正如沒有牢不可破的盾一樣，沒有任何的系統(tǒng)是絕對安全的。同樣在安全領(lǐng)域中，也沒有誰可以說自己是高手。系統(tǒng)的安全是靠很多前輩的汗水和智慧來換取的。系統(tǒng)的安全涉及方方面面。無論是銀行還是電話系統(tǒng)，無論是MS Windows還是大眾認(rèn)為保險的Unix系統(tǒng)，無一例外都有安全問題。安全唯一的重點(diǎn)是系統(tǒng)有多少人在使用。系統(tǒng)的使用者越多，安全問題就越關(guān)鍵，其安全漏洞發(fā)現(xiàn)的速度也就需要越快。另外，系統(tǒng)的可伸縮性越好，支持的應(yīng)用服務(wù)越多，安全問題也就越多。在MS Windows系統(tǒng)下會用鼠標(biāo)的人參考網(wǎng)上的資料就可以設(shè)置系統(tǒng)的安全或者破壞系統(tǒng)。安全設(shè)置是一把雙刃劍，一邊是可以撕破不設(shè)防的系統(tǒng)、毀掉數(shù)據(jù)，一邊是阻擋非法的入侵、保護(hù)數(shù)據(jù)。這個邊界就是Nuker和Hacker的區(qū)別。
Linux是開放源碼的系統(tǒng)，安全可以從代碼級加強(qiáng)，但是對于剛接觸Linux系統(tǒng)的人來講，這就太復(fù)雜了。企業(yè)要想把Linux作為桌面操作系統(tǒng)來使用，設(shè)置就一定和服務(wù)器不同。服務(wù)器可能是使用在Internet上，不論是其防火墻、代理服務(wù)器還是其他應(yīng)用，安全設(shè)置著重在關(guān)鍵應(yīng)用上，而桌面的應(yīng)用重點(diǎn)就不一樣了。
針對市面上常見的Mandrake、Red Hat、SuSE、Debian，安全設(shè)置的方式不盡相同，但是方法是一致的。基于中國市場用戶很多的Red Hat為例，下面將以200～300人規(guī)模的公司使用Red Hat Linux為桌面操作系統(tǒng)為環(huán)境，一步步地設(shè)置系統(tǒng)安全，其中也會提及周邊資源的配置。
硬件的安全
機(jī)箱需要上鎖。任何系統(tǒng)一旦在物理上有所接觸，安全性至少降低一半。因?yàn)槿魏稳硕伎梢园延脖P卸下來，到其它的系統(tǒng)上讀取數(shù)據(jù)，破壞安全防護(hù)。因此桌面機(jī)和服務(wù)器一樣，要盡可能的避免物理接觸。
BIOS的安全
雖然有很多種工具可以讀取BIOS的密碼，并且也有很多的BIOS有通用密碼，但是設(shè)置BIOS的密碼保護(hù)是必要的步驟。使用的密碼盡量符合8位以上，數(shù)字、符號和字母的大小寫組合，并且不要和任何系統(tǒng)密碼相同。如果擔(dān)心被竊取后導(dǎo)致全部機(jī)器降低安全性，可以考慮加入個性化密碼位。比如：用該機(jī)器的人的姓名縮寫或機(jī)器的唯一編號組合前面的密碼，就可以成為較為好記憶，且滿足復(fù)雜性和唯一性要求的密碼。
啟動設(shè)置
一旦系統(tǒng)安裝完畢，除了硬盤啟動外，軟盤、光盤、甚至是USB閃存的啟動都可能帶來安全的問題。因此需要禁止BIOS中除硬盤以外的任何設(shè)備的啟動。
系統(tǒng)分區(qū)
目前的硬盤都可以滿足Linux對容量的要求。以20～40GB硬盤為例，不需要額外的分區(qū)方法，使用Red Hat的自動分區(qū)可以滿足要求。具體分區(qū)方法為40MB的啟動分區(qū)（/boot），2倍于內(nèi)存的交換分區(qū)（swap），剩余為根分區(qū)（/）。不將/home目錄和/var目錄分出來的原因是：因?yàn)槭菃斡脩羰褂茫到y(tǒng)分區(qū)過多會增加管理復(fù)雜度，比如/var分區(qū)滿導(dǎo)致系統(tǒng)異常。簡單分區(qū)可以滿足用戶使用。
安裝
請避免完全安裝，即Everything選項。前面提到過系統(tǒng)提供的服務(wù)越多，漏洞越多，安全越差。安裝盡可能使用非交互式安裝，比如制作安裝軟盤、通過NFS或安裝腳本。用戶直接參與的越少，可管理性越強(qiáng)。主機(jī)命名使用統(tǒng)一規(guī)則，比如公司的E-mail地址和分機(jī)編號，這樣便于排錯和定位。IP地址也盡量使用靜態(tài)地址或使用MAC地址綁定的DHCP，這樣任何的異常都可以很快排除符合要求的機(jī)器。注意使用ext3文件系統(tǒng)，可以減少因?yàn)榈綦妼?dǎo)致的硬盤丟失數(shù)據(jù)而無法啟動。
賬號和中心控制
進(jìn)行賬號和中心控制使用NIS也許是不錯，但也是增加管理復(fù)雜度的選擇。如果使用環(huán)境是單一用戶登錄，文件由服務(wù)器共享，那么不使用NIS而使用單一用戶本機(jī)登錄也是一個好選擇。當(dāng)然，現(xiàn)在不僅僅是NIS一種中心賬號管理方式可以選擇。本機(jī)的賬號需要使用用戶的公司E-mail地址為登錄名，當(dāng)然還要有管理員的賬號，但是不要將本地賬號加入本地管理員組。有多個本機(jī)root權(quán)限賬號本身就是危險的行為。
啟動加載程序
啟動加載程序盡量使用GRUB而不使用LILO。原因是：雖然它們都可以加入啟動口令，但是LILO在配置文件中是使用明文口令，而GRUB是使用md5算法加密的。加密碼保護(hù)后可以防止使用被定制的內(nèi)核來啟動系統(tǒng)，并且在沒有其他操作系統(tǒng)的情況下，將啟動等待時間設(shè)為0。LILO的配置在/etc/lilo.conf文件中，GRUB的配置文件

在/boot/grub/grub.conf中：
/etc/lilo.conf
image=/boot/2.4.18-vmlinuz
label=Linux
read-only
# 口令為明文
password=Clear-TextPassword
# 加入保護(hù)
restricted
/boot/grub/grub.conf
# 修改啟動時間為0，即直接啟動
timeout 0
# 可以使用grub-md5-crypt來生--md5后的加密口令
password --md5 $1$LS8eV/$mdN1bcyLrIZGXfM7CkBvU1