十大Linux高级安全管理技巧

　　二、备份

　　在完成Linux系统的安装以后应该对整个系统进行备份，以后可以根据这个备份来验证系统的完整性，这样就可以发现系统文件是否被非法窜改过。如果发生系统文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。

　　● CD-ROM备份当前最好的系统备份介质就是CD-ROM光盘，以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高，那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动，就说明系统尚未被破坏过。

　　如果你创建了一个只读的分区，那么可以定期从光盘映像重新装载它们。即使象/boot、/lib和/sbin这样不能被安装成只读的分区，你仍然可以根据光盘映像来检查它们，甚至可以在启动时从另一个安全的映像重新下载它们。

　　● 其它方式的备份虽然/etc中的许多文件经常会变化，但/etc中的许多内容仍然可以放到光盘上用于系统完整性验证。其它不经常进行修改的文件，可以备份到另一个系统（如磁带）或压缩到一个只读的目录中。这种办法可以在使用光盘映像进行验证的基础上再进行额外的系统完整性检查。

　　既然现在绝大多数操作系统现在都在随光盘一起提供的，制作一个CD-ROM紧急启动盘或验证盘操作起来是十分方便的，它是一种十分有效而又可行的验证方法。

　　三、改进系统内部安全机制

　　可以通过改进Linux操作系统的内部功能来防止缓冲区溢出攻击这种破坏力极强却又最难预防的攻击方式，虽然这样的改进需要系统管理员具有相当丰富的经验和技巧，但对于许多对安全级别要求高的Linux系统来讲还是很有必要的。

　　● SolarisDesigner的安全Linux补丁SolarisDesigner用于2.0版内核的安全Linux补丁提供了一个不可执行的栈来减少缓冲区溢出的威胁，从而大大提高了整个系统的安全性。

　　缓冲区溢出实施起来是相当困难的，因为入侵者必须能够判断潜在的缓冲区溢出何时会出现以及它在内存中的什么位置出现。缓冲区溢出预防起来也十分困难，系统管理员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此，许多人甚至包括LinuxTorvalds本人也认为这个安全Linux补丁十分重要，因为它防止了所有使用缓冲区溢出的攻击。但是需要引起注意的是，这些补丁也会导致对执行栈的某些程序和库的依赖问题，这些问题也给系统管理员带来的新的挑战。