如果Web服務(wù)器上的幾個文件需要定期更新，scp——cp函數(shù)在SSH中的安全版本——就顯得不是很好用了。一個更合適的方法是使用SSLftp，它具有FTP的功能并且象SSH一樣對數(shù)據(jù)進行了加密。

　　日志數(shù)據(jù)很重要，所有的從Web服務(wù)器和路由器所記錄的重要日志記錄都應(yīng)該送到一個集中管理的日志主機，這個日志主機主要用來監(jiān)視所有計算機的運行狀態(tài)。通過這種方法，攻擊者就就很難遁形滅跡了。

　　另外，將Solar Designer [13]設(shè)計的安全內(nèi)核補丁集成到系統(tǒng)中是個很好的主意，有了這個安全補丁，利用緩沖區(qū)溢出做手腳的攻擊方式將變得更困難。

　　應(yīng)該剝奪那些suid和sgid程序所具有的沒必要的過高特權(quán)。這可以通過將那些不再需要具有特權(quán)的程序逐個輸入到/etc/permissions.local然后手工去掉程序的授權(quán)（或啟動SuSEconfig）的方法實現(xiàn)。

　　這個工作直到?jīng)]有sgid程序并且僅僅有下面列出的少數(shù)幾個suid程序時結(jié)束：

　　 -rwsr-xr-x 1 root shadow 27920 Mar 11 11:50 /usr/bin/passwd
　　 -rwsr-x--- 1 root trusted 56600 Mar 11 18:41 /usr/bin/sudo
　　 -rwsr-xr-x 1 root root 6132 Mar 11 09:36 /usr/lib/pt_chown

　　如果系統(tǒng)由幾個分區(qū)，通過使用mount選項ro（只讀）、nodev（無設(shè)備）、nosuid (沒有高特權(quán)的suid文件)和noexec (沒有可執(zhí)行文件)顯著地提高系統(tǒng)的安全級別。

　　除此之外，可以使用ext2文件系統(tǒng)標志"append-only"和"immutable" （通過chattr命令設(shè)置） 定義內(nèi)核能力，這樣就可以保護日志和引導(dǎo)文件等不被篡改。

　　如果服務(wù)器需要具有防止本地攻擊的能力，必須為LILO引導(dǎo)裝載器配備一個口令，這可以通過在/etc/lilo.conf文件的頂端輸入下面的腳本行實現(xiàn)：

　　password=something_difficult_to_guess
　　restricted

　　最后，Web服務(wù)器不僅僅只是Apache。通常要包括1到2個數(shù)據(jù)庫，還要引入一些附加的模塊和程序，或者需要激活其它一些服務(wù)（如Dns服務(wù)器）。Linux包過濾（參見第二步中的例子）可以方便有效地提供保護支持。一個稱為“隔離間”（"compartment"：可以從這里獲得）的程序支持chroot、特權(quán)分配以及Linux能力配置等任務(wù)。

　　當然，還可以做很多其它的事情，但我所能想到的只有這些了。

　　最后的提示

　　更新！一個沒有采用最新的安全補丁進行更新的系統(tǒng)會很快稱為攻擊者的目標。

　　已經(jīng)完成配置安全系統(tǒng)所需的所有工作之后，要記�。篊GI腳本將是最大的安全隱患。大多數(shù)成功的攻擊都是通過這些腳本實現(xiàn)的。簡明的建議是：最好使用那些公開發(fā)布并且已經(jīng)被不同的網(wǎng)站使用了一段時間的CGI腳本；如果管理員不得已需要寫一些CGI腳本程序的話，這些程序應(yīng)該由其它人對其安全因素進行例行檢查。

　　結(jié)論

　　一個非常安全且高可用的Web服務(wù)器——這似乎有些矛盾，但確實是很好的折中——能夠在短短45分鐘的時間內(nèi)配置完。當然您可以通過更多的工作以提高系統(tǒng)的安全級別，但是這里配置的系統(tǒng)對大多數(shù)應(yīng)用來說已經(jīng)足夠了。