将这些脚本保存到本地，然后拷贝或移动到/etc/network/if-up.d目录，当系统启动网络开启后它将被执行，如果你西藏应用这个配置到一个基于Redhat的系统上，你只需简单地运行上面的脚本并用iptables-save命令来重设规则，可以不用重新启动系统。

尽管你可以手动一步一步执行这些步骤，但有一款工具可以使得做这些事情更容易，他就是Bastille(图7、图，它通过问题/答案的形式将你的安全设置信息保存到脚本中，然后将其应用到真实的系统上，在互联网上也可以找到许多对于大部分发行版和应用程序都是可用的手工安全检查列表，最好的检查列表就是由互联网安全中心完成的检查标准，这些标准包括了详细的设置和对特定操作系统及流行的应用程序有关的最佳实践描述，它们是Bastille最好的伙伴。

      
图7 Debian中的Bastille

　　
图8在一个有X环境的Fedora下的Bastille


步骤五：监视/审核
　　最好一步是一个不断进行的过程，持续监视你的系统将验证实现你的安全目标是否超时了，最有用的工具是从/var/log/messages文件提取系统日志，你可以看到许多与系统和应用程序安全有关的信息，许多应用程序有它自己的日志文件，也请仔细审核它们，如果你有许多系统，你应该使用一个中心日志文件服务器来收集日志，在syslog.conf文件可以很容易地进行配置。

　　一个新的代替叫做Splunk(图9)，它有免费的版本(每天限制大小是500M)和企业版本，最让人高兴的是它安装超级容易，并且你可以通过一个革新的基于web的界面象使用google命令似的搜索日志。

　　
图9 Splunk是一个最好且非常有用的开源项目

　　与日志用途一样，它们也不提供一个完整的关于你的安全设置是否工作良好的图形，仅仅经常审核能实现目的，因此我要告诉你如果你的安全措施仍然适当并在运行，我不建议你为每个系统做渗透测试，但是有效性测试你的设置是一个很好的保险措施，创建检查列表或脚本来测试那些维护你系统安全目标的设置是很重要的，代替检查列表，你可以使用—assess开关运行Bastille来得到一个你目前配置的安全报告，你也可以使用CIS检查标准(它依赖于Bastille)作为一个基准检查列表，如果你有能力购买它，你能得到一个顾问服务并用他/她自己的测试校验你的安全，你会更加镇静，特别是你在一家厉害的管理企业工作时。

　　
图10 Bastille评估报表给你显示了当前安全配置的详细信息


上路
　　在你的安装中使用这些步骤是第一步，这个简单、有序的战略将给你的系统带来更多的安全保障，但是，每个系统都不一样，确定你的安全目标匹配你的系统需要，安全并不困难，使用简单可重复的步骤，保留最佳实践和常见弱点，在任何可能的地方实行最小权限，经常查看你的日志，你将发现你已经上路了。

文章出处:51ctom.