然就配置它让它要求输入密码。这是对有可能物理上接触机器的人的进一步防范；它可以防止某些事件的偶然攻击，比如使用参数 single 或者 init=/bin/sh 来获得 root shell，等等。不过，要注意，稍加努力就可以避开此防范机制（比如拆下硬盘驱动器并将其挂载到另一个系统上），除非您对文件系统也进行了加密。

对 LILO 而言，在 lilo.conf 配置文件（通常在 /etc 下）中使用参数 password 替换 prompt。对于 Grub，相应的参数是 Grub 配置文件（通常在 /boot/grub/grub/conf 下）中的 hiddenmenu、default 0 和 password。

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin，以确保当切换到单用户模式时运行级的配置要求输入 root 密码。（如果总是忘记密码，最好还是不要这样配置。）

防止用户使用 Ctrl-Alt-Del 进行重新引导：在 /etc/inittab 中注释掉 ctrlaltdel 行，禁用 ctrlaltdel。通过向类似这样一行（ #ca::ctrlaltdel:/sbin/shutdown -t5 -rf now）添加一个井号（#），您就可以防止那个组合键触发重新引导。

保护服务和后台进程

服务的安全配置的第一个步骤是，禁用所有不需要的服务。不提供的服务不会为潜在的入侵者所利用，有效地降低了风险。
为了找出所有启用的服务，需要检查若干个位置。另外，要禁用不安全的服务，并使用更为安全的选择来取代它们。例如，telnet 不是加密的，所以，使用加密的 ssh 服务来取代 telnet。

当保护服务时，考虑这些方面：
* /etc/inittab
* /etc/init.d 中的引导脚本
* inetd/xinetd 后台进程
* TCP 封装器（wrappers）
* 防火墙

/etc/inittab

在引导过程中，init 进程会去读取 /etc/inittab 文件中的条目。每一个条目——每一行，都定义了在特定的条件下运行哪个程序。这些程序或者本身是服务，或者是用于启动和停止服务。
init 进程能识别若干个称为 运行级（run levels） （由一个字母标识）的状态。当输入了运行级或者发生特定的事件（比如电源故障）时，就会考察那些条目，并执行适当的命令。
/etc/inittab 中条目的格式是，前面是条目的标签，随后是在哪些运行级下此条目要执行，然后是动作关键字以及包括命令行参数的需要执行的命令。所有这些域都由冒号隔开，典型的条目应该类似这样：
my_service:35:once:/usr/local/bin/my_service someparameter

（在 inittab 手册中可以找到动作关键字的完全列表。）

在这个示例中，条目的标签是 my_service。当输入的运行级为 3 或 5 时，它将使用参数 someparameter 来运行程序 /usr/local/bin/my_service。一旦这个程序被终止，它将不会再重新启动（动作关键字“once”）。
为了保护 Linux 系统，您应该理解 /etc/inittab 中所有条目的功能，并禁用潜在不必要的服务，方法是删除那个条目，或者在那一行的开头使用井号注释掉它。
在所有 Linux 系统中，都会有以下两类条目。第一类用来启动名为 /sbin/getty （或者类似的）的程序，这些通常是用来允许通过 Linux 虚拟控制台或者串行线登录。第二类会运行 /etc/rc.d 目录中通常名为 rc 的脚本，并将当前运行级作为参数给出。这个脚本控制服务的启动和停止（接下来会介绍）。
/etc/init.d 中的引导脚本
/etc/init.d 中的引导脚本用来启动或者停止系统服务。对于每一个运行级，都有一个 /etc/rcN.d 目录（“N”是运行级的标识），其中包含了指向那些在运行级改变时需要调用的脚本的软链接。
如果链接名以“S”开头，则脚本在进入那个运行级时执行，启动相应的服务；如果以“K”开头，则脚本在退出那个运行级时执行，停止那个服务。
大部分情况下，引导脚本的名称会暗示它所控制的服务。要防止在特定的运行级中会启动某个服务，则删除运行级目录中指向相应引导脚本的链接，或者使用一个不做任何事情的虚脚本取代 /etc/init.d 中原来的引导脚本。

inetd/xinetd 后台进程

也可以在客户机请求时根据需要调用服务。这些请求被转交给超级后台进程 inetd 或者 xinetd。然后超级后台进程确定要启动哪个服务，并将请求传递到相应的后台进程。通常，telnet、ftp、rlogin 等服务使用 inetd 或者 xinetd 启动。
inetd 后台进程在 /etc/inetd.conf 配置，那个文件中包含了关于每一个超级后台进程需要提供的服务的条目。配置 FTP 服务器的条目应该类似这样——ftp stream tcp nowait root /usr/bin/ftpd in.ftpd -el —— 使用井号注释掉它，就可以禁用它。
为了安全起见，建议使用 xinetd。与 inetd 相比， xinetd 能够启动基于 rpc 的服务，并支持访问控制。xinetd 可以限制进入连接的速度、来自特定主机的进入连接的数目，或者某个服务的总连接数。
通过用于每个从属后台进程的独立配置文件来配置 xinetd 。这些文件位于 /etc/xinetd.d/ 目录中。前面 FTP 服务器的示例配置文件应该称为 called /etc/xinetd.d/ftp，类似这样：
清单 1. 配置文件，/etc/xinetd.d/ftp
[quote]service ftp
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/bin/ftpd
server_args = -el
disable = yes
}[/quote]
为了禁用这个服务，参数 disable 被设置为 yes，如上面示例所示。
为了更详细的访问控制，xinetd 支持以下三个另外的参数：
* only_from
* no_access
* access_time
为了限制访问，但不完全禁用 ftp 后台进程，您可以如下修改配置文件 /etc/xinetd.d/ftp：
清单 2. 为限制访问而修改过的配置文件，/etc/xinetd.d/ftp
[quote]service ftp
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/bin/ftpd
server_args = -el
disable = no
only-from = 192.168.200.3 192.168.200.7 192.168.200.9
only-from += 192.168.200.10 192.168.200.12 172.16.0.0
no_access = 172.16.{1,2,3,10}
access_times = 07:00-21:00
}[/quote]
only-from 和 no_access 可以接受数字 IP 地址（最右边的零作为任意数值处理）、IP 地址/网络掩码 范围、主机名以及 /etc/networks 中的网络名。如果组合使用 only-from 和 no_access， xinetd 会为每个主机连接寻找最接近的匹配。
在前面的代码示例中，表示 IP 地址为 172.16.x.x 的主机可以连接到此主机，但地址属于 172.16.1.x、 172.16.2.x、172.16.3.x 和 172.16.10.x 的则不能连接。可见，当使用 no_access 所用的因数符号时，不需要指定地址的所有四个部分。因数部分必须是地址最右边的部分。

TCP 封装器

如果您决定不使用 xinetd，而是使用 inted，那么您可以使用 TCP 封装器来记录请求和具体的对特定网络的 允许/拒绝。TCP 封装器会为了认证和记录日志而去检查 /etc/hosts.allow 和 /etc/hosts.deny，并将客户机请求封装起来，不直接回应它们。一旦认证成功，请求就会被转发到原来请求的服务。
相对于使用普通的 inetd，使用 TCP 封装器有两个主要的好处：
* 发出请求的客户机不会察觉到 TCP 封装器；因此，没有异心的人不会发现任何区别，而心怀不轨的人也得不到关于他们的请求失败的任何信息。
* TCP 封装器的工作不会理会任何已经被封装的服务，让应用程序能够共享它们的配置文件，从而简化管理。

防火墙

为了防范与不应该运行的服务或者不应该被 Internet 等特定网络所访问的服务的通信，建议安装一个防火墙。防火墙提供网络间基于信任级别的受控通信，并权衡使用基于角色的安全策略和最小权限原则允许或者拒绝对特定服务的访问。

[quote]如何找到所有人都可写的（world-writable）文件
要找出所有人都可写的文件，使用此命令：

find / -perm -002 \( -type f -o -type d \) -ls

其中：
* / 是搜索的起始位置。
* -perm 检查权限。
* 002 表示（八进制符号）“other”设置了写位。
* 模式 002 之前的 - 表示设置了所有权限位（没有考虑模式中的 zero-bits）。
* -type f 或者 -type d 搜索常规的文件和目录。
* -ls 以 ls 格式列出找到的文件。[/quote]

保护本地文件系统

保护本地文件系统涉及的是文件和目录的所有者及访问它们的权限。要保护文件系统，文件和目录的保护位必须设置为只授予最小限度的权限。
要特别注意关于所有人可写的文件和系统目录的不适当权限，以及所谓的 setuid 或者 setgid 命令。这些命令运行时的用户权限比运行此命令的用户实际拥有的权限更高。对访问只有 root 才可以访问的文件来说这可能是必需的（比如 /bin/passwd 需要访问 /etc/passwd）。对于这些命令，要确保它们每一个都确实需要设置 setuid/setgid 位。如果不是这样，那么禁用它。
当某个分区上的所有文件确实都不需要 setuid/setgid 位时， /etc/fstab 中的 nosuid 选项可以为相应文件系统中的每个文件都禁用它（下面的示例中的 /dev/hdc1）：
[quote]#device mountpoint filesystemtype options dump fsckorder
/dev/hda1 / ext2 defaults 1 1
...
/dev/hdc1 /mnt/cdrom iso9660 nosuid,user 1 2[/quote]
此外，对于所有敏感的数据，都有必要对其进行加密并使用密码保护它。为此，GnuPG 提供了一个合适的软件包。

强制实行配额和限制

Linux PAM（插入式认证模块，Pluggable Authentication Modules）可以强制实行一些实用的限制，在 /etc/security/limits.conf 文件中对此进行配置。谨记，这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构： username|@groupname type resource limit。
为了与 username 区别，groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制（soft-limit）可以被超出，通常只是警戒线，而硬限制（hard-limit）不能被超出。resource 可以是下面的关键字之一：
* core - 限制内核文件的大小（KB）。
* data - 最大数据大小（KB）。
* fsize - 最大文件大小（KB）。
* memlock - 最大锁定内存地址空间（KB）。
* nofile - 打开文件的最大数目。
* rss - 最大持久设置大小（KB）。
* stack - 最大栈大小（KB）。
* cpu - 以分钟为单位的最多 CPU 时间。
* nproc - 进程的最大数目。
* as - 地址空间限制。
* maxlogins - 此用户允许登录的最大数目。
在下面的代码示例中，所有用户每个会话都限制在 10 MB，并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话（对匿名 ftp 帐号尤其实用）；managers 组的成员的进程数目限制为 40 个。developers 有 64 MB 的 memlock 限制，wwwusers 的成员不能创建大于 50 MB 的文件。
清单 3. 设置配额和限制
[quote]* hard rss 10000
* hard maxlogins 4
* hard core 0
bin -
ftp hard maxlogins 10
@managers hard nproc 40
@developers hard memlock 64000
@wwwusers hard fsize 50000[/quote]
要激活这些限制，您需要在 /etc/pam.d/login 底部添加下面一行： session required /lib/security/pam_limits.so。
配额让您能够限制用户和组的 inode 数目和可用空间。注意，配额是在每个加载点上定义的，所以，如果用户在若干个分区上有写权限，那么要确保为它们每个都定义配额。
配额是管理员最小化 DoS 攻击的一种方式，这类攻击以填满硬盘驱动器上所有可用空间为手段（这会使其他进程不能创建临时文件而使它们失败）。根据您正在使用的发行版本，您可以安装自带的配额工具，也可以自己下载、编译并安装它们。
必须在内核中启用配额。当前大部分发行版本都支持配额。
要为文件系统启用配额，您必须在 /etc/fstab 中为相应的那行添加一个选项。使用 usrquota 和 grpquota 来启用用配额和组配额，如清单 4 所示：
清单 4. 启用用户配额和组配额
[quote]/dev/hda1 / ext3 defaults 1 1
/dev/hda2 /home ext3 defaults,usrquota 1 1
/dev/hda3 /tmp ext3 defaults,usrquota,grpquota 1 1
/dev/hda4 /shared ext3 defaults,grpquota 1 1
/dev/hdc1 /mnt/cdrom iso9660 nosuid,user 1 2[/quote]
然后，使用 mount -a -o remount 重新挂载相应的文件系统，来激活刚才添加的选项；然后使用 quotacheck -cugvm 创建一个二进制配额文件，其中包含了机器可读格式的配额配置。这是配额子系统要操作的文件。
使用工具 edquota 完成配额的指派。要为用户 alice 定义限制，则使用 edquota -u alice 来调用它。环境变量 EDITOR 中定义的编辑器（默认是 vi）会打开，其中有类似如下的内容：
[quote]Quotas for user alice:
/dev/hda2: blocks in use: 3567, limits (soft = 5500, hard = 6500)
inodes in use: 412, limits (soft = 1000, hard = 1500)[/quote]
Quotas for user alice:
/dev/hda2: blocks in use: 3567, limits (soft = 5500, hard = 6500)
inodes in use: 412, limits (soft = 1000, hard = 1500)[/quote]
“in use”值只是为您提供信息，不能被修改 —— 您能修改的只是软限制和硬限制。保存并退出编辑器后， edquota 会读取您刚才编辑的临时文件，并将那些值传递到二进制配额文件，以使您的修改生效。对组配额的编辑与此相同，只是必须使用 -g 选项而不是 -u。
软限制是警告级别，可以被超出，而硬限制是严格强制的。软限制有一个 宽限期（grace period） （有时也称为 软性时间限制（soft time limits））；这是允许用户超出软限制直到被系统强制执行之前的时间间隔。
您可以使用 edquota -t 来设置宽限期。可以使用的单位是秒、分、小时、天、周和月。其他管理配额的实用工具包括 repquota（总结某个文件系统的配额）、 quotaon 和 quotaoff（打开和关闭配额）。

最佳的配额经验
[quote]您应该为允许用户写入的每一个分区启用配额。也要考虑到您的系统中有一些属于应用程序的用户 ID，而不是个人用户。那些 ID 可能会拥有对某些目录的写权限，而人没有这种权限。
向 cronjobs 添加 /sbin/quotacheck -avug，以自动更新内核当前所使用的配额文件和表。[/quote]

启用强制访问控制
通过 SELinux 所实现的强制访问控制（或者说是 MAC），您可以获得进一步的安全性。使用 MAC，操作系统中的许可由进程所属的 用户/组 ID 以及正要被访问的对象（文件）所属的 用户/组 ID 来管理。另外，使用 MAC，Linux 会强制为每个单独的进程执行这些策略，它们会控制进程可以做什么事情。
那样，在使用 MAC 进行适当配置的系统中，被外来控制或攻击的服务不能够接管系统。就算是进程运行所属的用户或组 ID（最坏的情形：root）可能会与 /etc/passwd 等关键系统文件权限相匹配，那个策略也会及时地禁止对它们的访问。
Internet 上的测试系统可以展现出 SELinux 的有效性，它允许任何人登录；控制机制防止了所有的恶意行为，即使用户能够以 root 身份登录!
不过，使用 SELinux 也有一些问题。首先，如果发行版本提供商不支持 MAC，那么其配置是相当困难的。可能需要打补丁和重新编译内核，并替换特定的系统管理工具（所有这些都可能影响发行版本提供商的支持策略）。第二，定义一个适当的策略是非常复杂的任务。如果没有可用的策略定义供您的应用程序选择，那么在 MAC 环境中制定并实施这个策略会非常艰难。这就使得对某些使用情形来说这样做比较困难，比如需要支持种类很多的软件包的桌面工作站。

添加提供商 GnuPG 密钥
[quote]发行版本提供商 GnuPG 密钥应该已经是基本配置的一部分。您可以使用这个命令添加您所信任的第三方提供商的密钥： $ rpm -import <keyfile>。
您应该确保是以安全的方式获得密钥文件，例如，通过 HTTPS 从提供商的 Web 站点上下载，这样您可以校验连接的证书。[/quote]