通过系统的学习了Linux和网络安全的一些知识，对Linux的安全防护有了一点点认识。对于网络技术，不管是攻击者还是管理者的，我们都要系统的学习，cos we want to be a real meaning hacker，所谓知己知彼，百战不殆吗！
　　1、安装完Linux系统之后默认的最小口令长度为5。这样的设置密码强度不够，可以通过编辑/etc/login.defs文件来增加对密码长度的限定，最好能够大于8位。找到PASS_MIN_LEN字段将5更改为9。在/etc/login.defs中还可以设置密码过期时间，具体内容如下：
　　# Password aging controls:
　　#
　　# PASS_MAX_DAYS Maximum number of days a password may be used.
　　# PASS_MIN_DAYS Minimum number of days allowed between password changes.
　　# PASS_MIN_LEN Minimum acceptable password length.
　　# PASS_WARN_AGE Number of days warning given before a password expires.
　　#
　　PASS_MAX_DAYS 99999
　　PASS_MIN_DAYS 0
　　PASS_MIN_LEN 5 //更改密码长度
　　PASS_WARN_AGE 7
　　
　　2、由于root帐号的身份极为特殊，系统认为root所做出的任何决定都是正确的，因此除非必要情况，否则不要用root进行操作。另外要注意一点的是不要在别的计算机用root登陆自己的电脑！！
　　
　　3、/etc/exports文件（默认为空），这个文件是用于通过NFS共享文件，如果非得这样做（安全隐患不推荐），一定要对这个文件进行配置，使得访问尽可能的严格。例如，不用通配符，不允许对根目录有写权限，最好是只读权限。例如编辑/etc/exports文件加入：
　　/directory1_to_export user1.trustdomain1.com(ro,root_squash)
　　/directory2_to_export user2.trustdomain2.com(ro,root_squash)
　　共享目录 允许访问共享目录的计算机 只读（read only） root_squash表示不能对根目录进行写操作
　　作完设置后通过运行/usr/sbin/exportfs -a使改变生效。因为NFS是一个比较大的安全隐患，攻击者可以通过远程使用showmount命令来查询NFS服务器。一个好的防火墙策略可以保证系统的NFS服务器（TCP/UDP 2049）不被必须用户以外的其他人访问。可以用AFS代替NFS，它解决了NFS的客户端信任问题。
　　
　　4、RedHat Linux有了一个很好的安全工具TCP封装器（TCP_WRAPPERS)，但是系统默认允许所有的服务请求，通过简单的设置TCP_WRAPPERS可以初步保护服务器的安全，使其避免遭受外部的攻击，我们通过编辑/etc/hosts.deny和/etc/hosts.allow两个文件来实现对TCP_WRAPPERS的设置：
　　# hosts.deny This file describes the names of the hosts which are
　　# *not* allowed to use the local INET services, as decided
　　# by the '/usr/sbin/tcpd' server.
　　#
　　# The portmap line is redundant, but it is left to remind you that
　　# the new secure portmap uses hosts.deny and hosts.allow. In particular
　　# you should know that NFS uses portmap!
　　all:all@all,paranoid //在这里首先拒绝所有的访问，除非在/etc/hosts.allow中有明确的允许
　　==================================================================================================
　　# hosts.allow This file describes the names of the hosts which are
　　# allowed to use the local INET services, as decided
　　# by the '/usr/sbin/tcpd' server.
　　sshd: 192.168.1.10 host.trustdomain.com //只有192.168.1.10这台名为host.trustdomain.com的计算机才能够通过SSH（Security Shell）连接
　　
　　5、hacking的第一步往往是先ping对方，起码通过这个简单的方法可以初步的判断目标是否活动。因此需要配置服务器不对ping作出反映。通过下面的指令来完成这个目的，如果需要系统一启动就自动运行，那就需要把这行指令加入/etc/rc.d/rc.local中去。
　　[root@mytheory root]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all //停止对ping的响应
　　[root@mytheory root]# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all //恢复对ping的响应
　　这里我们注意到/proc/sys/net/ipv4里面的内容和安全相关，没事儿多研究一下
　　
　　6、如果了解hacking的朋友一定知道可以通过旗标（banners）来获取目标系统的信息，例如通过telnet对方的25端口系统返回邮件服务器的版本，系统时间等敏感信息；80端口可以get到WEB服务器的相关信息，如果是IIS，呵呵：）所以，很多系统管理员通过修改旗标来防止敏感信息的泄露，这里仅仅是针对Linux的一种方法。我们通过
　　编辑/etc/inetd.conf文件，例如修改Telnet服务，禁止系统返回任何系统信息，只显示登陆信息
　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h //参数-h可以让守护进程不显示任何系统信息