构建安全可靠的Linux服务平台(下) （2）

2. chkrootkit

另一个有用的工具是chkrootkit。chkrootkit是设计用来检查许多广为人知的rootkit（一组包括常用木马程序的套件，以方便 cracker攻入主机时, 在受害主机上顺利地编译和安装特洛伊木马程序）。在chkrootkit的网站上会公布最新的rootkit列表。

配置chkrookit非常简单：先从http://www.chkrootkit.com下载源代码，解开软件包，在文件被解开的路径里敲入make。完成后，chkrootkit就随时侯命了。下面是在机器上chkrootkit的一个输出的例子：

# ./chkrootkit 

Checking `su''... not infected 

Checking `ifconfig''... not infected 

Checking `inetd''... not tested 

Checking `inetdconf''... not found 

Checking `identd''... not infected 

Checking `init''... not infected 

Checking `killall''... not infected 

Checking `login''... not infected 

Checking `ls''... not infected 

Checking `lsof''... not infected 

Checking `mail''... not infected 

Checking `mingetty''... not infected 

Checking `netstat''... not infected 

Checking `named''... not infected 

Checking `passwd''... not infected 

[...]

由上可以看到，系统中重要的一些命令并没有被改变。chkrootkit是一个很不错的实用工具，它可以进一步让我们放心：机器目前是安全的。

3.secheck

个人推荐一个比较好的检测工具secheck,这个软件安装简单，检测范围广，记录文件条目简明，资料详细。它可以检测开放端口列表、登录用户、磁盘空间情况；检查UID和GID为0的非root用户、弱口令用户、正在运行的系统进程、su root的用户；检测有SUID和SGID标识的命令，以及相关password、shadow、xinetd.conf、.rhosts文件的变化等。建议配合crontab做定时检查,命令如下（每隔一小时做一次检查）：

00　*　*　*　*　/usr/local/etc/secheck/secheck

可以从http://twtelecom.dl.sourceforge.net/secheck/secheck-0.03.tgz下载感受一下。

灾难恢复

尽管已经采用了许多的安全措施来保护主机稳定运行，但是遇到一些意外情况，如停电、硬件故障或地震等仍有可能发生系统崩溃事件。要想在最短时间内恢复系统，必须事先做好备份工作。

在进行备份之前，首先要选择合适的备份策略，包括何时需要备份，以及出现故障时进行恢复的方式。通常使用的备份方式有三种：

1．完全备份

每隔一定时间就对系统进行一次全面的备份，这样在备份间隔期间出现数据丢失等问题，可以使用上一次的备份数据恢复到前次备份时的数据状况。