计划安装让Linux linux系统安全(4)

        防火墙： 通常，防火墙会根据定义的规则集合制止网络通信。所以，它的基本任务是通过 阻塞不必要的传输来避免网络入侵。网络防火墙工作于 TCP/IP 栈层次之上，决定数据包是否可以通过 （取决于规则集合）。
    入侵检测： 入侵检测系统（intrusion detection system，IDS）的主要任务是， 通过识别到来的 shellcode、病毒、恶意软件（malware）或者特洛伊木马等安全缺口，检测 进入网络或者计算机的攻击或入侵。
    审计： 审计指的是通过建立数据处于其期望状态的基线来检测敏感数据或配置文件 的改变。当发生意外改变时，对基线的改变会被报告，使得管理员可以快速反应并进行恢复。
    使用安全的工具程序版本
    当前仍然有很多早期 Internet 应用程序存在，并且在使用中。开发它们时，安全还不是个大问题，因为 那时 Internet 参与者很少。近些年，随着因特网的发展和迅速成长，安全性的缺乏使得那些应用程序不 适于当前的应用。这就是开发它们的代替者的原因，这些代替者可以以安全的方式执行相同的任务 —— 现在的任务还是像在早期时一样重要。在这里，“安全的方式”的基本意思是：
    对传输的数据（包括用户凭证和其他用户相关数据）加密，防止第三方可以理解传输的信息。
    使用用户名和密码或者数字签名等凭证来识别用户和系统。
    尽管这些代替者通常被称为“安全的标准的应用程序”，但是它们并不是绝对不会受攻击。这表示， 虽然您经过深入考虑使用了安全的版本而不是不安全的版本，您仍需要建立另外的观念和步骤来保护您 的系统。
    选择的应用程序以及安装所使用的源代码并不是安全性的惟一因素。要减少那种试图填满可用 磁盘空间的 DoS 攻击带来的影响，请确保您至少为下面这些目录计划专门的分区：
    /home： 使用户数据与系统无关。当您执行备份和恢复操作、升级或切换操作系统、或者在 系统中迁移用户时，这非常有用。
    /var： 保存服务器的日志和运行时数据。通过将其安放于一个单独的文件系统，如果您成为某 个 DoS 攻击的目标，则数据不会填满您全部的空闲空间。
    /tmp： 类似于 /var，这个目录对用户进程来说是可写的，使得它成为 DoS 攻击的一个目标。 比使用单独的文件系统更好的办法是使用 tmpfs，它加速了文件的访问速度，并在重新引导时自动清空 文件系统的内容。
    /boot： 容纳有 Linux 内核、初始驱动程序以及引导加载器数据。不必为了引导过程而挂载 这个分区，因为引导加载器将内核加载为一系列扇区，以从硬盘读取数据。如果在正常的操作中没有挂载它，那 么您就不会意外地覆盖这些文件。
    获取发行版本
    可以通过很多不同的途径获得 Linux 发行版本：热缩塑料包包装的 CD/DVD 发行版本、从其他人那里拷贝、 下载，等等。如果系统在安装的时候就已经被破坏，那么它根本是没有价值的，因此您必须确保基于“干净”的 来源进行安装 —— 确认代码没有后门。实际上，这一负担转嫁给了那些编制包含安装文件的 CD/DVD 组的 发行者。虽然您可以信任发行者，不过，根据发行者公布的校验和来校验安装媒体的校验和以确定媒体是正品， 仍不失为一个良好的习惯做法。
    不推荐通过网络或者因特网进行安装 —— 尽管技术上可行。一个站点可能（比如，通过欺骗）将自己伪装为一个 可信任的安装源，并提供加入了后门的修改过的软件程序包，使得在安装后入侵者可以不费力地接管系统。当然， 可**以通过内部网络服务器进行安装，例如当来源已知而且合法时。
    刚刚安装的操作系统通常不能马上使用，可能没有安装最新安全补丁。此时是最容易受到攻击的， 在从安装过程直到完成配置步骤期间，应该从 Internet 上隔离出来，或者至少是在一个安全的网段。 在本系列的下一篇文章中将讨论这些步骤。
    安装后，应该通过第二台（有适当保护的）计算机从 Internet 上下载最新的安全补丁和更新。同样，必须 选择可信任的安装来源来下载补丁。可以通过严肃的提供者所给出的校验和或者散列来检验下载的安装文件 的完整性。