Linux安全加固标准规范.doc

《Linux安全加固标准规范.doc》由会员分享，可在线阅读，更多相关《Linux安全加固标准规范.doc（23页珍藏版）》请在咨信网上搜索。

LINUX安全加固规范 目 录 1概述 5 2 安装 5 3 顾客帐号安全Password and account security 6 3.1 密码安全方略 6 3.2 检查密码与否安全 6 3.3 Password Shadowing 6 3.4 管理密码 6 3.5 其他 7 4 网络服务安全(Network Service Security) 7 4.1服务过滤Filtering 8 4.2 /etc/inetd.conf 9 4.3 R 服务 9 4.4 Tcp_wrapper 9 4.5 /etc/hosts.equiv 文献 10 4.6 /etc/services 10 4.7 /etc/aliases 11 4.8 NFS 11 4.9 Trivial ftp (tftp) 11 4.10 Sendmail 11 4.11 finger 12 4.12 UUCP 12 4.13 World Wide Web (WWW) – httpd 13 4.14 FTP安全问题 13 5 系统设立安全(System Setting Security) 14 5.1限制控制台使用 14 5.2系统关闭Ping 14 5.3关闭或更改系统信息 15 5.4 /etc/securetty文献 15 5.5 /etc/host.conf文献 15 5.6禁止IP源途径路由 15 5.7资源限制 16 5.8 LILO安全 16 5.9 Control-Alt-Delete 键盘关机命令 17 5.10日记系统安全 17 5.11修正脚本文献在“/etc/rc.d/init.d”目录下权限 17 6 文献系统安全(File System Security) 18 6.1文献权限 18 6.2控制mount上文献系统 18 6.3备份与恢复 19 7 其他 19 7.1使用防火墙 19 7.2使用第三方安全工具 19 7.3参照网站 19 1概述  近几年来Internet变得更加不安全了。网络通信量日益加大，越来越多重要交易正在通过网络完毕，与此同步数据被损坏、截取和修改风险也在增长。  只要有值得盗窃东西就会有想办法窃取它人。Internet今天比过去任何时候都更真实地体现出这一点，基于Linux系统也不能挣脱这个“普遍规律”而独善其身。因而，先进系统应当拥有完善安全办法，应当足够结实、可以抵抗来自Internet侵袭，这正是Linux之因此流行并且成为Internet骨干力量重要因素。但是，如果你不恰本地运用Linux安全工具，它们反而会埋下隐患。配备拙劣安全系统会产生许多问题，本文将为你解释必要掌握Linux安全知识。 本文讲述了如何通过基本安全办法，使Linux系统变得可靠。 2 安装 使系统处在单独（或隔离）网络中。以防止未受保护系统连接到其他网络或互联网中受到也许袭击 安装完毕后将下面软件卸载 pump apmd lsapnptools redhat-logos mt-st kernel-pcmcia-cs Setserial redhat-relese eject linuxconf kudzu gd bc getty_ps raidtools pciutils mailcap setconsole gnupg 用下面命令卸载这些软件： [root@deep]#rpm –e softwarename 卸载它们之前最佳停掉三个进程： [root@deep]# /etc/rc.d/init.d/apmd stop [root@deep]# /etc/rc.d/init.d/sendmail stop [root@deep]# /etc/rc.d/init.d/kudzu stop 3 顾客帐号安全Password and account security 3.1 密码安全方略 l 口令至少为6位，并且涉及特殊字符 l 口令不要太简朴，不要以你或者关于人有关信息构成密码，例如生日、电话、姓名拼音或者缩写、单位拼音或者英文简称等等。 l 口令必要有有效期 l 发既有人长时间猜测口令，需要更换口令 3.2 检查密码与否安全 可以使用如下几种工具检查自己密码与否安全: l JOHN,crack等暴力猜测密码工具 l 在线穷举工具，涉及Emailcrk、流光等 3.3 Password Shadowing l 使用shadow来隐藏密文（当前已经是默认配备） l 定期检查shadow文献，如口令长度与否为空。 #awk -F：length($2)==0 {print $1} /etc/shadow l 设立文献属性和属主 3.4 管理密码 l 设立口令有效最长时限 （编辑/etc/login.defs文献） l 口令最短字符　（如linux默以为５，可以通过编辑/etc/login.defs修改） l 只容许特定顾客使用su命令成为root。 编辑/etc/pam.d/su文献，在文献头部加上： auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel Red hat 7.0中su文献已做了修改，直接去掉头两行注释符就可以了 [root@deep]# usermod -G10 admin来将顾客加入wheel组 3.5 其他 l 清除不必要系统帐户 [root@deep]# userdel adm [root@deep]# userdel lp [root@deep]# userdel sync [root@deep]# userdel shutdown [root@deep]# userdel halt [root@deep]# userdel news [root@deep]# userdel uucp [root@deep]# userdel operator [root@deep]# userdel games (如果不使用 X Window，则删除) [root@deep]# userdel gopher [root@deep]# userdel ftp （如果不使用ftp服务则删除） l 尽量不要在passwd文献中包括个人信息，防止被finger之类程序泄露。 l 修改shadow,passwd,gshadow文献不可变化位 [root@deep]# chattr +i /etc/passwd [root@deep]# chattr +i /etc/shadow [root@deep]# chattr +i /etc/group [root@deep]# chattr +i /etc/gshadow l 不要使用.netrc文献，可以预先生成$HOME/.netrc。设立为0000。 touch /.rhosts ；chmod 0 /.rhosts l 使用ssh来代替telnetd,ftpd.pop等通用服务。老式网络服务程序，如：ftp、pop和telnet在本质上都是不安全，由于它们在网络上用明文传送口令和数据。  4 网络服务安全(Network Service Security) Linux系统对外提供强大、多样服务，由于服务多样性及其复杂性，在配备和管理这些服务时特别容易出错误，此外，提供这些服务软件自身也存在各种漏洞，因此，在决定系统对外开放服务时，必要紧记两个基本原则： l 只对外开放所需要服务，关闭所有不需要服务。对外提供服务越少，所面临外部威胁越小。 l 将所需不同服务分布在不同主机上，这样不但提高系统性能，同步便于配备和管理，减小系统安全风险。 在上述两个基本原则下，还要进一步检查系统服务功能和安全漏洞。 这里针对主机所提供服务进行相应基本安全配备，某些惯用服务安全配备请参照有关文档。 4.1服务过滤Filtering l 在SERVER上禁止这些服务 l 如果一定要开放这些服务，通过防火墙、路由指定信任IP访问。 l 要保证只有真正需要服务才被容许外部访问，并合法地通过顾客路由器过滤检查。特别在下面服务不是顾客真正需要时候，要从路由器上将其过滤掉 NAME PORT PROTOCOL echo 7 TCP/UDP systat 11 TCP netstat 15 TCP bootp 67 UDP tftp 69 UDP link 87 TCP supdup 95 TCP sunrpc 111 TCP/UDP news 144 TCP snmp 161 UDP xdmcp 177 UDP exec 512 TCP login 513 TCP shell 514 TCP printer 515 TCP biff 512 UDP who 513 UDP syslog 514 UDP uucp 540 TCP route 520 UDP openwin TCP nfs 2049 UDP/TCP x11 6000 to 6000+n TCP 注意：有些UDP服务可以导致DOS袭击和远程溢出，如 rpc.ypupdated rpcbind rpc.cmsd 100068 rpc.statd 100024 rpc.ttdbserver 100083 sadmind 100232/10 l 配备完毕后来，运用网络扫描器模仿入侵者从外部进行扫描测试。如运用nmap 4.2 /etc/inetd.conf l 保证文献权限设立为600 l 保证文献属主设立为root l 注释掉所有不需要服务，需要重新启动inetd进程 l 使用netstat –an命令，查看本机所提供服务。保证已经停掉不需要服务 4.3 R 服务 不必使用R服务 l 关闭R服务,Red hat 6.2在/etc/inetd.conf文献中注释如下服务，并且重新启动inetd服务。Red hat 7.0在/etc/xinetd.d目录中删除 exec 512 TCP Rlogin 513 TCP Rshell 514 TCP l 预先生成$HOME/.rhosts，/etc/hosts.equiv文献，并且设立为0000,防止被写入”+ +”。（袭击者经常使用类似符号链接或者运用ROOTSHELL写入，并且远程打开受保护主机R服务） 必要使用R服务 l 使用更安全版本r服务。如Wietse Venemalogdaemon程序等。 l 在路由或者防火墙上禁止外部网络访问受保护主机512,513 and 514 (TCP)端口。 l 使用TCP WRAPPERS设立可访问受保护主机R服务信任机器。 4.4 Tcp_wrapper 该软件作用是在Unix平台上过滤TCP/UDP服务，它当前已被广泛用于监视并过滤发生在主机上ftp、telnet、rsh、rlogin、tftp、finger等原则TCP/UDP服务。 当系统安装TCP_wrapper之后，in.conf文献中 /usr/sbin/in.telnetdin.telnetd会被TCP_wrapper附带tcpd程序取代。该程序截获来自客户端服务祈求、记录祈求发生时间和IP地址，并按访问控制进行检查。当本次连接顾客、祈求源IP等信息符合管理员预设值时，才将该次祈求传递给系统in.telnetd，由系统in.telnetd完毕后续工作；若连接不符合规定，该连接祈求将被回绝。同样，ftp、rsh等TCP/UDP服务均可被tcpd取代，由tcpd充当二传手。 l 使用PARANOID 模式,用此参数后需要在/etc/hosts文献中加上容许使用telnet或ftp服务客户端名字和IP地址 l 在/etc/hosts.deny中设立为all:all，默认所有不容许 Access is denied by default. # Deny access to everyone. ALL：ALL@ALL，PARANOID #Matches any host whose name does not match its address，see bellow. l 在/etc/hosts.allow中设立容许服务和地址 如：sshd：208.164.186.1 l 使用tcpdchk检查 l UDP服务使用tcpwrapper时要使用/etc/inetd.conf中nowait选项。 4.5 /etc/hosts.equiv 文献 不必使用/etc/hosts.equiv文献 l 从系统中删除此文献 l 预先生成/etc/hosts.equiv文献，并且设立为0000,防止被写入”+ +”。（袭击者经常使用类似符号链接或者运用ROOTSHELL写入，并且远程打开受保护主机R服务） 必要使用/etc/hosts.equiv文献 l 保证此文献中可信赖主机为必要。 l 预先生成/etc/hosts.equiv文献，并且设立为0000,防止被写入”+ +”。（袭击者经常使用类似符号链接或者运用ROOTSHELL写入，并且远程打开受保护主机R服务） l 如果使用NIS或者NIS+话，此文献中组应当是容易管理。 l 信赖主机必要保证可靠 l 信赖主机使用全名，如例如 l 任何时候都不应当浮现”+”字符，由于这样会使任何一台主机上任何顾客都可以不加口令地访问系统 l 文献中不要使用'!' 和'#'符号，由于在该文献中那并不表达注释信息 l 文献开始字符不应当为'-'.，请查阅C8 l 保证该文献访问权限被设立成600。 l 文献属主保证为ROOT。 l 在每次安装补丁程序或操作系统之后，都应当重新检查该文献夹设立状况 4.6 /etc/services l 保证文献权限设立为600 l 保证文献属主设立为root l 如果需要提供某些常用服务，如telnetd等，可以在此修改端口 此文献为端标语和服务相应关系，给此文献加上保护，避免没有授权修改和删除 [root@deep]# chattr +i /etc/services 4.7 /etc/aliases l 修改/etc/aliases文献，注释掉"decode" "games,ingress,system,toor,manager,….”.等 l 使用/usr/bin/newaliases命令激活新配备 l 保证文献权限设立为755 l 保证文献属主设立为root 4.8 NFS NFS文献系统应注意如下几方面安全 l 在外部路由上过滤端口111、2049 （TCP/UDP），不容许外部访问。 l 检查ＰＡＴＣＨ更新状况。 l 检查 /etc/exports 输出途径权限,拟定只有root能修改,  all user只能read l 用exportfs 去增长或删除directories exportfs -o access=engineering,ro=dancer /usr exportfs -u /usr l 如果你机器没有NIS(YP server)服务,当更改资料时记得修改 /etc/passwd /etc/group /etc/hosts /etc/ethers l 不容许export出去包括本地入口目录 l 拟定对方机器是完全可信赖。使用全名 l 保证输出列表没有超过256个字符。 l 使用showmount –e命令查看自己export设立 l 将/etc/exports权限设立为644，属主为root l 使用noexec,nodev.nosuid等选项控制mount文献系统，在/etc/fstab中设立。 4.9 Trivial ftp (tftp) 无论何种状况下都不应当启动这个服务进程。 4.10 Sendmail sendmail提供了许多在编译期间选取功能特性。普通状况下，按照其缺省配备，即可满足普通顾客需要。但是，理解研究其提供特性，可以实现对sendmail许多功能更为精确配备使用。从网络安全角度考虑，通过合理地配备关于特性，可以在提供服务和保证安全之间找到更为精确平衡点(配备特性办法是将需要特性加入到相应系统.mc文献中,然后运用工具m4生成最后sendmail.cf文献。当前最新版本是sendmail8.11.1.(.org) l 最新发行包 l promiscuous_relay：该特性打开任意转发功能，也即关闭8.9带来邮件转发方面安全增强控制。此特性使用会对电子邮件服务滥用留下许多隐患，建议除非特别状况，不要使用此特性。 l accept_unqualified_senders：缺省状况下，该特性被关闭，即当MAIL FROM:参数中地址表白属于网络连接,但是却不包括合法主机地址时，sendmail将回绝继续通信。打开此特性则不再依照MAIL FROM:参数回绝接受邮件。建议不可容易使用该特性。 l loose_relay_check ：普通状况下,当邮件使用了源路由功能,例如user%site@othersite,如果othersite属于转发邮件范畴,则sendmail将分离othersite,继续检查site与否属于转发范畴.使用该特性将变化上述缺省操作.建议不要容易使用该特性 l accept_unresolvable_domains ：普通状况下,当MAIL FROM:参数中主机地址某些无法解析,即无法鉴定为合法主机地址时,sendmail将回绝连接.使用该特性将变化上述操作. 在某些状况下,例如,邮件服务器位于防火墙背面,无法正常解析外部主机地址,但是依然但愿可以正常接受邮件时,也许需要运用该特性. l blacklist_recipients ：打开接受黑名单功能。接受黑名单可以涉及顾客名、主机名、或其他地址。 l relay_entire_domain ：缺省配备下,sendmail只为在转发控制数据库(access db)中定义为RELAY主机提供转发邮件服务. 该特性使用,将使sendmail为本地区内（由$=m类定义）所有主机上面顾客提供转发功能 l sendmail受限shell程序smrsh可以防止内部顾客恶意操作。 l 防止系统信息泄漏，如修改banner,禁止expn,vrfy命令 l 建议配备为需要smtp认证功能。 l 其她有关mailserver qmail：.org postfix：.org qpop： Imail： 4.11 finger l 不应当启动这个服务进程。 l 如果一定要使用，请使用最新版本。 4.12 UUCP l 建议不要使用 l 删除所有rhosts文献（ＵＵＣＰ目录下） l 保证.cmds 文献属主为root l 对ＵＵＣＰ登陆进行限制 l 保证ＵＵＣＰ文献没有被设立为所有人可写 4.13 World Wide Web (WWW) – httpd l 使用你选取ＷＥＢＳＥＲＶＥＲ最新版本 l 不要使用ＲＯＯＴ顾客运营httpd l 在chroot环境中运营httpd l 尽量不要使用ＣＧＩ脚本 l 对ＣＧＩ脚本进行安全审计 l 链接使用静态库 l 过滤危险字符，如\n \r (.,/;~!)>|^&$`< 等 l 使用https进行核心业务传送。 比较流行webserver是 apache netscpeweb server 和browser IETFWeb事务安全工作组维持着一种特别针对WWW安全问题邮寄列表.  要订阅,可发e-mail到www-security-.在信息  正文里写上 SUBSCRIBE www-security 你email地址  重要WWW FAQ也包括关于Web安全问与答,如记录文献管理和服务软件来源等.这个FAQ最新版在： 4.14 FTP安全问题 重要ftp server l wuftp 最新版本是２６.１ 下载地址是ftp://ftp.wu-ftpd.org/pub/wu-ftpd-attic/wu-ftpd-2.6.1.tar.gz l proftp 最新版本是1.2.0rc2 下载地址是ftp:// l ncftp 最新版本是２.６.３ 下载地址是 配备Configuration l 检查所有默认配备选项 l 拟定没有SITE EXEC问题 l 设立/etc/ftpusers拟定禁止使用ftp顾客 l 使用chroot环境运营ftpd l 使用自己ls等命令 l 加入对quota,pam等支持 l 配备/etc/ftpaccess文献，禁止系统信息泄露和设立最大连接数 l 配备／etc/ftphosts,设立容许使用ＦＴＰＨＯＳＴ和ＵＳＥＲ l 针对不同顾客设立不同权限 l 经常查看ＬＯＧ记录　/var/log/xferlog l 配备文献属性改为６００ Anonymous ftp l 编译时打开容许匿名选项 l 如果使用分布式passwords (e.g.，NIS，NIS+)，需要设立好密码文献。 l 匿名顾客只给读权限（在/etc/ftpaccess中设立） 5 系统设立安全(System Setting Security) 5.1限制控制台使用 禁止使用控制台程序：删除/etc/security/console.apps中服务 [root@deep]# rm -f /etc/security/console.apps/servicename， 例如：[root@deep]# rm -f /etc/security/console.apps/halt [root@deep]# rm -f /etc/security/console.apps/poweroff [root@deep]# rm -f /etc/security/console.apps/reboot [root@deep]# rm -f /etc/security/console.apps/shutdown [root@deep]# rm -f /etc/security/console.apps/xserver（如删除，只有root能启动Xserver） 禁止控制台访问：在/etc/pam.d中所有文献中，给包括pam_console.so行加上注释 5.2系统关闭Ping 关闭ping，使系统对ping不做反映，对网络安全大有好处。 可以使用如下命令： [root@deep]#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 可以将这一行加到/etc/rc.d/rc.local文献中去，这样系统重启动后会自动执行 恢复系统Ping响应： [root@deep]#echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all 5.3关闭或更改系统信息 关闭telnet系统信息 Red Hat 6.2中,编辑/etc/inetd.conf telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd –h 加上参数-h可以关闭telnet信息 Red Hat 7.0中,编辑/etc/xinetd.d/telnet 加上server_args = -h,可以关闭telnet信息 /etc/rc.d/rc.local中关闭或修改系统信息 /etc/issue和/etc/中包括本地登录和网络登录时提示系统信息,对它们进行更改可以变化系统信息,或直接删除,并在/etc/rc.d/rc.local文献中注释有关行: #echo "" > /etc/issue #echo "$R" >> /etc/issue #echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue #cp -f /etc/issue /etc/ #echo >> /etc/issue 5.4 /etc/securetty文献 /etc/securetty文献规定root从哪个TTY设备登录,列出是容许tty设备,将不容许tty设备行注释掉. 5.5 /etc/host.conf文献 /etc/host.conf定义主机名如何解析,使用什么服务,什么顺序解析 # Lookup names via DNS first then fall back to /etc/hosts. order bind,hosts # We have machines with multiple IP addresses. multi on # Check for IP address spoofing. nospoof on order指定选取服务顺序 multi指定主机能不能有各种IP地址,ON代表容许 nospoof指定不容许IP伪装,此参数必要设立为ON 5.6禁止IP源途径路由 容许IP源途径路由(IP source routing)会使得黑客可以欺骗你计算机,截取信息包.强烈建议禁止，使用如下命令： for f in /proc/sys/net/ipv4/conf/*/accept_source_route；do echo 0 > $f done 将accept_source_route设立为0，并将上述命令加到/etc/rc.d/rc.local中去，每次重启动将自动执行 5.7资源限制 为了避免回绝服务袭击，需要对系统资源使用做某些限制。 一方面，编辑/etc/security/limits.conf，加入或变化如下 * hard core 0 （禁止创立core文献） * hard rss 5000 （除root外，其她顾客最多使用5M内存） * hard nproc 20 （最多进程数限制为20） 编辑/etc/pam.d/login,在文献末尾加上： session required /lib/security/pam_limits.so 对TCP SYN Cookie保护：（防止SYN Flood袭击） [root@deep]# echo 1 > /proc/sys/net/ipv4/tcp_syncookies 5.8 LILO安全 在“/etc/lilo.conf”文献中添加3个参数：time-out、restricted 和 password。这些选项会在启动时间（如“linux single”）转到启动转载程序过程中，规定提供密码。 环节1 编辑lilo.conf文献（/etc/lilo.conf），添加和更改这三个选项： boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=00　 #change this line to 00 prompt Default=linux restricted　 #add this line password=　 #add this line and put your password image=/boot/vmlinuz-2.2.14-12 label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only 环节2 由于其中密码未加密，“/etc/lilo.conf”文献只对根顾客为可读。 [root@kapil /]# chmod 600 /etc/lilo.conf （不再为全局可读） 环节3 作了上述修改后，更新配备文献“/etc/lilo.conf”。 [Root@kapil /]# /sbin/lilo -v （更新lilo.conf文献） 环节4 尚有一种办法使“/etc/lilo.conf”更安全，那就是用chattr命令将其设为不可： [root@kapil /]# chattr +i /etc/lilo.conf 它将制止任何对“lilo.conf”文献更改，无论与否故意。 5.9 Control-Alt-Delete 键盘关机命令 编辑“/etc/inittab”文献，只要在下面行前面加“＃”，改为注释行。 ca::ctrlaltdel:/sbin/shutdown -t3 -r now 改为： #ca::ctrlaltdel:/sbin/shutdown -t3 -r now 然后，为使更改生效，在提示符下输入： [root@kapil /]# /sbin/init q 5.10日记系统安全 为了保证日记系统完整性，防止黑客删除日记，需要对日记系统进行安全配备。本专项将有专门文档来讲述日记系统安全。 5.11修正脚本文献在“/etc/rc.d/init.d”目录下权限 对脚本文献权限进行修正，脚本文献用以决定启动时需要运营所有正常过程启动和停止。添加：[root@kapil/]# chmod -R 700 /etc/rc.d/init.d/* 这句指是，只有根顾客容许在该目录下使用 Read、Write，和 Execute 脚本文献。 6 文献系统安全(File System Security) 6.1文献权限 l 去掉不必要suid程序，可以通过脚本查看 [root@deep]# find / -type f \( -perm -04000 -o -perm -0 \) \-exec ls –lg {}\; 通过下面命令来去掉不需要程序‘s’位 [root@deep]# chmod a-s /usr/bin/commandname l 重要配备文献如/etc/passwd,/etc/shadow,/etc/inetd.conf等设立为0755,并设立为不可更改 l /etc，/usr/etc，/bin，/usr/bin，/sbin，/usr/sbin，/tmp and/var/tmp属主是root,并且设立粘滞。 l /dev目录下没有特殊文献。 l 查找任何人可写文献和目录 [root@deep]# find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; [root@deep]# find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \; l 查找异常文献，如..文献，…文献等 find / -name ".. " -print –xdev find / -name ".*" -print -xdev | cat -v l 检查没有属主文献。 Find / -nouser –o –nogroup l 检查在/dev目录以外尚有无特殊块文献 find / \( -type b -o -type c \) -print | grep -v '^/dev/' l 使用checksum md5 或者PGP来效验文献 6.2控制mount上文献系统 可以使用noexec，nodev，nosuid来控制mount上文献系统.在/etc/fstab中设立，例如： 将/dev/sda11 /tmp ext2 defaults 1 2 /dev/sda6 /home ext2 defaults 1 2 改为：/dev/sda11 /tmp ext2 nosuid,nodev,noexec 1 2 /dev/sda6 /home ext2 nosuid,nodev 1 2 noexec表达不容允许执行，nodev表达不容许块设备，nosuid表达不容许suid位 6.3备份与恢复 定期对文献系统进行备份，可以将损失减小到最小限度。 Linux下有各种办法进行备份，如：dd，cpio，tar，dump等 7 其他 7.1使用防火墙 防火墙是网络安全重要方面，咱们将另有专项来详细阐述防火墙，涉及防火墙原理，linux 2.2内核下IPChains实现，linux 2.4内核下netfilter实现，商业防火墙产品应用等。 7.2使用第三方安全工具 Linux下有诸多较好安全工具，例如：Tripwire，SSH，Sudo，Tcpdump，nmap，nessus，snort，sniffit… …咱们将安排专项来详细讲述这些非常实用安全工具。 7.3参照网站 Patches： Exploits: