Linux下软件安装详解.doc

Linux下软件安装详解在Windows下安装软件时，只需用鼠标双击软件的安装程序，或者用Zip等解压缩软件解压缩即可安装。在Linux下安装软件对初学者来说，难度高于Windows下软件安装。下面我就详细讲解Linux下如何安装软件。先来看看Linux软件扩展名。软件后缀为.rpm最初是Red Hat Linux提供的一种包封装格式，现在许多Linux发行版本都使用；后缀为.deb是Debain Linux提供的一种包封装格式；后缀为.tar.gz、tar.Z、tar.bz2或.tgz是使用Unix系统打包工具tar打包的；后缀为.bin的一般是一些商业软件。通过扩展名可以了解软件格式，进而了解软件安装。RPM格式软件包的安装 简介 几乎所有的Linux发行版本都使用某种形式的软件包管理安装、更新和卸载软件。与直接从源代码安装相比，软件包管理易于安装和卸载；易于更新已安装的软件包；易于保护配置文件；易于跟踪已安装文件。RPM全称是Red Hat Package Manager（Red Hat包管理器）。RPM本质上就是一个包，包含可以立即在特定机器体系结构上安装和运行的Linux软件。大多数Linux RPM软件包的命名有一定的规律，它遵循名称-版本-修正版-类型MYsoftware-1.2 -1.i386.rpm 安装RPM包软件 rpm -ivh MYsoftware-1.2 -1.i386.rpmRPM命令主要参数： -i 安装软件。 -t 测试安装，不是真的安装。 -p 显示安装进度。 -f 忽略任何错误。 -U 升级安装。 -v 检测套件是否正确安装。 这些参数可以同时采用。更多的内容可以参考RPM的命令帮助。3.卸载软件 rpm -e 软件名 需要说明的是，上面代码中使用的是软件名，而不是软件包名。例如，要卸载software-1.2.-1.i386.rpm这个包时，应执行： rpm -e software 强行卸载RPM包 有时除去一个RPM是不行的，尤其是系统上有别的程序依赖于它的时候。如果执行命令会显示如下错误信息： # rpm -e xsnow error: removing these packages would break dependencies: /usr/X11R6/bin/xsnow is needed by x-amusements-1.0-1 在这种情况下，可以用-force选项重新安装xsnow： # rpm -ivh -force xsnow-1.41-1.i386.rpm xsnow 这里推荐使用工具软件Kleandisk，用它可以安全彻底清理掉不再使用的RPM包。详细情况请查看2003年开放系统世界第12期。 安装.src.rpm类型的文件 目前RPM有两种模式，一种是已经过编码的（i386.rpm），一种是未经编码的（src.rpm）。 rpm -rebuild Filename.src.rpm 这时系统会建立一个文件Filenamr.rpm，在/usr/src/redflag/RPMS/子目录下，一般是i386，具体情况和Linux发行版本有关。然后执行下面代码即可： rpm -ivh /usr/src/regflag/RPMS/i386/Filename.rpm 使用deb打包的软件安装 deb是Debian Linux提供的一个包管理器，它与RPM十分类似。但由于RPM出现得早，并且应用广泛，所以在各种版本的Linux中都常见到，而Debian的包管理器dpkg只出现在Debina Linux中。它的优点是不用被严格的依赖性检查所困扰，缺点是只在Debian Linux发行版中才能见到这个包管理工具。 1. 安装 dpkg -i MYsoftware-1.2.-1.deb 2. 卸载 dpkg -e MYsoftware使用源代码进行软件安装 和RPM安装方式相比，使用源代码进行软件安装会复杂一些，但是用源代码安装软件是Linux下进行软件安装的重要手段，也是运行Linux的最主要的优势之一。使用源代码安装软件，能按照用户的需要选择定制的安装方式进行安装，而不是仅仅依靠那些在安装包中的预配置的参数选择安装。另外，仍然有一些软件程序只能从源代码处进行安装。现在有很多地方都提供源代码包，到底在什么地方获得取决于软件的特殊需要。对于那些使用比较普遍的软件，如Sendmail，可以从商业网站处下载源代码软件包（如 ）。一般的软件包，可从开发者的Web站点下载。下面介绍一下安装步骤：1.解压数据包 Tar zxvf soft.tar.gz (Tab)Tar zxvf VMwareTools-8.1.3-203739.tar.gzCd 解压目录Readme 查看安装方法tar jxvf fcitx-3.2-050827.tar.bz2cd fcitx./configure -prefix=/opt/fcitxNo acceptable c compiler found in $PATH原因:没有安装GCC组件安装:System setting 中Add/RemoveApplicatonMakemake install转到安装目录,查看readme,及install说明,进行安装源代码软件通常以.tar.gz做为扩展名,也有tar.Z、tar.bz2或.tgz为扩展名的。不同扩展名解压缩命令也不相同.2.编译软件 成功解压缩源代码文件后，进入解包的目录。在安装前阅读Readme文件和Install文件。尽管许多源代码文件包都使用基本相同的命令，但是有时在阅读这些文件时能发现一些重要的区别。例如，有些软件包含一个可以安装的安装脚本程序（.sh）。在安装前阅读这些说明文件，有助于安装成功和节约时间。 在安装软件以前要成为root用户。实现这一点通常有两种方式：在另一台终端以root用户登录，或者输入“su”，此时系统会提示输入root用户的密码。输入密码以后，就将一直拥有root用户的权限。如果已经是root用户，那就可以进行下一步。 通常的安装方法是从安装包的目录执行以下命令： gunzip soft1.tar.gz cd soft1 . /configure 配置 下面的命令将会使Emacs Lisp file被安装到/opt/gnu/share:$ ./configure -prefix=/opt/gnumake 调用make make install 安装源代码 删除安装时产生的临时文件： make clean 卸载软件： make uninstall 有些软件包的源代码编译安装后可以用make uninstall命令卸载。如果不提供此功能，则软件的卸载必须手动删除。由于软件可能将文件分散地安装在系统的多个目录中，往往很难把它删除干净，应该在编译前进行配置。 .bin文件安装 扩展名为.bin文件是二进制的，它也是源程序经编译后得到的机器语言。有一些软件可以发布为以.bin为后缀的安装包，例如，流媒体播放器RealONE。如果安装过RealONE的Windows版的话，那么安装RealONE for Linux版本(文件名：r1p1_linux22_libc6_i386_a1.bin)就非常简单了： chmod +x r1p1_linux22_libc6_i386_a1.bin ./ r1p1_linux22_libc6_i386_a1.bin 接下来选择安装方式，有普通安装和高级安装两种。如果不想改动安装目录，就可选择普通安装，整个安装过程几乎和在Windwos下一样。 .bin文件的卸载，以RealONE for Linux为例，如果采用普通安装方式的话，在用户主目录下会有Real和Realplayer9两个文件夹，把它们删除即可。 Linux绿色软件 Linux也有一些绿色软件，不过不是很多。Linux系统提供一种机制：自动响应软件运行进程的要求,为它设定好可以马上运行的环境。这种机制可以是一种接口，或者是中间件。程序员编写的程序可以直接拷贝分发，不用安装，只要点击程序的图标，访问操作系统提供的接口，设定好就可以工作。若要删除软件，直接删除就可以,不用链接文件。这是最简单的软件安装、卸载方式。 上面介绍了Linux软件安装的方法，对于Linux初学者来说，RPM安装是一个不错的选择。如果想真正掌握Linux系统，源代码安装仍然是Linux下软件安装的重要手段。Linux下WWW服务器配置全攻略Linux操作系统近几年有了蓬勃的发展，在整个世界范围内得到了越来越多公司和团体的支持，尤其是最近IBM公司的鼎力支持，更是使Linux服务器如虎添翼，更上一层楼。而在国内，Linux的应用也是方兴未艾，众多公司已经投入到Linux系统的研发和推广工作中。一些优秀的Linux操作系统相继出现，比如红旗Linux等。但是我国的Linux应用水平还很低，熟悉Linux的人员严重缺乏，Linux专业人才的缺乏已成为Linux在国内应用和普及的瓶颈问题。据开放系统世界2003年第八期介绍，中国五年内Linux人才需求量将会超过120万。而“1+1+1”工程的实施，也是间接地告诉我们这个问题的严重性。如此大好时机，我们干吗还愣着不动呢！如果你是一位Linux爱好者，你可能已经掌握了基本的Linux的知识与操作，毫无疑问，你并不会去满足这样小小的成就。Linux为何如此的流行？其最大的特点莫过于功能强大，性能稳定的服务器应用了。像WWW,MAIL,FTP,DNS和SMB等。在这篇文章中，我将以Redhat Linux 9为蓝本，从Web服务器的一些最基本的操作入手，从初学者使用的态度，让读者正确充分的认识Apache。好，现在就让我们一起踏上征服Apache的自由之路吧。 第一站 Apache的历史与前景 1995年，美国国家计算机安全协会（NCSA）的开发者创建了NCSZ全球网络服务软件，其最大的特点是HTTP精灵程序，它比当时的CERN服务器更容易由源码来配置和创建，又由于当时其他服务器软件的缺乏，他很快流行起来。但是后来，该服务器的核心开发人员几乎都离开了NCSA，一些使用者们自己成立了一个组织来管理他们编写的补丁，于是Apache Group应运而生。他们把该服务器软件称为Apache。Apache源于A patchy server的读音，意思是充满补丁的服务器。如今Apache慢慢地已经成为Internet上最流行的Web服务器软件了。在所有的Web服务器软件中，Apache占据绝对优势，远远领先排名第二的Microsoft IIS。如果你对它感兴趣，你可以访问Apache的官方网站：。Apache作为自由软件之一，像其他自由软件一样，他们都是由许许多多的自由开发人员投入了大量的时间和精力来实现并逐步完善的，所以我们有理由相信Apache的发展前景会更好。 第二站 Apache 2.0的安装 Apache 2.0的配置与安装和Apache 1.3的有很大的不同，他像其它的开源软件一样，使用libtool和autoconf来配置环境。但不管是Apache几通常都有两种安装方式：源代码安装和RPM包安装。这两种安装类型各有特色，RPM包安装不需要编译，而源代码安装则需要先配置编译再安装，RPM包安装在一个固定的位置下，选择固定的模块，而源代码安装则可以让你选择安装路径，选择你想要的模块。下面分别以实例的形式来介绍两种类型的安装方法。 一，使用源代码安装 (1) 获得源代码 # lynx /dist/httpd/httpd-2_0_NN.tar.gz NN表示当前所用的版本号。 (2) 解压缩 # gzip -d httpd-2_0_NN.tar.gz # tar xvf httpd-2_0_NN.tar (3) 配置. # ./configure -prefix= /usr/local/apache 表示Apache将安装在/usr/local/apache目录下 (4) 编译与安装 # make # make install (5) 测试 # /usr/local/apache/bin/apachectl start 二，使用RPM包安装 # rpm ivh apache-*.rpm 完成安装后，配置文件在/etc/httpd/conf/目录下，文件根目录为/var/www/html,工具文件在/etc/rc.d/init.d/目录下，日志文件在/var/log/httpd/目录下。 第三站 Apache 2.0的配置 Apache 2.0的主配置文件为httpd.conf。如果以上述源代码安装则配置文件保存在/usr/local/apache/conf/目录下，若以RPM包方式安装则配置文件保存在/etc/httpd/conf/目录下。我们可以直接修改httpd.conf文件也可以用redhat linux 9自带的图形化工具来配置。打开启动程序-系统设置-服务器设置-HTTP服务器，可以进行相关。主界面如图： 下面我们来看一下httpd.conf中的几条指令,“#”后加入了注释说明。 Port 80 #定义了web服务器的侦听端口，默认值为80，它是TCP网络端口之一。若写入多个端口，以最后一个为准。 User apache #一般情况下，以nobody用户和nobody组来运行web服务器，因为web Group apache # 服务器发出的所有的进程都是以root用户身份运行的，存在安全风险。 ServerAdmin rootlocalhost #指定服务器管理员的E-mail地址。服务器自动将错误报告到该地址。 ServerRoot /etc/httpd #服务器的根目录，一般情况下，所有的配置文件在该目录下 ServerName :80 #web客户搜索的主机名称 KeepAliveTimeout 15 #规定了连续请求之间等待15秒，若超过，则重新建立一条新的TCP连接 MaxKeepAliveRequests 100 #永久连接的HTTP请求数 MaxClients 150 #同一时间连接到服务器上的客户机总数 ErrorLog logs/error_log #用来指定错误日志文件的名称和路径 PidFile run/httpd.pid #用来存放httpd进程号，以方便停止服务器。 Timeout 300 #设置请求超时时间，若网速较慢则应把值设大。 DocumentRoot /var/www/html #用来存放网页文件 第四站 Apache的管理 (1) 启动和停止Apache /etc/rc.d/init.d/httpd start /etc/rc.d/init.d/httpd stop(2) Apache的日志文件 有人说判定一个管理员是否优秀之一就是看他是否是一个分析日志的能手，因为从日志文件中获取的反馈信息对管理员来说是相当重要的。Apache的日至文件主要包括访问日志和错误日志。访问日志记录了该服务器所有的请求的过程，主要记录的是客户的信息，通过它我们可以知道什么人访问了该网站，什么时候访问的，访问的内容是什么等等。错误日志则是记录了服务器出错的细节和如何处理等。日志文件的位置是由上述主配置文件httpd.conf来规定的。Redhat中有一个查看日志的工具系统日志。其主界面如下 下面各举一个例子来说明他的格式： 错误日志的写法： Mon sep 22 14:32:52 2003 error client client denied by server configuration: /export/home/live/ap/htdocs/test Mon sep 22 14:32:52 2003 错误发生的时间。 error 表示错误的级别。有debug,info,notice,warn,error,crit,alert,emerg，这些级别由低到高表示了错误的严重性。 client 表示客户端IP地址。 client denied by server configuration: /export/home/live/ap/htdocs/test 标是错误的具体信息。 访问日志的写法： - wangdong 22/sep/2003:13:55:36 -0800 GET /apache_pb.gif HTTP/1.0 200 2326 表示访问这台服务器的客户端IP地址。 Wangdong 表示用户的登录名。 22/sep/2003:13:55:36 -0800 服务器完成客户端请求的时间，格式为日/月/年：小时：分钟：秒 时区 GET /apache_pb.gif HTTP/1.0 表示客户端访问该资源所使用的方法。 200 记录的是服务器返回给客户的状态码。200表示成功，以4打头的表示访问出错。 2326 表示发给客户端的总字节数。若是“”表示没有找到访问资源。 但在实际应用中，对于大型网站，日志文件往往增长的很快，不利于我们查询，降低服务器的效率，而且占用大量的磁盘空间，所以我们必须对日志进行定期的维护。 既然日志文件很大，那么我们如何把一大堆枯燥的数据整理成容易让我们看懂的形式呢？有没有这样的工具呢？非常幸运，在redhat linux 9中自带了一个分析日志的工具webalizer 第五站 配置虚拟主机 虚拟主机是在一台www服务器上为多个单独的域名提供www服务，每个域名具有自己的目录和配置，相当于将一台主机分为多台主机，虚拟主机技术对于主机数量不足，但又想为不同的用户提供独立的Web服务的需求非常有效。而对于一个公司，利用价格昂贵的服务器只提供一种域名服务，似乎是不明智的，而现在越来越多的公司喜欢在一台服务器上使用多个域名服务，架设不同的网站，这样做的好处是显而易见。 Apache有两种方式支持虚拟主机，一种是基于IP的虚拟主机，另一种是基于名字的虚拟主机。基于名字的虚拟主机使用相同的IP地址来配置不同的虚拟主机，这就弥补了因IP地址不足而带来的问题。基于名字的虚拟主机的配置相当简单，你只需配置你得DNS服务器使每个主机名对应正确的IP地址，然后再配置Apache HTTP Server使它能认识不同的主机名就可以了。 假设我们组建了一家多媒体制作公司，有一台Apache服务器和一个IP地址： 要运行两种业务，一种为电子商务网站，域名为 ，另一种为教学网站，域名为 。先在DNS服务器中把域名和www.teachin.conf就可以了。 NameVirtualHost ServerName DocumentRoot /var/www/html/business ServerName DocumentRoot /var/www/html/teaching 而基于IP的虚拟主机则要求使用不同的IP地址来区别不同的虚拟主机，这就要求使用多块网卡，把不同的IP地址捆绑到不同的网卡上，或者在一块网卡上捆绑多个IP地址。假设我们主机的IP地址为（）,另外有两个IP地址别?.nf/httpd.conf。/url ServerAdmin webmaster DocumentRoot /var/www/html/business ServerName ErrorLog /var/www/html/business/logs/error_log TransferLog /var/www/html/business/logs/access_log ServerAdmin DocumentRoot /var/www/html/teaching ServerName ErrorLog /var/www/html/teaching/logs/error_log TransferLog /var/www/html/teaching/logs/access_log 第六站 配置Apache代理 代理服务器是网络信息服务的中转站。如果我们把Apache代理服务器形象地比喻成代理商的话，消费者向代理商购买东西时，如果代理商有的话，可直接卖给消费者，若没有，则代理商向厂家进货，再卖给消费者。这样做有以下几点好处：（1）提高了访问速度。（2）充当防火墙，增加了安全性。（3）可以过滤一些不良网站。（4）具有缓存功能。（5）节省IP开销。代理服务器可分为两种类型：客户端代理和服务器端代理。下面我们在讲解几个指令后举例说明各自的配置方法。 ProxyRequest On/Off #启用或者禁用Apache代理服务。 CacheRoot /etc/httpd/proxy #代理缓存的根目录。 CacheSize 5 #代理缓存的大小。 CacheGcInterval 4 #设定运行管理缓存的无用数据搜集程序的时间间隔 CacheMaxExpire 24 #文件过期时间。 CacheDefaultExpire 1 #指定未包含过期信息文件的有效期。 NoCache #该网站的文件将不被缓存。 l 客户端代理的配置 （1） 修改/etc/httpd/conf/httpd.conf中的相关指令 （2） 修改/etc/httpd/conf/httpd.conf,添加对代理目录的访问控制。 Order deny,allow Deny from all Allow from . （3） 重启httpd。 l 服务器端代理的配置 服务器端代理与客户端代理不同，它是在防火墙上安装Apache服务器，使用它提供对WWW服务器的代理访问。这种方法把WWW服务器与外部隔开，提高了安全性，而对用户来说，好像没有变化一样。假设在内部局域网中WWW服务器的IP地址为，防火墙主机内部IP地址为，外部IP地址为。 (一) 配置防火墙上的Apache (1) 在/etc/httpd/conf/httpd.conf中添加虚拟主机。 ServerAdmin DocumentRoot /www/docs/ ServerName ErrorLog logs/-error_log CustomLog logs/-log_common (2) 配置局域网中的DNS服务器，把指向。 (二) 配置局域网内部WWW服务器 在Linux环境下，有一个非常流行的代理服务器软件Squid。他的功能非常的强大，支持HTTP,FTP,Gopher,SSL,和WAIS等协议的代理，而且设置简单，只需再配置文件中稍稍改动就可以了。 好了，WWW服务器配置这条路总算走完了，笔者希望读过此文章的人能够有所收获，最后，希望在学习Linux这条充满乐趣而又布满荆棘的路上的爱好者们，永不言败，成为真正的高手。 高级Linux安全管理技巧由于Linux操作系统是一个开放源代码的免费操作系统，因此受到越来越多用户的欢迎。随着Linux操作系统在我国的不断普及，有关的政府部门更是将基于Linux开发具有自主版权的操作系统提高到保卫国家信息安全的高度来看待，因此我们不难预测今后Linux操作系统在我国将得到更快更大的发展。虽然Linux与UNIX很类似，但它们之间也有一些重要的差别。对于众多的习惯了UNIX和Windows NT的系统管理员来讲，如何保证Linux操作系统的安全将面临许多新的挑战。本文介绍了一系列实用的Linux安全管理经验。 一、文件系统 在Linux系统中，分别为不同的应用安装单独的主分区将关键的分区设置为只读将大大提高文件系统的安全。这主要涉及到Linux自身的ext2文件系统的只添加（只添加）和不可变这两大属性。 文件分区Linux的文件系统可以分成几个主要的分区，每个分区分别进行不同的配置和安装，一般情况下至少要建立/、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生了改变，那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽量将它们设置为只读，并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。 当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等，其自身的性质就决定了不能将它们设置为只读，但应该不允许它具有执行权限。 扩展ext2使用ext2文件系统上的只添加和不可变这两种文件属性可以进一步提高安全级别。不可变和只添加属性只是两种扩展ext2文件系统的属性标志的方法。一个标记为不可变的文件不能被修改，甚至不能被根用户修改。一个标记为只添加的文件可以被修改，但只能在它的后面添加内容，即使根用户也只能如此。 可以通过chattr命令来修改文件的这些属性，如果要查看其属性值的话可以使用lsattr命令。要想了解更多的关于ext2文件属性的信息，可使用命令man chattr来寻求帮助。这两上文件属性在检测黑客企图在现有的文件中安装入侵后门时是很有用的。为了安全起见，一旦检测到这样的活动就应该立即将其阻止并发出报警信息。 如果你的关键的文件系统安装成只读的并且文件被标记为不可变的，入侵者必须重新安装系统才能删除这些不可变的文件但这会立刻产生报警，这样就大大减少了被非法入侵的机会。 保护log文件当与log文件和log备份一起使用时不可变和只添加这两种文件属性特别有用。系统管理员应该将活动的log文件属性设置为只添加。当log被更新时，新产生的log备份文件属性应该设置成不可变的，而新的活动的log文件属性又变成了只添加。这通常需要在log更新脚本中添加一些控制命令。 二、备份 在完成Linux系统的安装以后应该对整个系统进行备份，以后可以根据这个备份来验证系统的完整性，这样就可以发现系统文件是否被非法窜改过。如果发生系统文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。 CD-ROM备份当前最好的系统备份介质就是CD-ROM光盘，以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高，那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动，就说明系统尚未被破坏过。 如果你创建了一个只读的分区，那么可以定期从光盘映像重新装载它们。即使象/boot、/lib和/sbin这样不能被安装成只读的分区，你仍然可以根据光盘映像来检查它们，甚至可以在启动时从另一个安全的映像重新下载它们。 其它方式的备份虽然/etc中的许多文件经常会变化，但/etc中的许多内容仍然可以放到光盘上用于系统完整性验证。其它不经常进行修改的文件，可以备份到另一个系统（如磁带）或压缩到一个只读的目录中。这种办法可以在使用光盘映像进行验证的基础上再进行额外的系统完整性检查。 既然现在绝大多数操作系统现在都在随光盘一起提供的，制作一个CD-ROM紧急启动盘或验证盘操作起来是十分方便的，它是一种十分有效而又可行的验证方法。 三、改进系统内部安全机制 可以通过改进Linux操作系统的内部功能来防止缓冲区溢出攻击这种破坏力极强却又最难预防的攻击方式，虽然这样的改进需要系统管理员具有相当丰富的经验和技巧，但对于许多对安全级别要求高的Linux系统来讲还是很有必要的。 Solaris Designer的安全Linux补丁Solaris Designer用于2.0版内核的安全Linux补丁提供了一个不可执行的栈来减少缓冲区溢出的威胁，从而大大提高了整个系统的安全性。 缓冲区溢出实施起来是相当困难的，因为入侵者必须能够判断潜在的缓冲区溢出何时会出现以及它在内存中的什么位置出现。缓冲区溢出预防起来也十分困难，系统管理员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此，许多人甚至包括Linux Torvalds本人也认为这个安全Linux补丁十分重要，因为它防止了所有使用缓冲区溢出的攻击。但是需要引起注意的是，这些补丁也会导致对执行栈的某些程序和库的依赖问题，这些问题也给系统管理员带来的新的挑战。 不可执行的栈补丁已经在许多安全邮件列表（如）中进行分发，用户很容易下载到它们等。 StackGuardStackGuard是一个十分强大的安全补丁工具。你可以使用经StackGuard修补过的gcc版本来重新编译和链接关键的应用。 StackGuard进行编译时增加了栈检查以防止发生栈攻击缓冲区溢出，虽然这会导致系统的性能略有下降，但对于安全级别要求高的特定应用来讲StackGuard仍然是一个十分管用的工具。 现在已经有了一个使用了SafeGuard的Linux版本，用户使用StackGuard将会更加容易。虽然使用StackGuard会导致系统性能下降约1020%，但它能够防止整个缓冲区溢出这一类攻击。 增加新的访问控制功能Linux的2.3版内核正试图在文件系统中实现一个访问控制列表，这要可以在原来的三类（owner、group和other)访问控制机制的基础上再增加更详细的访问控制。 在2.2和2.3版的Linux内核中还将开发新的访问控制功能，它最终将会影响当前有关ext2文件属性的一些问题。与传统的具有ext2文件系统相比它提供了一个更加精确的安全控制功能。有了这个新的特性，应用程序将能够在不具有超级用户权限的情况下访问某些系统资源，如初始套接等。 基于规则集的访问控制现在有关的Linux团体正在开发一个基于规则的访问控制（RSBAC）项目，该项目声称能够使Linux操作系统实现B1级的安全。RSBAC是基于访问控制的扩展框架并且扩展了许多系统调用方法，它支持多种不同的访问和认证方法。这对于扩展和加强Linux系统的内部和本地安全是一个很有用的。 四、设置陷井和蜜罐 所谓陷井就是激活时能够触发报警事件的软件，而蜜罐（honey pot）程序是指设计来引诱有入侵企图者触发专门的报警的陷井程序。通过设置陷井和蜜罐程序，一旦出现入侵事件系统可以很快发出报警。在许多大的网络中，一般都设计有专门的陷井程序。陷井程序一般分为两种：一种是只发现入侵者而不对其采取报复行动，另一种是同时采取报复行动。 设置蜜罐的一种常用方法是故意声称Linux系统使用了具有许多脆弱性的IMAP服务器版本。当入侵者对这些IMAP服务器进行大容量端口扫瞄就会落入陷井并且激发系统报警。 另一个蜜罐陷井的例子就是很有名的phf，它是一个非常脆弱的Web cgi-bin脚本。最初的phf是设计来查找电话号码的，但它具有一个严重的安全漏洞：允许入侵者使用它来获得系统口令文件或执行其它恶意操作。系统管理员可以设置一个假的phf脚本，但是它不是将系统的口令文件发送给入侵者，而是向入侵者返回一些假信息并且同时向系统管理员发出报警。 另外一类蜜罐陷井程序可以通过在防火墙中将入侵者的IP地址设置为黑名单来立即拒绝入侵者继续进行访问。拒绝不友好的访问既可以是短期的，也可以是长期的。Linux内核中的防火墙代码非常适合于这样做。 五、将入侵消灭在萌芽状态 入侵者进行攻击之前最常做的一件事情就是端号扫瞄，如果能够及时发现和阻止入侵者的端号扫瞄行为，那么可以大大减少入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器，也可以是一个复杂的入侵检测系统或可配置的防火墙。 Abacus Port SentryAbacus Port Sentry是开放源代码的工具包，它能够监视网络接口并且与防火墙交互操作来关闭端口扫瞄攻击。当发生正在进行的端口扫瞄时，Abacus Sentry可以迅速阻止它继续执行。但是如果配置不当，它也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。 Abacus PortSentry如果与Linux中透明的代理工具一起使用可以提供一个非常有效地入侵防范措施。这样可以将为所有IP地址提供通用服务的未使用端口重定向到Port Sentry中，Port Sentry可以在入侵者采取进一步行动之前及时检测到并阻止端口扫瞄。 Abacus Port Sentry能够检测到慢扫瞄（slow scan），但它不能检测到结构化攻击（structured attack）。这两种方式最终目的都要试图掩盖攻击意图。慢扫瞄就是通过将端口扫瞄分散到很长的时间内来完成，而在结构化的攻击中，攻击者试图通过扫瞄或探测多个源地址中来掩盖自己的真实攻击目标。 正确地使用这个软件将能够有效地防止对IMAP服务大量的并行扫瞄并且阻止所有这样的入侵者。Abacus Sentry与Linux 2.2内核的IPChains工具一起使用时最有效，IPChains能够自动将所有的端口扫瞄行为定向到Port Sentry。 Linux 2.0内核可以使用IPChains进行修补，Abacus Port Sentry也可以与早期的2.0版内核中的ipfwadm工具一起使用，ipfwadm在2.2版本以后被IPChains取代了。 Abacus Port Sentry还可以被配置来对Linux系统上的UDP扫瞄作出反应，甚至还可以对各种半扫瞄作出反应，如FIN扫瞄，这种扫描试图通过只发送很小的探测包而不是建立一个真正的连接来避免被发现。 当然更好的办法就是使用专门的入侵检测系统，如ISS公司的RealSecure等，它们可以根据入侵报警和攻击签名重新配置防火墙。但这样的产品一般价格较高，普及的用户承受起来有困难。 六、反攻击检测 系统主要通过阻止入侵企图来防止入侵，而反攻击系统则可以反向进行端口扫瞄或发起其它的攻击，这一着让入侵者不仅入侵阴谋未能得逞，反而“引狼入室”，招致反攻击。 有些安全系统如Abacus Sentry具有一定的反攻击能力。比如有的站点有了防止用户通过telnet进行连接，在应答telnet连接请求时，系统将返回一些不受欢迎的恶意信息。这只是一种最简单也是最轻微的反攻击措施。 一般情况下并不提倡使用反攻击功能，因为这样的反攻击措施很容易被非法利用来攻击其它的系统。 七、改进登录 服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别，使用一个更安全的登录服务器来取代Linux自身的登录工具也可以进一步提高安全。 在大的Linux网络中，最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满足所有系统登录需求并且拥有足够的磁盘空间的服务器系统，在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志文件的能力。 安全syslog即使使用单独的登录服务器，Linux自身的syslog工具也是相当不安全的。因此，有人开发了所谓的安全log服务器，将密码签名集成到日志中。这会确保入侵者即使在窜改系统日志以后也无法做到不被发现。现在最常用的用于取代syslog的安全log服务器称为“安全syslog（ssyslong）”，用户可以从Core SDI站点/ssylog处下载这个工具。这个守护程序实现一个称为PEQ-1的密码协议来实现对系统日志的远程审计。即使在入侵者获得系统超级用户权限的情况下也仍然可以进行审计，因为协议保证了以前以及入侵过程中的的log信息没有审计者（在远程可信任的主机上）的通知无法被修改。 syslog-ng另一个取代syslog的工具是syslog-ng（下一代的syslog）。这是一个更加可配置的守护进程，它提供了密码签名来检测对日志文件的窜改。密码安全登录服务器和远程审计功能一起可以使入侵者极难进行日志窜改并且非常容易被检测到这样的不良企图。用户可以从www.babit.hu/products/syslog-ng.html处下载这个工具。 八、使用单一登录 系统维护分散的大网络环境中的多个用户帐号对于系统管理员来讲是一件非常头疼的事情。现在有一些单一的登录（sign on）系统不仅可以减轻管理员的负担，而同时还提高了安全级别。 网络信息服务（NIS）是一个很好的单一登录系统，它在Sun公司的Yellow Page服务的基础上发展来的，它的基本安全特性不够健状，由于不断有一些bug和脆弱性被公布，因此有人戏称它为网络入侵者服务（Network Intruder Service）。NIS的更新版本NIS+原NIS的不足进行了改进，现在已经有了用于Linux的NIS+版本。 Kerberos也是一种非常有名的单一登录系统。Kerberos v4具有一些很有名的安全漏洞，如入侵者可以离线进行穷尽攻击Kerberos cookie而不会被发现。Ketberos v5大大进行了改进，不会再有v4的问题。 在大的网络中，象NIS和Kerberos这样的单一的登录系统虽然有有利的一面，但也有它不利的一面。一方面，在不同系统上都具有认证机制有助于隔离该功能并且减少它与其它服务相互之间的影响。另一方面，一旦一个系统中的某个帐号被破坏，所有可通过这个帐号访问的系统都将同样遭到破坏。因此在单一的登录系统中特别要求具有较高防猜测水平的口令字。 基于Windows的网络在Windows NT域系统中有自己的单一登录系统。Linux系统可以根据Windows系统进行认证。这允许用户在Windows系统下修改、维护和管理它们的帐号和口令字并且修改结果会在同时在UNIX登录中得到体现。如使用pam_smb，Linux系统可以根据Windows SMB Domain进行认证。这在以Windows网络管理为中心的网络中是相当方便的，但它也带来了Windows认证系统自身的一些不安全性。 九、掌握最新安全产品和技术 作为一个系统管理员，还必须时刻跟踪Linux安全技术的发展动向，并且适时采用更先进的Linux安全工具。目前国际上有许多有关Linux安全的研究和开发项目，目前至少有三个安全Linux项目已经启动，每个项目的目标都有自己的侧重点，它们分别是： 安全Linux（Secure Linux） 安全Linux（www.reseau.nl/securelinux）项目的目标是提供一个用于Internet服务器系统的安全的Linux分发。该项目管理者正寻求在这个产品中集成强大的密码和一些额外的Web服务器功能。既然它是在美国之外创建的，人们可望能够得到改进的密码安全而不会受到美国安全产品出口法律的限制。 Bastille LinuxBastille Linux(）项目寻求在Linux环境中建立一个类似OpenBSD的标准。该项目宣称的目标是为台式机创建一个安全的分发，使网络管理者可以不用担心用户的安全。 Kha0s LinuxKha0s Linux（）正寻求创建了一个具有强加密和类似OpenBSD的安全政策的最小的安全Linux分发。该小组目前正在它的Web站点上请求全球用户和厂商的参与和合作。 除此之外，下面两点对于管理员提高Linux安全管理水平也是十分有用的： 访问安全Linux邮件列表现在有许多关于Linux安全的邮件列表，如、Kh 等，经常访问这些邮件列表可以得到大量的安全信息。 还有另一个通用的邮件列表是security-auditferret.lmh.ox.ac.uk，它是专门讨论源代码的安全审计的。这个列表可能与其它的邮件列表有大量的重复，但如果想了解源代码审计和相关的安全问题的话还是很值得一读的。 十