Linux系統(tǒng)相對于windows來說，安全性能和良好的網絡功能使得在互聯(lián)網中大部分網站服務器都選擇了Linux作為主操作系統(tǒng)。但是由于此操作系統(tǒng)是一個多用戶操作系統(tǒng)，使得在黑客攻擊時為了隱藏自己，往往會選擇Linux為首先攻擊對象。那么作為Linux用戶，應該如何有效地預防黑客攻擊呢？

1、禁止使用ping命令

ping命令是計算機之間進行相互檢測線路完好的一個應用程序，計算機間交流數(shù)據(jù)的傳輸沒有經過任何的加密處理，因此我們在用ping命令來檢測某一個服務器時，可能在因特網上存在某個非法分子，通過專門的黑客攻擊程序把在網絡線路上傳輸?shù)男畔⒅型靖`取，并利用偷盜過來的信息對指定的服務器或者系統(tǒng)進行黑客攻擊，為此我們有必要在Linux系統(tǒng)中禁止使用Linux命令。在Linux里，如果要想使ping沒反應也就是用來忽略icmp包，因此我們可以在Linux的命令行中輸入如下命令：echo 1 /proc/sys/net/ipv4/icmp_echo_igore_all ;如果想恢復使用ping命令，就可以輸入echo 0 /proc/sys/net/ipv4/icmp_echo_igore_all命令。

2、注意對系統(tǒng)及時備份

為了防止系統(tǒng)在使用的過程中發(fā)生以外情況而難以正常運行，我們應該對Linux完好的系統(tǒng)進行備份，最好是在一完成Linux系統(tǒng)的安裝任務后就對整個系統(tǒng)進行備份，以后可以根據(jù)這個備份來驗證系統(tǒng)的完整性，這樣就可以發(fā)現(xiàn)系統(tǒng)文件是否被非法修改過。如果發(fā)生系統(tǒng)文件已經被破壞的情況，也可以使用系統(tǒng)備份來恢復到正常的狀態(tài)。備份信息時，我們可以把完好的系統(tǒng)信息備份在CD-ROM光盤上，以后可以定期將系統(tǒng)與光盤內容進行比較以驗證系統(tǒng)的完整性是否遭到破壞。如果對安全級別的要求特別高，那么可以將光盤設置為可啟動的并且將驗證工作作為系統(tǒng)啟動過程的一部分。這樣只要可以通過光盤啟動，就說明系統(tǒng)尚未被破壞過。

3、改進登錄服務器

將系統(tǒng)的登錄服務器移到一個單獨的機器中會增加系統(tǒng)的安全級別，使用一個更安全的登錄服務器來取代Linux自身的登錄工具也可以進一步提高安全。在大的Linux網絡中，最好使用一個單獨的登錄服務器用于syslog服務。它必劇情網須是一個能夠滿足所有系統(tǒng)登錄需求并且擁有足夠的磁盤空間的服務器系統(tǒng)，在這個系統(tǒng)上應該沒有其它的服務運行。更安全的登錄服務器會大大削弱黑客攻擊者透過登錄系統(tǒng)竄改日志文件的能力。

4、取消root命令歷史記錄

在Linux下，系統(tǒng)會自動記錄用戶輸入過的命令，而root用戶發(fā)出的命令往往具有敏感的信息，為了保證安全性，一般應該不記錄或者少記錄root的命令歷史記錄。為了設置系統(tǒng)不記錄每個人執(zhí)行過的命令，我們可以在Linux的命令行下，首先用cd命令進入到/etc命令，然后用編輯命令來打開該目錄下面的profile文件，并在其中輸入如下內容：

HISTFILESIZE=0

HISTSIZE=0

當然，我們也可以直接在命令行中輸入如下命令：ln -s /dev/null ~/.bash_history 。

5、為關鍵分區(qū)建立只讀屬性

Linux的文件系統(tǒng)可以分成幾個主要的分區(qū)，每個分區(qū)分別進行不同的配置和安裝，一般情況下至少要建立/、/usr/local、/var和/home等分區(qū)。/usr可以安裝成只讀并且可以被認為是不可修改的。如果/usr中有任何文件發(fā)生了改變，那么系統(tǒng)將立即發(fā)出安全報警。當然這不包括用戶自己改變/usr中的內容。/lib、/boot和/sbin的安裝和設置也一樣。在安裝時應該盡量將它們設置為只讀，并且對它們的文件、目錄和屬性進行的任何修改都會導致系統(tǒng)報警。

當然將所有主要的分區(qū)都設置為只讀是不可能的,有的分區(qū)如/var等，其自身的性質就決定了不能將它們設置為只讀，但應該不允許它具有執(zhí)行權限。

6、殺掉黑客攻擊者的所有進程

假設我們從系統(tǒng)的日志文件中發(fā)現(xiàn)了一個用戶從我們未知的主機登錄，而且我們確定該用戶在這臺主機上沒有相應的帳號，這表明此時我們正在受到攻擊。為了保證系統(tǒng)的安全被進一步破壞，我們應該馬上鎖住指定的帳號，如果攻擊者已經登錄到指定的系統(tǒng)，我們應該馬上斷開主機與網絡的物理連接。如有可能，我們還要進一步查看此用戶的歷史記錄，再仔細查看一下其他用戶是否也已經被假冒，攻擊者是否擁有有限權限;最后應該殺掉此用戶的所有進程，并把此主機的IP地址掩碼加入到文件hosts.deny中。