Linux屋

看了标题，是不是觉得很奇怪？怎么要用Linux系统来保障Windows的安全呢？这一对冤家也能互相帮助么？众看官别急，耐心看完本文，你便知端倪。

这要从我的亲身经历说起。我有一台机器，满身是毒，最后一次发作，毁掉了一个硬盘的分区。我不想再去杀毒了，取而代之的是，我直接使用Vmware for Linux。你可能怀疑了：“这能杀毒吗？好像没听说过Vmware是个杀毒软件。”呵呵，Vmware确实不杀毒，可它能够完全隔离病毒——它比任何杀毒软件都厉害着呢！以下便是我的步骤： 阅读这篇文章的剩余部分 »

　　相信但凡接触过Linux的朋友们都很熟悉su这个命令，它可以让你在普通用户的shell下执行一些root才能执行的管理操作。由于它的特殊性，关于su这个命令的安全性就比较让广大的Linux用户们关心。本文就来谈一谈我们对于使用SU命令的安全性的几点建议，以供大家参考。 

　　首先我们看su在man 帮助页中的解释su - run a shell with substitute userand group IDs ，也就是说通过su我们不用提供用户和组名就可以启动一个shell程序。 su 是一个二进制的可执行文件，命令所在的文件路径是/bin/su ，下面是通过命令行查询su文件的类型及所在路径：

　　例一：

　　islab$ which su

　　/bin/su 阅读这篇文章的剩余部分 »

　　大家都说linux是一个安全的操作系统，而它的安全，很大一部分是来自于精细的文件权限设置。由于其文件权限比较精细，所以操作起来就不免会比较复杂，我们可以用stat命令以及lsattr命令来显示某个文件的详细信息：

　　$ stat file1
　　file: `file1′
　　size: 11904 blocks: 24 io block: 4096 regular file
　　device: 301h/769d inode: 355982 links: 1
　　access: (0755/-rwxr-xr-x) uid: ( 503/ jack) gid: ( 503/ general)
　　access: 2003-10-19 09:14:12.000000000 +0800
　　modify: 2003-10-14 20:41:21.000000000 +0800
　　change: 2003-10-19 18:56:25.000000000 +0800
　　
　　 $ lsattr file
　　—-i–a—– file 阅读这篇文章的剩余部分 »

　　相信大多数Linux系统都启用了iptables，它的确是一个很强大的工具，尤其它的模块定制更是灵活而强大，本文简单说明一下netfilter/iptables的模块编译。

　　一,准备原码.

　　1. 内核原码:为了减少复杂性,不编译所有内核和模块,建议找一个跟当前版本一样的内核原码,推荐安装时光盘的

　　a. [root@kindgeorge] uname -r (查看当前版本)

　　2.4.20-8

　　可以cd /usr/src 查看是否有这个目录2.4.20-8

　　b. 或者[root@kindgeorge]rpm -qa|grep kernel

　　kernel-source-2.4.20-8 如果有这个说明已安装了. 阅读这篇文章的剩余部分 »

　　ipchains是以前Linux系统中最常用的防火墙系统，iptables的前身就是ipchains，现在ipchains多被iptables取代。不过现在有些Linux系统依然使用ipchains作为防火墙，所以首先，我们还是有必要了解ipchains和iptables的不同之处。 

ipchains 和 iptables 在语法上的主要的差异，注意如下∶

1. 在 ipchains 中，诸如 input 链，是使用小写的 chains 名，在 iptables 中，要改用大写 INPUT。

2. 在 iptables 中，要指定规则是欲作用在那一个规则表上(使用 -t 来指定，如 -t nat)，若不指定，则预设是作用在 filter 这个表。

3. 在 ipchains 中， -i 是指介面(interface)，但在 iptables 中，-i 则是指进入的方向，且多了 -o，代表出去的方向。 阅读这篇文章的剩余部分 »

我们都知道Linux的安全性比较高，但是我们也得明白，Internet是不安全的。因此，即使我们使用了较安全的Linux系统，依然要设一堵墙。尽管建立一个防火墙无法保证系统的绝对安全，但却非常必要。几乎所有的Linux发行版都会提供netfilter/iptables软件包，这是一个很优秀的防火墙系统，而且它完全免费。由于它的功能强大，使用灵活，又可以对流入和流出的信息进行细化控制，因此成为了众多Linux系统防火墙的首选。另外，netfilter/iptables对系统资源占用很低，这使得它可以在一台低配置机器上很好地运行。现在本文就简单介绍一下如何使用netfilter/iptables构建一个Linux防火墙。另外，本文还会提及netfilter/iptables在Internet连接共享中的应用。

netfilter/iptabels软件包被认为是Linux中实现包过滤功能的第四代应用程序。netfilter/iptables包含在2.4以后的内核中，它可以实现防火墙、NAT和数据包分割等功能。netfilter工作在内核内部，而iptables则是让用户定义规则集的表结构。netfilter/iptables从ipchains和ipwadfm（IP防火墙管理）演化而来，功能更加强大。与从多教程一样，本文也将netfilter/iptabels统一称为iptables。 阅读这篇文章的剩余部分 »

    SYN和DDOS攻击是主机服务商们经常会遭遇的攻击方式，虽然可以通过更换IP，查找被攻击的站点来避开攻击，但是这样做的话中断服务的时间会比较长，比较彻底的解决方法就是添置硬件防火墙。但是，硬件防火墙的价格比较昂贵。在没有充分预算的前提下，我们可以先考虑利用Linux 系统本身提供的防火墙功能来防御这种攻击。

    1. 抵御SYN

    SYN攻击是利用TCP/IP协议3次握手的原理，发送大量的建立连接的网络包，但不实际建立连接，最终导致被攻击服务器的网络队列被占满，无法被正常用户访问。

    Linux内核提供了若干SYN相关的配置，用命令：

    sysctl -a | grep syn

    看到：

    net.ipv4.tcp_max_syn_backlog = 1024
    net.ipv4.tcp_syncookies = 0
    net.ipv4.tcp_synack_retries = 5
    net.ipv4.tcp_syn_retries = 5

    tcp_max_syn_backlog是SYN队列的长度，tcp_syncookies是一个开关，是否打开SYN Cookie功能，该功能可以防止部分SYN攻击。tcp_synack_retries和tcp_syn_retries定义SYN的重试次数。 阅读这篇文章的剩余部分 »

　　服务器的密码出于安全的考虑一般都会设置的比较复杂，而类unix的系统设置好以后，可以长期都不需要登陆管理，这样在需要管理的时候，可能会把Root的密码遗忘或丢失．这个时候，就需要一定的步骤来进行密码更改操作．本文介绍了几种常用的类Unix系统的密码恢复步骤：

　　（一）Freebsd 系统密码破解

　　1.开机进入引导菜单

　　2.选择第4项（按4）进入单用户模式

　　3.进入之后输入下列命令

　　root@#mount -a

　　root@#fsck -y

　　root@#passwd（修改密码命令）

　　root@#root（要恢复密码的用户名）

　　Enter new unix password：

　　root@#init 6 （重启） 阅读这篇文章的剩余部分 »

　　从动网的几个漏洞到独孤剑客的网站被黑，脚本攻击闹的沸沸扬扬，可见它在网络攻击中终于显现出他的重要性了。由于程序开发人员无意或有意的不小心，用Perl、PHP、ASP等编写的脚本就会出现这样或那样的错误，轻则导致泄露路径，重则导致整个服务器被攻陷甚至蔓延到整个网络。难道我们就非得把所用的脚本读N遍，认真的分析？我相信不是人人都有这等功力的，就算有这样的功力也不会枉费那么多的时间和精力。

 　　本文全面细致的介绍了在Linux下加固apache+php+mysql的方法，通过仔细阅读本文,你可以快速掌握安全配置apache,php,和mysql的方方面面，还有chroot这个前沿而强悍的技术，依靠这些知识，完全可以让你的WWW服务器在层出不穷的SQL注射(SQL Injection)和CSS跨站脚本攻击(Cross Site Script)中屹立不倒!

　　针对Unix like主机给大家提出两个方案，一个就是给apache装上mod-security模块，另外一个办法就是把LAMP放置在一个chroot jail环境中。当然，最强的还是把两个方案结合在一起了！：） 阅读这篇文章的剩余部分 »

PHP是经常使用的脚本语言，特别适合于Web开发。 目前网站有大多数即是基于Linux+apache+php+mysql，称为LAMP。

　　.htaccess文件是Apache服务器上的一个设置文件。它是一个文本文件，可以使用任何文本编辑器进行编写。.htaccess文件提供了针对目录改变配置的方法，即通过在一个特定的文档目录中放置一个包含一个或多个指令的文件（.htaccess文件），以作用于此目录及其所有子目录。.htaccess的功能包括设置网页密码、设置发生错误时出现的文件、改变首页的文件名（如index.html）、禁止读取文件名、重新导向文件、加上MIME类别、禁止列目录下的文件等。

但是目前得知，PHP在处理.htaccess文件中的配置时存在漏洞，本地攻击者可能利用此漏洞绕过PHP的某些安全限制。 阅读这篇文章的剩余部分 »