构建安全可靠的Linux服务平台(上) （3）

2．RPM安装包

如果使用的是基于RPM的安装包（Red Hat公司开发并包含在其Linux产品之中的多功能软件安装管理器，现有多种版本的Linux使用此管理器，如Red Hat、 TurboLinux），它可以用来建立、安装、查询、检验、升级和卸载独立的软件包。一个完整的RPM包包括压缩文件和包信息。当使用RPM安装软件时，RPM为每个被安装的文件向数据库中添加信息，包括MD5校验和、文件大小、文件类型、拥有者、组和权限模式。当RPM以-verify标志运行时，将把初始文件的值与当前安装的文件进行比较并报告差异。例如，下面是对一个被黑站点的运行结果：

# rpm -qf /bin/ps（或# rpm -qf /usr/bin/top 查看命令隶属哪个RPM包） 

procps.2.0.2-2 　 

# rpm -V procps（-V　MD5检验） 

SM5..UGT /bin/ps 

SM5..UGT /usr/bin/top（有消息表示此文件已被修改）

由上可以看出，攻击者已经入侵到系统中，并且用自己的ps及top命令替代了原来系统中的命令，从而使管理员看不到其运行的进程。RPM的使用方法很多，具体操作方法参见man rpm文档。

3．Tripwire

Tripwire是一个用来检测整个系统是否存在恶意代码和检验文件完整性的有用工具。它采用MD5算法生成128位的“指纹”，通过命令自动保存系统快照，再产生相应的MD5数值以供日后比较判断。

使用Tripwire可以定义哪些文件/目录需要被检验。一般默认设置能满足大多数的要求。该工具运行在四种模式下：数据库生成模式、数据库更新模式、文件完整性检查模式、互动式数据库更新模式。当初始化数据库生成的时候，它生成对现有文件各种信息的数据库文件。为预防以后系统文件或者配置文件被意外地改变、替换或删除，它将每天基于原始数据库对现有文件进行比较，以发现哪些文件被更改、是否有系统入侵等意外事件发生。当然，如果系统中的配置文件或程序被更改，则需要再次生成数据库文件，保持最新的系统快照。此软件功能强大，使用方便。具体的安装和使用，可以通过Google搜索获得。

有效控制服务器运行的后台进程

服务进程（Daemon）是Linux操作系统的核心程序，是外界与主机互相交互的主要途径，同时也是连接因特网的大门。正因为运行了不同的服务进程，Linux系统才能够提供不同的服务，网络才变得丰富多彩。一个称职的管理员必须掌握以下几个要领：

1． 要对自己的服务器有足够的了解，清楚每台服务器的所有后台进程，了解哪台主机运行了哪些服务，开放了哪些端口。我们可以用以下方法得到服务器的配置：

# ntsysv (或 setup) （列出所有的服务清单，可以选择安装/卸载） 

# less /etc/services （列出所有服务运行的端口） 

# ps -auxf　> daemons.txt（推荐使用，把所有后台打印列表） 

# cd /var/run/|ls -al（查看启动服务的进程号文件）

2． 对每个服务都要做好软件版本号的登记归档，密切注意各服务软件的漏洞，尽快升级或打补丁。如bind软件在8.X存在安全漏洞，应该尽快升级到9.X。

3．尤其要注意的是，新手们总是认为把服务运行起来工作就已经做完了，其实这是不对的。当服务进程运行起来后，配置文件的优化处理相当重要。比如， Apache的配置文件中，KeepAlive、MaxKeepAliveRequests、KeepAliveTimeout、 StarServers、MinSpareServers、MaxSpareServers、MaxClients、 MaxRequestsPerChild对机器性能的影响都非常重要。所以，需要常去网上论坛了解最新信息和发展动态，从而更好地守住每个进出的要口。

同时还要特别注意以下几方面：

配置独立的专用服务器，增加负荷能力，降低风险

Linux 作为优秀的网络操作平台，完全有能力胜任运行多个服务器。比如，它可以作为Web服务器，同时也可以充当FTP服务器和Mail服务器。这样做的好处在于能够降低投资成本，但是不安全因素也会随之相应增加。因此，需要在投资成本与安全最大化之间权衡。假如电脑连接因特网，提供多种服务，且每天都要提供大量访问量时，建议一“不要把所有的鸡蛋放在同一个篮子里”。把各个服务进程运行在不同的主机上，成为专用的Web服务器，FTP服务器或Mail服务器，共同分担风险。建议二把各种服务分类管理。在FTP服务器和Mail服务器访问量不大时，也可以把它们统一管理。