介绍：
login.defs是设置用户帐号限制的文件，在这个文件中可以配置密码的最大过期天数，密码的最大长度约束等内容。
该文件里的配置对root用户无效。如果/etc/shadow文件里有相同的选项，则以/etc/shadow里的设置为准，也就是说/etc/shadow的配置优先级高于/etc/login.defs。

以下是文件示例内容：
#*REQUIRED*
#Directory where mailboxes reside,_or_name offile,relative to the
#home directory.If you_do_define both,MAIL_DIR takes precedence.
#QMAIL_DIR is for Qmail
#
#QMAIL_DIRMaildir
MAIL_DIR /var/spool/mail 注：创建用户时，要在目录/var/spool/mail中创建一个用户mail文件；
#MAIL_FILE.mail
#Password a g in g controls:
#
#PASS_MAX_DAYS Maximumnumber of days a password may be used.
#PASS_MIN_DAYS Minimumnumber of days allowed between password changes.
#PASS_MIN_LEN Minimum acceptable password length.
#PASS_WARN_AGE Number of days warning given be for ea password expires.
#
PASS_MAX_DAYS 99999 注：用户的密码不过期最多的天数；
PASS_MIN_DAYS 0 注：密码修改之间最小的天数；
PASS_MIN_LEN 5 注：密码最小长度；
PASS_WARN_AGE 7 注：
#
#Min/max values for automatic uid selection in useradd
#
UID_MIN 500 注：最小UID为500，也就是说添加用户时，UID是从500开始的；
UID_MAX 60000 注：最大UID为60000；
#
#Min/max values for automatic gid selection in groupadd
#
GID_MIN 500注：GID是从500开始；
GID_MAX 60000
#
#Ifdefined,this command is run when removing a user.
#It should remove any at /cron/print job setc.owned by
#the user to be removed(passed as the first argument).
#
#USERDEL_CMD/usr/sbin/userdel_local
#
#If useradd should create home directories for users by default
#On RH systems,we do.This optionis OR ed with the-m flag on
#useradd commandline.
#
CREATE_HOME yes 注：是否创用户家目录，要求创建；

一、服务器安全

1. 关闭无用的端口
任何网络连接都是通过开放的应用端口来实现的。如果我们尽可能少地开放端口，就使网络攻击变成无源之水，从而大大减少了攻击者成功的机会。
首先检查你的inetd.conf文件。inetd在某些端口上守侯，准备为你提供必要的服务。如果某人开发出一个特殊的inetd守护程序，这里 就存在一个安全隐患。你应当在inetd.conf文件中注释掉那些永不会用到的服务(如：echo、gopher、rsh、rlogin、rexec、 ntalk、finger等)。注释除非绝对需要，你一定要注释掉rsh、rlogin和rexec，而telnet建议你使用更为安全的ssh来代替， 然后杀掉lnetd进程。这样inetd不再监控你机器上的守护程序，从而杜绝有人利用它来窃取你的应用端口。你最好是下载一个端口扫描程序扫描你的系 统，如果发现有你不知道的开放端口，马上找到正使用它的进程，从而判断是否关闭它们。

2. 删除不用的软件包
在进行系统规划时，总的原则是将不需要的服务一律去掉。默认的Linux就是一个强大的系统，运行了很多的服务。但有许多服务是不需要的，很容易引 起安全风险。这个文件就是/etc/inetd.conf，它制定了/usr/sbin/inetd将要监听的服务，你可能只需要其中的两个： telnet和ftp，其它的类如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth 等，除非你真的想用它，否则统统关闭。

3. 不设置缺省路由
在主机中，应该严格禁止设置缺省路由，即default route。建议为每一个子网或网段设置一个路由，否则其它机器就可能通过一定方式访问该主机

4. 口令管理
口令的长度一般不要少于8个字符，口令的组成应以无规则的大小写字母、数字和符号相结合，严格避免用英语单词或词组等设置口令，而且各用户的口令应 该养成定期更换的习惯。另外，口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护，必须做到只有系统管理员才能访问这2个文 件。安装一个口令过滤工具加npasswd，能帮你检查你的口令是否耐得住攻击。如果你以前没有安装此类的工具，建议你现在马上安装。如果你是系统管理 员，你的系统中又没有安装口令过滤工具，请你马上检查所有用户的口令是否能被穷尽搜索到，即对你的/ect/passwd文件实施穷尽搜索攻击。

5. 分区管理
一个潜在的攻击，它首先就会尝试缓冲区溢出。在过去的几年中，以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是，缓冲区溢出漏洞 占了远程网络攻击的绝大多数，这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!
为了防止此类攻击，我们从安装系统时就应该注意。如果用root分区记录数据，如log文件，就可能因为拒绝服务产生大量日志或垃圾邮件，从而导致 系统崩溃。所以建议为/var开辟单独的分区，用来存放日志和邮件，以避免root分区被溢出。最好为特殊的应用程序单独开一个分区，特别是可以产生大量 日志的程序，还建议为/home单独分一个区，这样他们就不能填满/分区了，从而就避免了部分针对Linux分区溢出的恶意攻击。

6. 防范网络嗅探
嗅探器技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收看来自网络的各种信息，通过对这些数据的分析，网络管理员可 以深入了解网络当前的运行状况，以便找出网络中的漏洞。在网络安全日益被注意的今天.我们不但要正确使用嗅探器.还要合理防范嗅探器的危害.嗅探器能够造 成很大的安全危害，主要是因为它们不容易被发现。对于一个安全性能要求很严格的企业，同时使用安全的拓扑结构、会话加密、使用静态的ARP地址是有必要 的。

7. 完整的日志管理
日志文件时刻为你记录着你的系统的运行情况。当黑客光临时，也不能逃脱日志的法眼。所以黑客往往在攻击时修改日志文件，来隐藏踪迹。因此我们要限制对/var/log文件的访问，禁止一般权限的用户去查看日志文件。
另外，我们还可以安装一个icmp/tcp日志管理程序，如iplogger，来观察那些可疑的多次的连接尝试(加icmp flood3或一些类似的情况)。还要小心一些来自不明主机的登录。
完整的日志管理要包括网络数据的正确性、有效性、合法性。对日志文件的分析还可以预防入侵。例如、某一个用户几小时内的20次的注册失败记录，很可能是入侵者正在尝试该用户的口令。

8. 终止正进行的攻击
假如你在检查日志文件时，发现了一个用户从你未知的主机登录，而且你确定此用户在这台主机上没有账号，此时你可能正被攻击。首先你要马上锁住此账号 (在口令文件或shadow文件中，此用户的口令前加一个Ib或其他的字符)。若攻击者已经连接到系统，你应马上断开主机与网络的物理连接。如有可能，你 还要进一步查看此用户的历史记录，查看其他用户是否也被假冒，攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件 hosts.deny中。

9. 使用安全工具软件
Linux已经有一些工具可以保障服 务器的安全。如bastille linux。对于不熟悉 linux 安全设定的使用者来说，是一套相当方便的软件，bastille linux 目的是希望在已经存在的 linux 系统上，建构出一个安全性的环境。另外随着Linux病毒的出现，现在已经有一些Linux服务器防病毒软件，安装Linux防病毒软件已经是非常迫切了。

10. 使用保留IP地址
---- 维护网络安全性最简单的方法是保证网络中的主机不同外界接触。最基本的方法是与公共网络隔离。然而，这种通过隔离达到的安全性策略在许多情况下是不能接受 的。这时，使用保留IP地址是一种简单可行的方法，它可以让用户访问Internet同时保证一定的安全性。- RFC 1918规定了能够用于本地 TCP/IP网络使用的IP地址范围，这些IP地址不会在Internet上路由，因此不必注册这些地址。通过在该范围分配IP地址，可以有效地将网络流 量限制在本地网络内。这是一种拒绝外部计算机访问而允许内部计算机互联的快速有效的方法。
保留IP地址范围:
—— 10.0.0.0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
—— 192.168.0.0 - 192.168.255.255
来自保留IP地址的网络交通不会经过Internet路由器，因此被赋予保留IP地址的任何计算机不能从外部网络访问。但是，这种方法同时也不允许用户访问外部网络。IP伪装可以解决这一问题。

11、选择发行版本
对于服务器使用的Linux版本，既不使用最新的发行版本，也不选择太老的版本。应当使用比较成熟的版本：前一个产品的最后发行版本如Mandrake 8.2 Linux等。毕竟对于服务器来说安全稳定是第一的。

12、补丁问题
你应该经常到你所安装的系统发行商的主页上去找最新的补丁。

二、网络设备的安全

1. 交换机的安全
启用VLAN技术：交换机的某个端口上定义VLAN ，所有连接到这个特定端口的终端都是虚拟网络的一部分，并且整个网络可以支持多个VLAN。VLAN通过建立网络防火墙使不必要的数据流量减至最少，隔离 各个VLAN间的传输和可能出现的问题，使网络吞吐量大大增加，减少了网络延迟。在虚拟网络环境中，可以通过划分不同的虚拟网络来控制处于同一物理网段中 的用户之间的通信。这样一来有效的实现了数据的保密工作，而且配置起来并不麻烦，网络管理员可以逻辑上重新配置网络，迅速、简单、有效地平衡负载流量，轻 松自如地增加、删除和修改用户，而不必从物理上调整网络配置。

2.路由器的安全
根据路由原理安全配置路由器路由器是整个网络的核心和心脏, 保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。
1）. 堵住安全漏洞
限制系统物理访问是确保路由器安全的最有效方法之一。限制系统物理访问的一种方法就是将控制台和终端会话配置成在较短闲置时间后自动退出系统。避免将调制解调器连接至路由器的辅助端口也很重要。一旦限制了路由器的物理访问，用户一定要确保路由器的安全补丁是最新的。
2）. 避免身份危机
入侵者常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。另外，一旦重要的IT员工辞职，用户应该立即更换口令。用户应该启用路由器上的口令加密功能。
3）. 禁用不必要服务
近来许多安全事件都凸显了禁用不需要本地服务的重要性。需要注意的是，一个需要用户考虑的因素是定时。定时对有效操作网络是必不可少的。即使用户确保了部署期间时间同步，经过一段时间后，时钟仍有可能逐渐失去同步。用户可以利用名为网络时。

linux的内核升级(2.4到2.6)，供大家学习参考。

一、准备工作
说明：以下带#号的行都是要输入的命令行，且本文提到的所有命令行都在终端里输入。
启动Linux系统，并用根用户登录，进入终端模式下。

1、查看Linux内核版本# uname -a
如果屏幕显示的是2.6.x，说明你的已经是2.6的内核，也用不着看下文了，该干什么干什么去吧！~~~如果显示的是2.4.x，那恭喜你，闯关通过，赶快进行下一步。

2、下载2.6内核源码
下载地址：http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.18.tar.bz2

3、下载内核升级工具
(1)下载module-init-tools-3.2.tar.bz2
http://www.kernel.org/pub/linux/utils/kernel/module-init-tools/module-init-tools-3.2.tar.bz2
(2)下载mkinitrd-4.1.18-2.i386.rpm
http://ayo.freshrpms.net/fedora/linux/3/i386/RPMS.core/mkinitrd-4.1.18-2.i386.rpm
(3)下载lvm2-2.00.25-1.01.i386.rpm
http://ayo.freshrpms.net/fedora/linux/3/i386/RPMS.core/lvm2-2.00.25-1.01.i386.rpm
(4)下载device-mapper-1.00.19-2.i386.rpm
http://ayo.freshrpms.net/fedora/linux/3/i386/RPMS.core/device-mapper-1.00.19-2.i386.rpm

二、配置工作
2.6内核和4个升级工具都下载完了(少一个也不行，如果没有下载齐全，请不要尝试下面的步骤，升级是不会成功的)，下面回到Linux系统中开始配置工作吧。

4、将下载好的内核源码包和4个升级工具都拷贝到/usr/src文件夹下。怎么拷贝就不用我教了吧~~~~不会拷贝的去撞墙吧！~~呵呵！

5、拷贝完毕，开始解压新内核，具体操作请依次执行以下命令：
 

6、安装module-init-tools工具
在/usr/src目录下，依次执行下列命令：
 

7、安装另外三个升级工具
回到/usr/src目录下，依次执行下列3个命令来安装另外三个升级工具：
 

如果不更新以上几个升级包，在后面编译内核时会提示以下错误：
mkinitrd failed
make[1]: *** [install] Error 1
make: *** [install] Error 2

8、配置内核选项。
 

此时会出现一个图形界面，列出了所有的内核配置选项，有的选项下还有子选项，你可以用方向键来选择，用Y键来确定。经过我多次试验，大多数选项默认就行，以下几个选项必须选择(请认真核对下面每一个选项，否则编译很有可能前功尽弃)：
(1)Loadable Module support选项中，选上“Module unloading”和“Automatic kernel module loading”这两项；
(2)Device Drivers--->Block Devices中选上“Loopback device support”；
Device Drivers--->Multi-device support(RAID and LVM)处要选上“device mapper support”；
Device Drivers--->Graphics support，一定要选上“ Support for frame buffer devices”；
Device Drivers --->USB support --->选上“USB Mass Storage support”(如果是在实环境中，想要更多USB支持，就全选吧。我的是在虚拟机中，用不着了)
Device Drivers --->;Network device support --->Ethernet (10 or 100Mbit) ---><*> AMD PCnet32 PCI support
(3)File system--->(以下9个选项是关于ext2和ext3文件系统配置，全部选上)
Second extended fs support
Ext2 extended attributes
Ext2 POSIX Access Control Lists
Ext2 Security Labels
Ext3 journalling file system support
Ext3 extended attributes
Ext3 POSIX Access Control Lists
Ext3 Security Labels
JBB (ext3) debugging support
File system--->DOS/FAT/NT Filesystems --->选上“NTFS file system support”；
注意：
ext2和ext3文件系统配置很重要，也是必需的，如果对Ext3、Ext2文件的支持直接编译进内核，在你reboot时机器就会当掉，出现如下错误信息：
kernel panic : no init found ,try passing init = option to kernel.....
或者是：
VFS:Cannot open root device "hdxy" or unknow-block(0,0)
Please append a correct "root=" boot option
kernel panic:VFS:Unable to mount root fs on unknown-block(0,0)
或者是：
mount: error 19 mounting ext3
pivotroot: pivot_root(/sysroot,/sysroot/initrd) failed: 2
umount /initrd/proc fail: 2
Freeing unused kernel memory: 244k freed
Kernel panic – not syncing: No init found. Try passing init = option to kernel
(我的机器就是在重启之后出现第三种错误，进不去系统，郁闷死，只好重装了~~~如果依照本文做完所有步骤，当你重启Linux系统后，若不幸进不去2.6.18内核，你会发现你的出错信息就是上面三种了~~~哈！)

(4)如果你在vmware下编译内核，硬盘用的是scsi的，以下三个选项必选：
Device Drivers ---><*>SCSI device support (此项不选的话，下面两项就选择不上)
Device Drivers ---><*>SCSI device support ---><*>SCSI disk support
Device Drivers---><8>SCSI device support--->SCSI low-level drivers---><*>; BusLogic SCSI support

三、编译工作
繁杂的配置工作完成了，至此，编译前的准备工作都做好了！
9、开始编译
在/usr/src/linux-2.6.18目录下，执行以下命令即可编译。编译需要一段时间，给自己倒杯茶耐心等候吧！
# make dep (建立编译时所需的从属文件。注意：如果内核从未编译过，此步可跳过)
# make clean (清除内核编译的目标文件。注意：如果内核从未编译过，此步可跳过)
# make bzImage (注意大小写。这一步才是真正编译内核)
内核编译成功后，会在/usr/src/linux/arch/i386/boot目录中生成一个新内核的映像文件bzImage。如果用make zImage编译，内核很大的话，系统会提示你使用make bzImage命令来编译，所以我直接用make bzImage来编译。
# make modules (编译可加载模块)
# make modules_install (安装可加载模块)
安装成功后，系统会在/lib/modules目录下生成一个2.6.18子目录，里面存放着新内核的所有可加载模块。
# make install (安装新内核)

注意：
make install的时候可能会出现如下错误信息：
No module BusLogic found for kernel 2.4.12
mkinitrd failed
此问题一般只出现在SCSI硬盘＋VMWARE+REDHAT架构中，因为BusLogic被编译进了内核而不是一个module的形式(2.4内核的Buslogic模块即使静态编译进内核也不行)。解决方式是直接将BusLogic.o文件复制过去：
# cp /usr/src/linux-2.6.18/drivers/scsi/BusLogic.o /lib/modules/2.6.18/kernel/drivers/scsi
不过别忘记，复制过后再执行一下make install。

四、启动新内核
10、将新内核和System.map文件拷贝到/boot目录下，依次执行以下命令：
 

11、修改Grub启动管理器
如果没有错误的话, 下面开始修改grub配置文件(不要告诉我你用的lilo)
在/boot目录下，执行以下命令：
# new-kernel-pkg --mkinitrd --depmod --install 2.6.18 (这时候你的/boot下会生成一个initrd-2.4.18.img，并且你的grub.conf文件也作了相应更改)

# df (查看根目录在那个分区，下一步要用到。注意，这里根分区不时boot的那个50M的分区，而一般是你最大的那个分区，也就是“/”，千万不要搞错哦。我的为 /dev/hda2)

# vi /grub/grub.conf
进入grub.conf文件，找到如下信息：
default=1
timeout=10
splashimage=(hd0,0)/grub/splash.xpm.gz
title Red Hat Linux (2.6.18)
root (hd0,0)
kernel /vmlinuz-2.6.18 ro root= LABEL=/
initrd /initrd-2.6.18.img
做两处修改：
(1) 将default=1改为default=0(不改的话也可以，只不过重启之后会默认进入2.4内核)
(2) 将kernel行的“LABEL=/”换成根目录所在的分区(上一步查看的就是)
此步很重要，修改错误将可能导致进不去系统，我把我修改后的grub.conf文件列出来，不明之处，可以对照修改：
 

配置完成，重启机器。