概述
UNIX的系統安全和系統管理員有很大的關系。安裝越多的服務，越容易導致系統的安全漏洞。一些其它的操作系統，如：SCO，實際上更容易有安全漏洞，因為，為了更加“用戶友好”，這些操作系統集成了更多的服務。
Linux本身是穩定和安全的，但是它可以以不同的形式發行。在安裝Linux時候，最好先最小化安裝，然后再加上必要的軟件。這樣可以減小某個程序出現安全隱患的可能。如果管理得好，Linux可以是最安全的系統。
如果在系統中有隱患存在，在網絡上成千上萬的自愿者就會指出隱患，并給出修正。大的公司，比如：商業軟件公司，只能把有限的人力用于解決這方面的問題。把問題都公開出來，對它們來說可能沒有什么好處，而且通過正規的發行和升級渠道，一個小小修正到用戶手中都要很長的時間。也許這些修正會以補丁的方式出現，但是商業軟件的系統管理員都傾向于使用現成的軟件，而且自以為這些軟件都是很專業的。
在編程的時候隨時可能發生錯誤，但是，當有上萬個人在看程序的源代碼，這些錯誤就能很快地被發現。現在全球共有一千二百萬的Linux拷貝，想想看，這是一種什么情況。如果系統有安全漏洞，很容易就被某個人發現了。
這一章將討論一些保護服務器安全的一般方法。我們假定這臺服務器是連在Internet上的。在通常情況下，有些服務，如：NFS、Samba、Imap和Pop只是供內部用戶使用的。當然，也可以把這臺服務器和外界隔離，這樣就可以簡單地避免外部的入侵。但是這沒有什么實際意義，我們下面要介紹的是如何避免來自外部的和內部的攻擊。
1. 基礎知識
盡量少讓外人知道有關系統的信息。有時候簡單地用finger程序就能知道不少系統信息，比如：有多少用戶、管理員什么時候登錄、什么時候工作、他們是誰、誰現在在用這個系統以及其它有利于黑客猜出用戶口令的信息。你可以用一個強大的finger daemon和tcpd限制可以連接到服務器的用戶以及他們可以知道的有關系統的信息。但是，最好還是把finger軟件包卸載掉。
日志是了解Linux系統運行情況的唯一方法。當然，這是以黑客沒有破壞日志文件為前提的，但是這種情況很少見。把所有的連接都記錄下來，可以發現攻擊者和他們試圖進行的攻擊。如果你看不懂日志，可以向別人請教，一定要學會看懂它們。向別人請教你不懂的東西這是很正常的，不要不好意思。我自己就是從不斷地犯錯誤和改正錯誤中學到不少知識的。因為驕傲自大不能學到東西和本身的資質差是兩碼事。看下面的《31. 創建所有重要的日志文件的硬拷貝》，你可以學到怎樣管理日志文件的一些有用的知識。
限制系統中SUID的程序。SUID的程序是以root（UNIX世界中的上帝）權限運行的程序。有時候這是必須的，但是在多數情況下這沒有必要。因為SUID程序可以做任何root可以做的事，這樣有更多的機會出現安全隱患。也許，它們有時候會帶來安全隱患，有時候不會，但是黑客可以利用SUID的程序來破壞系統的安全。這就是一種叫exploit的程序的由來。exploit程序是一種利用SUID程序的程序或腳本，具有很大的破壞力，可以用來得到root的shell、獲取password文件、讀其他人的郵件、刪除文件，等等。這方面的知識可以參考《34. 帶“s”位的程序》。
2. BIOS安全，設定引導口令
禁止從軟盤啟動，并且給BIOS加上密碼。每次啟動的時候都手工檢查一下BIOS，這樣可以提高系統的安全性。禁止從軟盤啟動，可以阻止別人用特殊的軟盤啟動你的計算機；給BIOS加上密碼，可以防止有人改變BIOS的參數，比如：允許從硬盤啟動或不用輸入口令就可以引導計算機。
3. 安全策略
有一點很重要而且必須指出的是：如果你不知道要保護什么，那么更本沒有辦法保證系統的安全。所以必須要有一個安全策略，基于這樣的一個策略才可以決定哪些東西允許別人訪問，哪些不允許。如何制定一個安全策略完全依賴于你對于安全的定義。下面的這些問題提供一些一般的指導方針：
* 你怎么定義保密的和敏感的信息？
* 你想重點防范哪些人？
* 遠程用戶有必要訪問你的系統嗎？
* 系統中有保密的或敏感的信息嗎？
* 如果這些信息被泄露給你的競爭者和外面的人有什么后果？
* 口令和加密能夠提供足夠的保護嗎？
* 你想訪問Internet嗎？
* 你允許系統在Internet上有多大的訪問量？
* 如果發現系統被黑客入侵了，下一步該怎么做？
這個列表很短，真正的安全策略可能包含比這多得多的內容。可能你要做的第一件是：評估一下你偏執的程度。任何一個安全策略多少都有一定程度的偏執：確定到底在多大程度上相信別人，包括內部的人和外部的人。安全策略必須在允許用戶合理地使用可以完成工作所必須的信息和完全禁止用戶使用信息之間找到平衡點。這個平衡點就是由系統策略決定的。