五、将入侵消灭在萌芽状态

入侵者进行攻击之前最常做的一件事情就是端号扫瞄，如果能够及时发现和阻止入侵者的端号扫瞄行为，那么可以大大减少入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器，也可以是一个复杂的入侵检测系统或可配置的防火墙。

●Abacus Port SentryAbacus Port Sentry是开放源代码的工具包，它能够监视网络接口并且与防火墙交互操作来关闭端口扫瞄攻击。当发生正在进行的端口扫瞄时，Abacus Sentry可以迅速阻止它继续执行。但是如果配置不当，它也可能允许敌意的外部者在你的系统中安装拒绝服务攻击。

Abacus PortSentry如果与Linux中透明的代理工具一起使用可以提供一个非常有效地入侵防范措施。这样可以将为所有IP地址提供通用服务的未使用端口重定向到Port Sentry中，Port Sentry可以在入侵者采取进一步行动之前及时检测到并阻止端口扫瞄。

Abacus Port Sentry能够检测到慢扫瞄（slow scan），但它不能检测到结构化攻击（structured attack）。这两种方式最终目的都要试图掩盖攻击意图。慢扫瞄就是通过将端口扫瞄分散到很长的时间内来完成，而在结构化的攻击中，攻击者试图通过扫瞄或探测多个源地址中来掩盖自己的真实攻击目标。

正确地使用这个软件将能够有效地防止对IMAP服务大量的并行扫瞄并且阻止所有这样的入侵者。Abacus Sentry与Linux 2.2内核的IPChains工具一起使用时最有效，IPChains能够自动将所有的端口扫瞄行为定向到Port Sentry。

Linux 2.0内核可以使用IPChains进行修补，Abacus Port Sentry也可以与早期的2.0版内核中的ipfwadm工具一起使用，ipfwadm在2.2版本以后被IPChains取代了。

Abacus Port Sentry还可以被配置来对Linux系统上的UDP扫瞄作出反应，甚至还可以对各种半扫瞄作出反应，如FIN扫瞄，这种扫描试图通过只发送很小的探测包而不是建立一个真正的连接来避免被发现。

当然更好的办法就是使用专门的入侵检测系统，如ISS公司的RealSecure等，它们可以根据入侵报警和攻击签名重新配置防火墙。但这样的产品一般价格较高，普及的用户承受起来有困难。

六、反攻击检测

系统主要通过阻止入侵企图来防止入侵，而反攻击系统则可以反向进行端口扫瞄或发起其它的攻击，这一着让入侵者不仅入侵阴谋未能得逞，反而“引狼入室”，招致反攻击。

有些安全系统如Abacus Sentry具有一定的反攻击能力。比如有的站点有了防止用户通过telnet进行连接，在应答telnet连接请求时，系统将返回一些不受欢迎的恶意信息。这只是一种最简单也是最轻微的反攻击措施。

一般情况下并不提倡使用反攻击功能，因为这样的反攻击措施很容易被非法利用来攻击其它的系统。

七、改进登录

服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别，使用一个更安全的登录服务器来取代Linux自身的登录工具也可以进一步提高安全。

在大的Linux网络中，最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满足所有系统登录需求并且拥有足够的磁盘空间的服务器系统，在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志文件的能力。

●安全syslog即使使用单独的登录服务器，Linux自身的syslog工具也是相当不安全的。因此，有人开发了所谓的安全log服务器，将密码签名集成到日志中。这会确保入侵者即使在窜改系统日志以后也无法做到不被发现。现在最常用的用于取代syslog的安全log服务器称为“安全syslog（ssyslong）”，用户可以从Core SDI站点http://www.core-sdi.com/ssylog处下载这个工具。这个守护程序实现一个称为PEQ-1的密码协议来实现对系统日志的远程审计。即使在入侵者获得系统超级用户权限的情况下也仍然可以进行审计，因为协议保证了以前以及入侵过程中的的log信息没有审计者（在远程可信任的主机上）的通知无法被修改。

●syslog-ng另一个取代syslog的工具是syslog-ng（下一代的syslog）。这是一个更加可配置的守护进程，它提供了密码签名来检测对日志文件的窜改。密码安全登录服务器和远程审计功能一起可以使入侵者极难进行日志窜改并且非常容易被检测到这样的不良企图。用户可以从www.babit.hu/products/syslog-ng.html处下载这个工具。

八、使用单一登录

系统维护分散的大网络环境中的多个用户帐号对于系统管理员来讲是一件非常头疼的事情。现在有一些单一的登录（sign on）系统不仅可以减轻管理员的负担，而同时还提高了安全级别。

网络信息服务（NIS）是一个很好的单一登录系统，它在Sun公司的Yellow Page服务的基础上发展来的，它的基本安全特性不够健状，由于不断有一些bug和脆弱性被公布，因此有人戏称它为网络入侵者服务（Network Intruder Service）。NIS的更新版本NIS+原NIS的不足进行了改进，现在已经有了用于Linux的NIS+版本。

Kerberos也是一种非常有名的单一登录系统。Kerberos v4具有一些很有名的安全漏洞，如入侵者可以离线进行穷尽攻击Kerberos cookie而不会被发现。Ketberos v5大大进行了改进，不会再有v4的问题。

在大的网络中，象NIS和Kerberos这样的单一的登录系统虽然有有利的一面，但也有它不利的一面。一方面，在不同系统上都具有认证机制有助于隔离该功能并且减少它与其它服务相互之间的影响。另一方面，一旦一个系统中的某个帐号被破坏，所有可通过这个帐号访问的系统都将同样遭到破坏。因此在单一的登录系统中特别要求具有较高防猜测水平的口令字。
基于Windows的网络在Windows NT域系统中有自己的单一登录系统。Linux系统可以根据Windows系统进行认证。这允许用户在Windows系统下修改、维护和管理它们的帐号和口令字并且修改结果会在同时在UNIX登录中得到体现。如使用pam_smb，Linux系统可以根据Windows SMB Domain进行认证。这在以Windows网络管理为中心的网络中是相当方便的，但它也带来了Windows认证系统自身的一些不安全性。