构建安全可靠的Linux服务平台(上) （2）

6．善于使用lsattr和chattr这两个ext2/3的属性命令。本文将主要讨论a属性和i属性，因为这两个属性对于提高文件系统的安全性和保障文件系统的完整性有很大的好处。a属性（Append-only），系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。i属性（Immutable），系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何进程只能修改目录之下的文件，不允许建立和删除文件。

如果主机直接暴露在因特网或者位于其它危险（如其它非管理员亦可接触服务器）环境，有很多Shell账户或提供HTTP和FTP等网络服务，一般应该在安装配置完成后使用如下命令，便于保护这些重要目录：

[root#] chattr -R +i /bin /boot /etc /lib /sbin 

[root#] chattr -R +i /usr/bin /usr/include /usr/lib /usr/sbin 

[root#] chattr +a /var/log/messages /var/log/secure......

如果很少对账户进行添加、变更或删除操作，把/home本身设置为Immutable属性也不会造成什么问题。

在很多情况下，整个/usr目录树也应该具有不可改变属性。实际上，除了对/usr目录使用chattr -R +i /usr/命令外，还可以在/etc/fstab文件中使用ro选项，使/usr目录所在的分区以只读的方式加载。

另外，把系统日志文件设置为只能添加属性(Append-only)，将使入侵者无法擦除自己的踪迹，以便于执法人员取证、分析。

文件系统的完整性检查

完整性是安全系统的核心属性。管理员需要知道是否有文件被恶意改动过。攻击者可以用很多方法破坏文件系统，例如，可以利用错误配置获得权限，也可以修改文件植入特洛伊木马和病毒。Linux中常用如下工具进行校验检查。

1．md5sum

md5sum 命令可以用来创建长度为128位的文件指纹信息。通过md5sum -c命令可以反向检查文件是否被修改过。黑客进入到系统后，会用修改后的文件来取代系统上某些特定的文件，如netstat命令等。于是当使用 netstat -a命令查看系统状态时，不会显示系统攻击者存在的信息。攻击者还可能会替代所有可能泄露其存在的文件，一般来说包括：

/bin/ps、/bin/netstat、/bin/login、/bin/ls、 

/usr/bin/top、/usr/bin/passwd、/usr/bin/top、 

/sbin/portmap、/etc/xinetd.conf、/etc/services。

这些文件都是替代的对象。由于这些文件已经被取代，那么简单地利用ls命令是查看不出这些文件有什么破绽的。因此你需要用md5sum工具在系统安装前期为这些文件做好指纹认证并保存，以备日后检测所用。