楼主邀你扫码
参与上面帖子讨论
发表于：02-11-24 03:59
没想到你的爱好很多啊，认识你真的很高兴，有机会也教教我啊，好吗。
　　　Sindy说，她为她爱的人痴心不悔　　　
　　　Tony说，他却为爱他的人整夜流泪　　　
　　　如何才能不心碎　　　
　　　如何才会惟美　　　
　　　Tony，你还爱着Sindy吗　 　 　
发表于：02-11-25 00:01
呵呵~~~~~~~~~
楼上的同志，没有问题！
　我喜欢看到你的笑容，　
　虽然现在来说会是一种奢求，　
　但抱歉的是，　
　我不会安慰女孩子，　
　我想告诉你的是:　
　我只是想在你难过的时候陪着你!　
　　OICQ:　
你尚未登录或可能已退出账号:(请先或者
【敬请阅读】
亲爱的网友们，、有更新哦！
请您务必审慎阅读、充分理解各条款内容，特别是免除或者限制责任的条款、法律适用和争议解决条款。免除或者限制责任将以粗体标识，您应重点阅读。
【特别提示】
如您继续使用我们的服务，表示您已充分阅读、理解并接受《西祠站规》、《西祠胡同用户隐私保护政策》的全部内容。阅读《西祠站规》、《西祠胡同用户隐私保护政策》的过程中，如果您有任何疑问，可向平台客服咨询。如您不同意《西祠站规》、《西祠胡同用户隐私保护政策》的任何条款，可立即停止使用服务。
南京西祠信息技术股份有限公司
我已阅读并同意、中的全部内容！如果服务器限制在线观看电视剧有什么办法可以在线观看
如果服务器限制在线观看电视剧有什么办法可以在线观看
09-09-09 &匿名提问
给你几个提高下载速度的解决方案: 尽量避开上网高峰期（中午11~13，晚上17~23点）下载。&/p&优化配置旋风参数：在下载软件配置项里，磁盘缓存不要太大，太大将占用更多的物理内存，也将影响系统的执行速度，建议内存512M以下的用户设置低于4096K。线程也要全开。 &br&任务数不要开太多，最好低于3个同时进行的任务。&/p&适时利用“暂停”-“开始”按钮：有时候，任务搜索到的资源超过100个，但是速度却降低了，这个时候，你可以先暂停任务，再开始，让服务器重新搜索资源，这时速度明显上升。此方法95%有效。 &br&减少下载的同时打开的IE窗口数量：对于TW，IE7，IE8多窗口浏览器用户，不要一次打开太多窗口，内存占用上升将影响下载任务的读写。 &br&关闭cidaemon.exe进程：这是一个索引服务，为了让你更加快速的查找文件。这个系统进程很占用系统内存，启动了这个服务是会在电脑空闲的时候建立索引的，所以机器会变慢！强制结束这个进程，过一会还会自动启动。 你可以通过以下的途径取消该服务：打开“我的电脑”-按“搜索”-“改变首选项”-“制作索引服务”-选“不……” ，最后按确定就行了。&/p&减小下载时其他软件的运行。其他软件运行的时候占用一定的资源，使得windows自动降低下载工具的资源数（例如CPU处理速度，硬盘端口带宽等等）如果系统运行速度很慢，有可能存在着病毒，病毒很多都会自我复制，占用大量的系统资源，自然速度变慢；&/p&系统盘空间不够：当物理内存大小不够时，往往windows要在系统盘内划分出一段区域用作虚拟内存。虚拟内存小了，自然变慢；&/p&磁盘碎片过多：系统运行时就要四处搜寻碎片，拼凑在一起，这样加大搜寻范围，减慢了运行速度。故应该定时运行磁盘碎片整理程序。但是运行磁盘碎片整理程序时不要让它停止。NTFS磁盘系统不必整理碎片。&/p&资源数不代表下载速度。资源速度15以上那么下载速度就和资源数无关了。资源再多也是那个速度。&/p&使用下载工具时，限制上传速度（推荐：1~5KB/s）可大幅度提高下载速度。&/p&宽带猫等网络设备记住及时散热，温度过高导致内部电路电阻过大，自然下载速度慢。&/p&开始——运行——gpedit.msc——打开计算机配置中的“管理模板”——打开“网络”——点击“Qos数据报计划程序”（别打开）——双击右面的限制可保留带宽——“已启用”——把下面的数字改为0使用QQ旋风的XP系统优化工具修改TCP/IP连接数为256或者以上等
请登录后再发表评论!
WindowsXP操作系统提速攻略　　一、停止跟随系统启动的多余程序1、 点“开始”“运行”输入：msconfig 点“确定”图１　　2、“在系统配置实用程序”窗口点“启动”图２3、点“全部禁用”点“应用（A）”点“确定”　　注：所有启动项都可以停掉，当你需要的时候在“开始”“程序”或者“控制面板”还可以启动的。　　4、点“重新启动(R)”　　二、禁止多余的WindowsXP服务　　点“开始”“运行”输入：Services.msc点“确定”。　　逐个检查WindowsXP服务项。　　图３　　选择服务项目，右键点“属性”。启动类型分为“自动”、“手动”、“已禁用”，可以分别对系统默认服务项目进行必要的更改。　　图4　　1、Alerter：通知有关系统管理级警报。可以选“已禁用”。　　2、Application Layer Gateway Service： 为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。建议选“已禁用”。　　３、Automatic Updates：允许下载并安装 Windows 更新。建议选“已禁用”。　　４、ClipBook：启用“剪贴簿查看器”储存信息并与远程计算机共享。选“已禁用”　　５、Error Reporting Service：服务和应用程序在非标准环境下运行时允许错误报告。选“已禁用”　　６、Fast User Switching Compatibility：为在多用户下需要协助的应用程序提供管理。选“已禁用”　　７、Human Interface Device Access：启用对智能界面设备 (HID)的通用输入访问，它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。选“已禁用”　　８、IMAPI CD-Burning COM Service：用 Image Mastering Applications Programming Interface (IMAPI) 管理 CD 录制。没有安装刻录机的用户选“已禁用”　　９、Indexing Service：本地和远程计算机上文件的索引内容和属性；通过灵活查询语言提供文件快速访问。选“已禁用”　　１０、Messenger：传输客户端和服务器之间的 NET SEND 和 Alerter 服务消息。选“已禁用”　　１１、NetMeeting Remote Desktop Sharing：使授权用户能够通过使用 NetMeeting 跨企业 intranet 远程访问此计算机。选“已禁用”　　１２、Network DDE：为在同一台计算机或不同计算机上运行的程序提供动态数据交换 (DDE) 的网络传输和安全。可选“已禁用”　　１３、Network DDE DSDM：管理动态数据交换 (DDE) 网络共享。可选“已禁用”　　１４、Performance Logs and Alerts：收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。选“已禁用”　　１５、Print Spooler：将文件加载到内存中以便迟后打印。没安装打印机的用户可选“已禁用”　　１６、Remote Registry：使远程用户能修改此计算机上的注册表设置。坚决选“已禁用”　　１７、Routing and Remote Access：在局域网以及广域网环境中为企业提供路由服务。不上局域网者可选“已禁用”　　１８、Smart Card：管理此计算机对智能卡的取读访问。不使用智能卡者可选“已禁用”　　１９、SSDP Discovery Service：启动您家庭网络上的 UPnP 设备的发现。选“已禁用”　　２０、System Restore Service：执行系统还原功能。 要停止服务，请从“我的电脑”的属性中的系统还原选项卡关闭系统还原，建议保留。如果已经做ghost备份，可以禁用。　　２１、TCP/IP NetBIOS Helper：允许对“TCP/IP 上 NetBIOS (NetBT)”服务以及 NetBIOS 名称解析的支持。可选“已禁用”　　２２、Telnet：允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet 客户，包括基于 UNIX 和 Windows 的计算机。选“已禁用”　　２３、Terminal Services：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。选“已禁用”　　２４、Uninterruptible Power Supply：管理连接到计算机的不间断电源(UPS)。不使用不间断电源的用户选“已禁用”　　２５、Universal Plug and Play Device Host：为主持通用即插即用设备提供支持。不安装即插即用设备时可以选“已禁用”　　２６、Windows Image Acquisition (WIA)：为扫描仪和照相机提供图像捕获。不使用设备者可以选“已禁用”　　三、清除垃圾文件　　系统运行一段时间以后产生大量的垃圾文件，应该进行必要的清理，雅虎为我们提供了很好的服务。　　１、登陆：　　２、下载、安装雅虎助手。　　３、在雅虎助手主页选“IE修复”项下“高级修复”在“危险”和“未知”项前的方框打勾，点“立即修复”　　４、在雅虎助手主页选“清理痕迹”项下“Cookies清理”，把查出的危险项“立即清除”　　四、对系统进行优化　　1、在雅虎助手主页选“网络参数优化”，根据你的上网设备选择相应设置（宽带选择“ADSL”）点“立即设置”。　　2、“清理垃圾文件”点“立即删除”　　五取消计算机默认的保留20%带宽1、点“开始”“运行” gpedit.msc 2、在“本地计算机策略”窗口展开:计算机配置\管理模板\网络\QoS数据包计划程序3、在右侧“设置”窗口右键“限制可保留带宽”点“属性”4、在“限制可保留带宽属性”窗口设置选项下点“已启用”5、在“带宽限制%”栏选择要保留的带宽百分比，如果不保留就选0%，也可以选择很小的数值如1%等。6、如果禁用或者不配置此设置，系统均默认20%图６7、重新启动电脑。　　六、进行磁盘碎片整理:　　1、点“开始”\“所有程序”\“附件”\“系统工具”\“磁盘碎片整理程序”　　2、在磁盘碎片整理程序窗口点“操作”\“分析”　　3、查看分析报告。　　4、系统分析认为需要进行磁盘碎片整理时，按照提示点“碎片整理”否则结束工作，返回windows。　　七、使用技巧　　１、停止Windows启动的时候运行磁盘扫描程序。点 “开始”\“运行”，键入“chkntfs /t:0”点“确定”即可将磁盘扫描等待时间设置为0。　　说明：如果需要还原所有默认设置，使用“chkntfs /d c:”命令，即可还原所有chkntfs默认设置。　　 2、手动设置IP地址 。Windows XP系统在开机之后自动检测电脑是否联入局域网，会花很长时间。为“本地连接”指派一个IP地址就可以加速启动。做法是右键“本地连接”点“属性”在“常规”选项下双击“Internet协议(TCP/IP)”，选择“使用下面的IP地址”　　设置如下：　　IP地址：192。168。0。1　　子网掩码：255。255。255。0　　默认网关：192。168。0。1　　图6　　3、禁用暂时不用的设备 　　Windows XP系统启动时会自动检测USB接口造成系统启动缓慢，在使用USB设备后，及时的断开与主机的连接。 　　经过上述七种处理，你的电脑应该飞快了。
存储东西太多吧 删除不必要的还有东西都有磨损的哦
首先进入BIOS将软驱、光驱、内存等检测项全部跳过,把临时文件(Temp)、虚拟内存、软件安装、我的文档等等全部请出系统分区,让XP轻装上阵速度就上去了.右键点&我的电脑&-&属性&-&高级&里可更改虚拟内存、环境变量(临时文件)等的路径;同时禁用错误&报告&;右键点&我的文档&-&属性&可更改我的文档的路径;更改软件安装的默认路径:打开注册表编辑器&regedit&，找到“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion”，在右侧窗口中找到名为“ProgramFilesDir”的字符串，就是它记录了ProgramFiles的路径，双击把数值由“C:\ProgramFiles”修改为“X(自选):\ProgramFiles”，确定后退出注册表就可以了。其他如IE的临时文件夹等等都要改一改.附带的好处是重装系统原始数据不会丢失.查杀病毒、木马特别是一些流氓软件如3721、雅虎助手等等一定格杀勿论!可装可不装的软件如超级兔子、XX优化之类不要装!祝你顺利!
请登录后再发表评论!2014年3月 扩充话题大版内专家分月排行榜第三
本帖子已过去太久远了，不再提供回复功能。developerWorks 社区
学习能够使您的 Linux(TM) 系统更能抵御攻击的技术，包括保护引导过程和本地文件、为服务和后台进程加锁、强制实行配额和限制、启用强制访问控制（mandatory access control），以及识别那些在使用新软件更新安全设施时可能会引入的安全漏洞。本系列的
介绍了安全性的概念以及潜在的威胁。 列出了计划安全安装时需要谨记的事情。
(), IT 设计师, IBM Global Services
Mario Eberlein 是一名致力于商务应用程序的 IT 架构师。他于 1998 年 10 月加入 IBM，当前在 IBM Global Services
从事客户项目的工作。Mario 拥有科学学士学位，当前正在攻读 Business Administration 硕士学位，
并且具有 7 年的 Linux 经验。他是 EMEA Central Region 的 IBM Linux Security Workgroup 的领导。
您可以通过
与 Mario 联系。
(), 软件 IT 设计师, IBM Software Group, Business Process Optimization
Rene Auberger 是 IBM Software Group 的一名软件 IT 设计师。他主要与来自德国的公共部门（一个对 Linux 有浓厚兴趣的客户）
的客户一起工作。1996 年 Rene 开始从事 Linux 方面的工作，从那里起就以各种形式为了不同的目的而使用 Linux。他是
德国、奥地利和瑞典的 Software Group 的 Linux 专业领导，您可以通过
与 Rene 联系。
(), IT 设计师, IBM Software Group, Business Process Optimization
Wolfram Andreas Richter 是 IBM Software Group 的一名商务集成顾问和 IT 专家。自 1995 年加入 IBM 起，Wolfram 已经
涉足了很多学科领域，范围从应用程序开发到管理教育。他有 8 年的 Linux 经验，拥有德国斯图加特 University of
Cooperative Education 的科学学士学位，以及英国 Henley Management College 的 Business Administration 硕士学位。
在业余时间，Wolfram 喜欢进行运动、骑摩托车和外出。您可以通过
与 Wolfram 联系。
在此系列文章中，您将看到如何以一种安全的方法来计划、设计、安装、配置和维护运行 Linux 的系统。
除了安全概念的理论概述、安装问题、潜在的危险及其作用以外，您还将得到关于如何保护和加固基于 Linux
的系统的实用建议。我们将讨论最小化安装、加固 Linux 安装、授权/认证、本地和网络安全、攻击和如何防御攻击，
以及数据安全、病毒和恶意程序。
通过给出关于安全概念和潜在危险的一般理解让您开始上手。
引导您进行到下一个阶段，列出当计划
一个安全安装时需要紧记的事情，其中包括制定一个详细的安全行动计划。
在本部分，我们将讨论加固（hardening）Linux 的步骤。
要让加固行动更为成功，您应该：
在系统连接到网络之前进行加固，以避免攻击。
基于 最小权限原则（least-privilege model） 进行配置：系统应该为特定的功能只赋予其所需要的权限。类似地，
用户应该只拥有他们所需要的最小限度的权限。
在完成初步计划并准备和执行了最小化安装后（见第 2 部分），您需要进行一些配置步骤。这些步骤通常被称作是
加固 Linux。
保护引导过程保护服务和后台进程保护本地文件强制实行配额和限制启用强制访问控制更新和添加安全补丁保护引导过程
配置引导加载器（LILO 或者 Grub），以令其在引导时不被任何用户干涉；这样就防止了用户在引导提示时
向内核传递参数。除非您需要远程引导（比如在远程的数据中心），不然就配置它让它要求输入密码。这是
对有可能物理上接触机器的人的进一步防范；它可以防止某些事件的偶然攻击，比如使用参数
single 或者 init=/bin/sh 来获得 root shell，
等等。不过，要注意，稍加努力就可以避开此防范机制（比如拆下硬盘驱动器并将其挂载到另一个系统上），
除非您对文件系统也进行了加密。
对 LILO 而言，在 lilo.conf 配置文件（通常在 /etc 下）中使用参数 password
替换 prompt。对于 Grub，相应的参数是 Grub 配置文件（通常在 /boot/grub/grub/conf
下）中的 hiddenmenu、default 0 和
password。
在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin，以确保当切换到单用户模式时
运行级的配置要求输入 root 密码。
防止用户使用 Ctrl-Alt-Del 进行重新引导：在 /etc/inittab 中注释掉 ctrlaltdel 行，
禁用 ctrlaltdel。通过向类似这样一行（
#ca::ctrlaltdel:/sbin/shutdown -t5 -rf now）添加一个井号（#），您就可以防止
那个组合键触发重新引导。
保护服务和后台进程
服务的安全配置的第一个步骤是，禁用所有不需要的服务。不提供的服务不会为潜在的入侵者所利用，有效地降低了风险。
为了找出所有启用的服务，需要检查若干个位置。另外，要禁用不安全的服务，并使用更为安全的选择来取代它们。例如，telnet 不是加密的，所以，使用加密的 ssh 服务来取代 telnet（见第 2 部分）。
当保护服务时，考虑这些方面：
/etc/inittab/etc/init.d 中的引导脚本inetd/xinetd 后台进程TCP 封装器（wrappers）防火墙/etc/inittab
在引导过程中，init 进程会去读取 /etc/inittab 文件中的条目。
每一个条目 —— 每一行 —— 都定义了在特定的条件下运行哪个程序。这些程序或者本身是服务，
或者是用于启动和停止服务。
init 进程能识别若干个称为 运行级（run levels） （由一个字母标识）
的状态。当输入了运行级或者发生特定的事件（比如电源故障）时，就会考察那些条目，并执行适当的命令。
/etc/inittab 中条目的格式是，前面是条目的标签，随后是在哪些运行级下此条目要执行，然后是动作关键字以及
包括命令行参数的需要执行的命令。所有这些域都由冒号隔开，典型的条目应该类似这样：
my_service:35:once:/usr/local/bin/my_service someparameter
（在 inittab 手册中可以找到动作关键字的完全列表。）
在这个示例中，条目的标签是 my_service。当输入的运行级为 3 或 5 时，
它将使用参数 someparameter 来运行程序
/usr/local/bin/my_service。一旦这个程序被终止，它将不会再重新启动
（动作关键字“once”）。
为了保护 Linux 系统，您应该理解 /etc/inittab 中所有条目的功能，并禁用潜在不必要的服务，方法是
删除那个条目，或者在那一行的开头使用井号注释掉它。
在所有 Linux 系统中，都会有以下两类条目。第一类用来启动名为 /sbin/getty
（或者类似的）的程序，这些通常是用来允许通过 Linux 虚拟控制台或者串行线登录。第二类会运行
/etc/rc.d 目录中通常名为 rc 的脚本，并将当前运行级作为参数给出。
这个脚本控制服务的启动和停止（接下来会介绍）。
/etc/init.d 中的引导脚本
/etc/init.d 中的引导脚本用来启动或者停止系统服务。对于每一个运行级，都有一个 /etc/rcN.d 目录
（“N”是运行级的标识），其中包含了指向那些在运行级改变时需要调用的脚本的软链接。
如果链接名以“S”开头，则脚本在进入那个运行级时执行，启动相应的服务；如果以“K”开头，则
脚本在退出那个运行级时执行，停止那个服务。
大部分情况下，引导脚本的名称会暗示它所控制的服务。要防止在特定的运行级中会启动某个服务，
则删除运行级目录中指向相应引导脚本的链接，或者使用一个不做任何事情的虚脚本取代
/etc/init.d 中原来的引导脚本。
inetd/xinetd 后台进程
也可以在客户机请求时根据需要调用服务。这些请求被转交给超级后台进程
inetd 或者 xinetd。然后超级后台
进程确定要启动哪个服务，并将请求传递到相应的后台进程。通常，telnet、ftp、rlogin 等服务
使用 inetd 或者 xinetd 启动。
inetd 后台进程在 /etc/inetd.conf 配置，那个文件中包含了关于每一个超级后台
进程需要提供的服务的条目。配置 FTP 服务器的条目应该类似这样 ——
stream tcp nowait root
/usr/bin/ftpd
in.ftpd -el —— 使用井号注释掉它，
就可以禁用它。
为了安全起见，建议使用 xinetd。与 inetd 相比，
xinetd 能够启动基于 rpc 的服务，并支持访问控制。xinetd
可以限制进入连接的速度、来自特定主机的进入连接的数目，或者某个服务的总连接数。
通过用于每个从属后台进程的独立配置文件来配置 xinetd 。
这些文件位于 /etc/xinetd.d/ 目录中。前面 FTP 服务器的示例配置文件应该称为 called /etc/xinetd.d/ftp，
类似这样：
清单 1. 配置文件，/etc/xinetd.d/ftpservice ftp
socket_type
= /usr/bin/ftpd
server_args
为了禁用这个服务，参数 disable 被设置为
yes，如上面示例所示。
为了更详细的访问控制，xinetd 支持以下三个另外的参数：
only_fromno_accessaccess_time
为了限制访问，但不完全禁用 ftp 后台进程，您可以如下修改配置文件
/etc/xinetd.d/ftp：
清单 2. 为限制访问而修改过的配置文件，/etc/xinetd.d/ftpservice ftp
socket_type
= /usr/bin/ftpd
server_args
= 192.168.200.3 192.168.200.7 192.168.200.9
+= 192.168.200.10 192.168.200.12 172.16.0.0
= 172.16.{1,2,3,10}
access_times
= 07:00-21:00
}only-from 和 no_access 可以接受数字 IP 地址
（最右边的零作为任意数值处理）、IP 地址/网络掩码 范围、主机名以及 /etc/networks 中的网络名。
如果组合使用 only-from 和 no_access，
xinetd 会为每个主机连接寻找最接近的匹配。
在前面的代码示例中，表示 IP 地址为 172.16.x.x 的主机可以连接到此主机，但地址属于 172.16.1.x、
172.16.2.x、172.16.3.x 和 172.16.10.x 的则不能连接。可见，当使用 no_access
所用的因数符号时，不需要指定地址的所有四个部分。因数部分必须是地址最右边的部分。
参阅下面的
部分，以获得关于 xinetd 及其配置
TCP 封装器
如果您决定不使用 xinetd，而是使用 inted，
那么您可以使用 TCP 封装器来记录请求和具体的对特定网络的 允许/拒绝。TCP 封装器会为了认证和记录日志而
去检查 /etc/hosts.allow 和 /etc/hosts.deny，
并将客户机请求封装起来，不直接回应它们。一旦认证成功，请求就会被转发到原来请求的服务。
相对于使用普通的 inetd，使用 TCP 封装器有两个主要的好处：
发出请求的客户机不会察觉到 TCP 封装器；因此，没有异心的人不会发现任何区别，而心怀不轨的人也得不到
关于他们的请求失败的任何信息。
TCP 封装器的工作不会理会任何已经被封装的服务，让应用程序能够共享它们的配置文件，从而简化管理。
要获得关于 TCP 封装器配置文件的详细文档，请参阅
Red Hat Linux Reference Guide。
为了防范与不应该运行的服务或者不应该被 Internet 等特定网络所访问的服务的通信，建议安装一个防火墙。
防火墙提供网络间基于信任级别的受控通信，并权衡使用基于角色的安全策略和最小权限原则允许或者拒绝对特定服务
防火墙的安装与配置是一个非常复杂的话题，不在本系列文章的讨论范围之内。
保护本地文件系统
保护本地文件系统涉及的是文件和目录的所有者及访问它们的权限。要保护文件系统，文件和目录的保护位必须
设置为只授予最小限度的权限。
要特别注意关于所有人可写的文件和系统目录的不适当权限，以及所谓的 setuid
或者 setgid 命令。这些命令运行时的用户权限比运行此命令的用户实际拥有的权限
更高。对访问只有 root 才可以访问的文件来说这可能是必需的（比如 /bin/passwd 需要访问 /etc/passwd）。
对于这些命令，要确保它们每一个都确实需要设置 setuid/setgid 位。
如果不是这样，那么禁用它。
当某个分区上的所有文件确实都不需要 setuid/setgid 位时，
/etc/fstab 中的 nosuid 选项可以为相应文件系统中的每个文件都禁用它
（下面的示例中的 /dev/hdc1）：
mountpoint filesystemtype options
dump fsckorder
/dev/hda1 /
defaults 1 1
/dev/hdc1 /mnt/cdrom iso9660
nosuid,user 1 2
此外，对于所有敏感的数据，都有必要对其进行加密并使用密码保护它。为此，GnuPG 提供了一个合适的软件包。
强制实行配额和限制
Linux PAM（插入式认证模块，Pluggable Authentication Modules）可以强制实行一些实用的限制，在
/etc/security/limits.conf 文件中对此进行配置。谨记，这些限制适用于单个对话。您可以使用
maxlogins 来控制总额限制。limits.conf 中的条目有如下结构：
username|@groupname type resource limit。
为了与 username 区别，groupname 之前必须加 @。类型必须是
soft 或者 hard。软限制（soft-limit）可以
被超出，通常只是警戒线，而硬限制（hard-limit）不能被超出。resource 可以
是下面的关键字之一：
core - 限制内核文件的大小（KB）。
data - 最大数据大小（KB）。
fsize - 最大文件大小（KB）。
memlock - 最大锁定内存地址空间（KB）。
nofile - 打开文件的最大数目。
rss - 最大持久设置大小（KB）。
stack - 最大栈大小（KB）。
cpu - 以分钟为单位的最多 CPU 时间。
nproc - 进程的最大数目。
as - 地址空间限制。
maxlogins - 此用户允许登录的最大数目。
在下面的代码示例中，所有用户每个会话都限制在 10 MB，并允许同时有四个登录。第三行禁用了每个人的内核
转储。第四行除去了用户 bin 的所有限制。ftp 允许
有 10 个并发会话（对匿名 ftp 帐号尤其实用）；managers 组的成员的进程数目限制
为 40 个。developers 有 64 MB 的 memlock 限制，wwwusers
的成员不能创建大于 50 MB 的文件。
清单 3. 设置配额和限制*
@developers hard
要激活这些限制，您需要在 /etc/pam.d/login 底部添加下面一行：
/lib/security/pam_limits.so。
配额让您能够限制用户和组的 inode 数目和可用空间。注意，配额是在每个加载点上定义的，所以，如果
用户在若干个分区上有写权限，那么要确保为它们每个都定义配额。
配额是管理员最小化 DoS 攻击的一种方式，这类攻击以填满硬盘驱动器上所有可用空间为手段（这会使其他进程
不能创建临时文件而使它们失败）。根据您正在使用的发行版本，您可以安装自带的配额工具，也可以自己下载、
编译并安装它们（参见 ）。
必须在内核中启用配额。当前大部分发行版本都支持配额。如果您的发行版本没有启用配额，那么参考
中的 mini-howto 来获得启用它们的说明。
要为文件系统启用配额，您必须在 /etc/fstab 中为相应的那行添加一个选项。
使用 usrquota 和 grpquota 来启用
用户配额和组配额，如清单 4 所示：
清单 4. 启用用户配额和组配额/dev/hda1
defaults,usrquota
defaults,usrquota,grpquota
defaults,grpquota
/mnt/cdrom
iso9660 nosuid,user
然后，使用 mount -a -o remount 重新挂载相应的文件系统，来激活刚才添加
的选项；然后使用 quotacheck -cugvm 创建一个二进制配额文件，其中包含了机器
可读格式的配额配置。这是配额子系统要操作的文件。
使用工具 edquota 完成配额的指派。要为用户 alice
定义限制，则使用 edquota -u alice 来调用它。环境变量 EDITOR
中定义的编辑器（默认是 vi）会打开，其中有类似如下的内容：
Quotas for user alice:
/dev/hda2: blocks in use: 3567, limits (soft = 5500, hard = 6500)
inodes in use: 412, limits (soft = 1000, hard = 1500)
“in use”值只是为您提供信息，不能被修改 —— 您能修改的只是软限制和硬限制。保存并退出编辑器后，
edquota 会读取您刚才编辑的临时文件，并将那些值传递到二进制配额文件，以
使您的修改生效。对组配额的编辑与此相同，只是必须使用 -g 选项而不是
软限制是警告级别，可以被超出，而硬限制是严格强制的。软限制有一个 宽限期（grace period）
（有时也称为 软性时间限制（soft time limits））；这是允许用户超出软限制直到被系统强制执行之前的
时间间隔。
您可以使用 edquota -t 来设置宽限期。可以使用的单位是秒、分、小时、天、周和月。
其他管理配额的实用工具包括 repquota（总结某个文件系统的配额）、
quotaon 和 quotaoff（打开和关闭配额）。
启用强制访问控制
通过 SELinux 所实现的强制访问控制（或者说是 MAC），您可以获得进一步的安全性。使用 MAC，
操作系统中的许可由进程所属的 用户/组 ID 以及正要被访问的对象（文件）所属的 用户/组 ID 来管理。
另外，使用 MAC，Linux 会强制为每个单独的进程执行这些策略，它们会控制进程可以做什么事情。
那样，在使用 MAC 进行适当配置的系统中，被外来控制或攻击的服务不能够接管系统。就算是进程运行
所属的用户或组 ID（最坏的情形：root）可能会与 /etc/passwd 等关键系统文件权限相匹配，那个策略也会及时
地禁止对它们的访问。
Internet 上的测试系统可以展现出 SELinux 的有效性，它允许任何人登录；控制机制防止了所有的恶意
行为，即使用户能够以 root 身份登录!
不过，使用 SELinux 也有一些问题。首先，如果发行版本提供商不支持 MAC，那么其配置是相当困难的。
可能需要打补丁和重新编译内核，并替换特定的系统管理工具（所有这些都可能影响发行版本提供商的支持
策略）。第二，定义一个适当的策略是非常复杂的任务。如果没有可用的策略定义供您的应用程序选择，
那么在 MAC 环境中制定并实施这个策略会非常艰难。这就使得对某些使用情形来说这样做比较困难，
比如需要支持种类很多的软件包的桌面工作站。
为了让系统尽可能保持安全，您需要及时了解用于您的软件的新修订和补丁。这些信息可以通过若干个渠道得到，不过，通常软件
提供商和 Linux 发行商应该为您及时地提供这些信息。您也可以使用（几乎永远免费）CERT（Computer Emergency Response Team）
的服务。他们通常会维持传达关于最新的建议、漏洞等信息的邮件列表。
当有新的更新可用时，您应该去查看它是否适用于您的系统以及您的安全需要。安装更新本身可能会导致安全问题。
另外，要考虑到每个更新都可能会引入新的漏洞，或者如果更新失败，您的系统可能会停留在不可用的状态。
当在大范围的系统中安装某个更新时，您通常不能同时对它们全部进行更新 —— 这可能会导致您的多个系统在更新期间
互相不兼容。
可见，更新系统会涉及到很多风险。这里是降低这些风险的一些建议：
初始安装后，不要将您的系统立即连接到网络。将所有相关的更新下载到一台单独的机器，然后手工地传输它们，
以确保系统在暴露在网络上之前已经处于当前状态（current state）。
始终拥有可用的近期系统备份。
对于业务中每一个关键的系统，您都应该有一个与产品环境的硬件和软件相同的独立测试环境。
首先在测试环境中获得关于更新的经验，以防止在管理产品系统时出现意外。
理想情况下，您应该已经准备好一套回归测试，在更新包括系统在内的所有程序之前和之后对适当的功能和性能进行对比。
至少，要确保拥有可重复的而且文档化的质量控制检查，以保证在修改产品环境之前测试环境中的主要功能和服务不会
受到影响。
对于小型网络来说，手工安装更新或许可行，但规模较大时很快就难以处理了。这经常会导致更新不能被安装。
使用商业的或者开放源代码的系统管理或者软件分发工作来简化更新的部署。
我们是不是提醒过您最好在手边准备一个备份？我们还要再提醒一次。
制定一个安装更新的计划，并考虑：
更新系统的次序对您的业务来说关键的系统系统如何互相依赖哪个系统包含机密数据
当使用完整性检查工具时（强烈建议至少对服务器使用），为了能识别出意外的更改，要记得更新系统
在已知安全状态下占用内存的基线。
在安装任何修订之前，要使用密码检验和工具检查软件的完全性和真实性（尤其是从 Web 站点或者 ftp 服务器
上下载时）。在 Linux 领域中，通常使用 MD5 和/或 SHA-1 检验和。如果软件以 RPM 包的形式提供，那么提供
商应该已经提供了一个 GnuPG 签名。您可以运行 $ rpm -v --checksig &name&.rpm
命令来检查它。成功的响应应该是 "&name&.rpm: md5 gpg OK"；
不成功的会是 "&name&.rpm: md5 GPG NOT OK"。
您可以使用 $ md5sum &name&.rpm 或
$ sha1sum &name&.rpm 来确认 MD5 或 SHA-1 检验和。
如果您下载的某个文件中包含的检验和可用于多个文件（大部分情况下称为 md5sum.asc 或 &name&.md5），
那么您可以使用 $ md5sum -c md5sum.asc。
最后，但不是最不重要的是，要备份您的系统。（我们是不是已经说过了？）
将您的安全计划付诸实行
中所讨论的，
现在来将文档化的安全计划应用到已经安装的系统。弄清楚哪些进程正在您的系统中实际地运行，并禁用不需要的那些。
要定期地检查不正常的行为；未知的进程可能会提供不必要的服务，预示着系统的受损。
本节向您介绍如何找出并禁用那些不必要的（潜在危险）进程，以及如何为系统准备定期审计。
找出并禁用不必要的进程
理想情况下，您应该明白在您的系统中运行的每一个进程。要获得所有进程的列表，可以执行命令
ps -ef（POSIX 风格）或 ps ax（BSD 风格）。
进程名有方括号的是内核级的进程，执行辅助功能（比如将缓存写入到磁盘）；所有其他进程都是使用者进程。
您会注意到，就算是在您新安装的（最小化的）系统中，也会有很多进程在运行。熟悉它们，并把它们记录到
现在让我们来看那些开放网络连接的进程；它们受到攻击的潜在可能最大。要获得所有 TCP 或 UDP 连接的列表，执行命令
netstat -atu（附带名字解析，易读）或者 netstat -atun
（没有名字解析，更快）。在这个列表中，特别要注意状态为 LISTEN 的 TCP 连接和
所有的 UDP 连接，因为服务器通过这些连接来接收到来的连接。
如果服务器侦听 127.0.0.1/localhost，那么它只能由系统本身（环回接口）访问到。因此它的暴露程度要远
低于侦听外部可达接口甚至 0.0.0.0（= *，如果打开名字解析）的服务器，后者可以由任意网络接口所访问。
如果您使用过 netstat -atun，那么您需要自己翻译端口号。
可以在 /etc/services 中去查找它们。使用附加的参数 -p 来显示
相应的进程，如
在这个示例中，您可以推断出 portmapper 和 graphical user interface（X）是特定的服务器所不需要的。portmapper
为 NFS 等各种基于 RPC 的服务提供标准端点（endpoint）；系统并不提供 NFS 共享。当系统用作工作站时 X 窗口是
有用的，但在服务器上的使用受限。
确定这些进程是如何被启动的（通过 /etc/inittab，通过引导脚本，等等）并如前所述的那样禁用它们。
如果程序是由另一个程序启动的，那么这项任务可能会更具挑战性：X 服务器很有可能是由显示管理器
启动的，比如 xdm、kdm 或 gdm，其本身并不会出现在 inittab 或引导脚本目录中。
netstat 所列出的连接并不是自动都可以由网络上的所有计算机来使用。在任何数据包到达开放的连接之前，
基于 Linux 内置功能的防火墙可以进一步控制访问。
安装了基本的系统并安全地配置后，您的最终目标是保持系统的安全。为了识别出对系统的不必要修改，使用审计工具来
记录处于希望是已知且安全的状态的系统的内存占用，并检测对它的修改。
结束语本期文章向您展示了如何加固您的 Linux 系统，即通过保护引导过程和本地文件系统、锁定服务和后台进程、
强制实行配额和限制、启用强制访问控制、找出在使用新软件版本更新安全性时可能会引入的安全漏洞。
当配置安全性参数时，请遵循最小权限原则的概念。另外，要了解在您的系统中运行的 所有 进程，
以使得您可以禁用不需要的那些，防止它们成为进入到您的 Linux 环境安全心脏的途径。
下一期将深入研究 SELinux，为您给出关于如何使用它的概念资料和实践资料。
LinuxLinks 的
是一个已经加固的 Linux 发行版本的列表。
是对 Linux 系统管理员所面临的安全问题的全面概述。
comptechdoc.org 提供了两篇关于 inetd 的极好的文章：
LinuxPlanet 教程
介绍了 xinetd，它是 inetd 的“安全”替代者。
是关于 TCP 封装器和 xinetd 的极好资源。 是一项计划部署并比较各种开源安全工具的为期三个月的研究，
基于研究过程中的经验提供解决方案建议。 描述了如何在 Linux 主机上启用
文件系统配额。
下面的资源可以帮助您了解 SELinux：
可以找到更多为 Linux 开发者准备的参考资料。通过参与
加入 developerWorks 社区。购买 Developer Bookstore Linux 区
使用可以直接从 developerWorks 下载的
来改革您的下一个 Linux 开发项目。
developerWorks: 登录
标有星（*）号的字段是必填字段。
保持登录。
单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件。
在您首次登录 developerWorks 时，会为您创建一份个人概要。您的个人概要中的信息（您的姓名、国家/地区，以及公司名称）是公开显示的，而且会随着您发布的任何内容一起显示，除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。
所有提交的信息确保安全。
选择您的昵称
当您初次登录到 developerWorks 时，将会为您创建一份概要信息，您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。昵称长度在 3 至 31 个字符之间。
您的昵称在 developerWorks 社区中必须是唯一的，并且出于隐私保护的原因，不能是您的电子邮件地址。
标有星（*）号的字段是必填字段。
(昵称长度在 3 至 31 个字符之间)
单击提交则表示您同意developerWorks 的条款和条件。 .
所有提交的信息确保安全。
文章、教程、演示，帮助您构建、部署和管理云应用。
立即加入来自 IBM 的专业 IT 社交网络。
免费下载、试用软件产品，构建应用并提升技能。
static.content.url=/developerworks/js/artrating/SITE_ID=10Zone=LinuxArticleID=83393ArticleTitle=让 Linux 更安全，第 3 部分: 加固系统publish-date=