关于加固RHEL平台，Red Hat Enterprise Linux（RHEL）有大量指南和技巧，但是对于加固Novell的SUSE Linux Enterprise Server（SLES）就没有那么多技巧。在本文中，TechTarget中国的特约专家James Turnbull将介绍使用八大步骤加固SLES（假定你运行的是SLES 10）。

　　最小化SLES安装

　　像多数版本一样，SLES提供最小化安装选项。你能在初始化安装过程中选择这个选项，就可以在系统上进行最小化安装，大概有200到300个包，不包括GUI或者任何开发工具。如果你安装了大量主机，那么我建议你使用AutoYaST和配置管理工具Puppet自动化安装进程。

　　对服务有所选择

　　安装后，注意多数版本（包括SLES）初始化了大量不必要的服务。SLES也添加了可能不必要的一些用户和组。要解决这个问题，使用内置配置工具YaST。如果你已经安装GUI，能从window manager启动它。或者你能以本文模式运行YaST。你可以使用YaST删除不想要的用户和组，并且禁用不想要的服务。

　　锁定正在运行的服务

　　你想要维护的一个重要服务是确保shell（SSH）服务器的安全，这允许你确保主机远程管理的安全。你就需要配置和锁定SSH以完全利用这个服务。

　　另一个锁定工具是AppArmor，Novell专用于SELinux。AppArmor只允许应用执行他们所需的功能，限制潜在的恶意攻击。不过AppArmor需要大量配置和管理。

　　主机防火墙

　　既然我们已经限制了我们的服务，就可以运行防火墙。SLES带有过滤器防火墙，可以使用YaST（#sec_fire_suse_yast）或者通过编辑/etc/sysconfig/SuSEfirewall2文件配置。编辑后，需要重启防火墙使新规则生效。使用防火墙规则时需要注意：错误的规则可能导致你被主机拒之门外。

　　不以根用户运行

　　除了少量任务必须需要管理员以根用户登录之外，你应该不以根用户身份管理主机。Linux各个版本提供了非常有用的机制，叫做sudo，允许授权用户短暂地（默认是五分钟）提升他们的验证，以根用户身份运行某些命令。这个过程会被追踪并写入日志，让你知道谁在执行什么命令。你也可以限制能够执行的命令。sudo包通过编辑/etc/sudoers文件配置。

　　创立密码策略

　　除了sudo这样的工具，巩固用户账户的最佳方式是建立强劲的密码策略。确保你的用户明白简单的密码容易受到攻击，不应该使用。像许多Linux版本一样，SLES使用PAM模式帮助你控制密码和授权策略。

　　保持软件包的更新

　　通常，主动出击是第一道防线。在事情没发生之前就做好保护措施。保护主机你能做的一件事是阻止它们在更新时受到攻击。经常对包进行检查、下载和应用。YaST提供了最简单的方法（通过使用GUI或者使用基于ncurses命令行版本的方式）。你也能检查Novell的安全信息包上的SLES相关的安全补丁和问题。

　　监控并回应

　　最后，加固主机后，你需要对其进行监控。查看日志，将系统日志直接输入到某个日志服务器，并且使用像SEC或者Swatch这样的工具检查日志输出。你需要调整相关性，确保产生正确的告警。

　　以上就是加固SLES主机的八个简单步骤。你可以在Novell网站和SLES文档里找到额外的安全和系统管理信息。