linux系统安全防护大体上分成4个关键部分：

1.文件系统的保护。linux系统就是文件系统，其中的所有设备都是通过文件进行操作和管理的。

2.用户管理安全。linux是多任务，多用户的操作系统，用户的管理直接关系到整个系统的安全。

3.进程保护。所有的攻击行为都是通过进程实现。

4.日志管理。linux提供了丰富的日志系统，可以清晰的了解系统的运行状况和入侵的行为。

一)使用tripwire在linux系统中监控属性保证文件系统的安全完整。

下载tripwire 网址：http://download.chinaunix.net/download.php?id=35329&ResourceID=10643  tripwire-2.4.2-src.tar.bz2对于2.3.1的版本本身配置的时候会出现许多问题，需要打补丁等一系列问题，所以采用最新版本

[root@localhost ~]# tar -jxvf tripwire-2.4.2-src.tar.bz2

[root@localhost ~]#mv tripwire-2.4.2-src  /opt/

[root@localhost ~]# cd /opt/

[root@localhost ~]# cd tripwire-2.4.2-src/

[root@localhost ~]# ./configure

[root@localhost ~]# make

[root@localhost ~]# cd install

[root@localhost ~]# vim install.cfg

#TWMAILMETHOD=SENDMAIL

TWMAILMETHOD=SMTP

TWSMTPHOST="mail.teksundigital.com"

TWSMTPPORT=25

[root@localhost ~]# make install

[root@localhost ~]# cat install.sh>install

[root@localhost ~]# chmod a+x install

[root@localhost ~]# tripwire -init

生成初始的基准数据库

[root@localhost ~]# tripwire -check

检查变动。

具体的一些使用方法可以上网查询一些资料，在安装的时候注意几点，在做make install的时候不要在那个目录下而是在其他地方，当中必须键入accept而不能简单的y或n，要求输入密码时是不显示的但还是要输入。

[root@localhost ~]# tripwire --init

Please enter your local passphrase:

Parsing policy file: /usr/local/etc/tw.pol

Generating the database...

*** Processing Unix File System ***

The object: "/misc" is on a different file system...ignoring.

The object: "/net" is on a different file system...ignoring.

The object: "/sys" is on a different file system...ignoring.

二)对于进程的安全保护。

linux系统提供了who，w，ps，top等查看进程的调用。

who 参看当前在线上用户的情况。

w   who命令的增强版，还可以显示用户正在做哪个命令。

ps  强大的进程查看命令

top 动态的查看进程命令，还可以看cpu等信息。

通过一些进程文件来管理进程。 ls   /proc

三)用户账户管理的安全。

通过以下几个方面考虑。

密码复杂度，不能规则，长度要求，定期修改，加密保存密码，账户锁机制。

可以使用john the   ripper  测试密码的安全。

linux系统本身通过访问权限的设置就对账号文件的安全考虑的比较完全。

系统的个人环境都是从/etc/skel下文件复制。

四)日志的安全管理。

linux系统的4类主要日志：

1.连接时间日志

管理员通过/va/log/wtmp  和 /var/run/utmp可以看到某人在何时登陆系统

2.进程统计日志

目的是为了系统中的基本服务提供命令来使用统计。pacct或acct。

3.错误日志

/var/log/message值得注意的事件。

4.使用程序日志。

su命令允许用户获得另一个用户的权限，安全很重要，所以sulog，sudolog；

apache服务有access_log和error_log，sendmail有logmail等。

wtmp和utmp是二进制文件不能直接读取。

who可以看到当前用户登录，使用who  /var/log/wtmp可以查看以前的记录。

users打印当前登录的用户，可重复。

last可以显示从文件wtmp创建以来登录过的用户。可以last+用户名筛选。

ac 当前登录用户连接时间。

lastlog检查特定的用户上次登录的时间，格式化输出内容。