【51CTO.com快譯】對每個系統管理員來說，以下是應該采取的一些必要步驟：

• 一律禁用Firewire和Thunderbolt模塊。
• 檢查防火墻，確保所有入站端口已被過濾。
• 確保root郵件轉發到你核查的帳戶。
• 設立操作系統自動更新時間表，或者更新提醒內容。

此外，你還應該考慮其中一些最好采取的步驟，進一步加固系統：

• 核查以確保sshd服務在默認情況下已被禁用。
• 設置屏幕保護程序，在閑置一段時間后自動鎖定。
• 安裝logwatch。
• 安裝和使用rkhunter
• 安裝入侵檢測系統

正如我之前說過，安全好比是在公路上開車――比你開得慢的人都是白癡，比你開得快的人都是瘋子。本文介紹的這些準則只是一系列基本的核心安全規則，它們并不全面，也代替不了經驗、謹慎和常識。你應該稍稍調整這些建議，以適合本企業的環境。

1. 把相關模塊列入黑名單

想把Firewire和Thunderbolt模塊列入黑名單，將下列幾行添加到/etc/modprobe.d/blacklist-dma.conf中的文件：

blacklist firewire-core  
blacklist thunderbolt 

一旦系統重啟，上述模塊就會被列入黑名單。即便你沒有這些端口，這么做也沒有什么危害。

2. root郵件

默認情況下，root郵件完全保存在系統上，往往從不被讀取。確保你設置了/etc/aliases，將root郵件轉發到你實際讀取的郵箱，不然就有可能錯誤重要的系統通知和報告：

# Person who should get root’s mail  
root:           bob@example.com 

這番編輯后運行newaliases，對它測試一番，確保郵件確實已送達，因為一些電子郵件提供商會拒絕從根本不存在的域名或無法路由的域名發來的電子郵件。如果是這種情況，你需要調整郵件轉發配置，直到這確實可行。

3. 防火墻、sshd和偵聽守護進程

默認的防火墻設置將依賴你的發行版，但是許多允許入站sshd端口。除非你有一個充足而正當的理由允許入站ssh，否則應該將這個過濾掉，禁用sshd守護進程。

systemctl disable sshd.service  
systemctl stop sshd.service 

如果你需要使用它，總是可以暫時啟動它。

通常來說，你的系統除了響應ping外，應該沒有任何偵聽端口。這將有助于你防范網絡層面的零日漏洞。

4. 自動更新或通知

建議開啟自動更新，除非你有非常充足的理由不這么做，比如擔心自動更新會導致你的系統無法使用(這種事之前發生過，所以這種擔心并非毫無根據)。起碼，你應該啟用自動通知可用更新的機制。大多數發行版已經讓這項服務自動為你運行，所以你很可能沒必要進行任何操作。查閱發行版的說明文檔，了解更多內容。

5. 查看日志

你應該密切關注系統上發生的所有活動。由于這個原因，應該安裝logwatch，并對它進行配置，以便每晚發送活動報告，表明系統上發生的一切活動。這防止不了全身心投入的攻擊者，卻是一項很好的安全網功能，有必要部署。

請注意：許多systemd發行版不再自動安裝logwatch需要的syslog服務器(那是由于systemd依賴自己的日志)，所以你需要安裝和啟用rsyslog，確保/var/log在logwatch具有任何用途之前不是空的。

6. rkhunter和IDS

除非你切實了解工作原理，并且采取了必要的步驟進行合理的設置(比如將數據庫放在外部介質上，從可信任的環境運行檢查，執行系統更新和配置變更后記得更新哈希數據庫，等等)，否則安裝rkhunter以及aide或tripwire之類的入侵檢測系統(IDS)不是很有用。如果你不愿意采取這些步驟、調整在自己的工作站上執行任務的方式，這些工具只會帶來麻煩，沒有任何實際的安全好處。

我們確實建議你應當安裝rkhunter、在晚上運行它。它學習和使用起來相當容易;雖然它發現不了狡猾的攻擊者，但是可幫助你發現自己的錯誤。

原文標題：9 Ways to Harden Your Linux Workstation After Distro Installation，作者：Konstantin Ryabitsev

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】