【IT专家网独家】在Linux安全领域，最近加入了不少极具吸引力的新成员，比如SELinux、AppArmor以及各种形式的虚拟化技术。(尽管已经发现虚拟机就像chroot jail一样并非难以攻破，所以不要指望靠它获得强壮的安全性。)

　　但与此同时，也不要忽略了可靠而有用的老前辈Bastille Linux。Bastille Linux既是用于增强Linux系统安全性的一系列Perl脚本，又是一种学习Linux安全知识的工具。我的推荐做法是，通过运行它来采取基本的安全措施，从而为系统安全打下基础——新出现的技术固然不错，但基础性的保护仍是重要和有价值的。

　　最好在一个刚装好的、尚未与不可信赖的网络进行连接的系统上运行Bastille。你可以把它用在现有的系统上，但为了确保没在徒劳地保护一个已经漏洞百出的系统，尽量在一个刚装好的系统上运行它。

　　Bastille的名字变更

　　Bastille已经正式更名为Bastille Unix，因为它也支持Mac OS X和HP-UX。由于http://www.bastille-linux.org这个域名已经戏剧性地被其他人控制了，所以Bastille的官方网址是http://www.bastille-unix.org。对此感兴趣的人可以在这个链接看到围绕域名发生的整个故事。请记得通过http://www.bastille-unix.org来访问官方网站，而不是其他网址。

　　支持的系统

　　Bastille并不是在每一种Linux发行版上都能运行。到目前为止，它支持Red Hat及其派生系统(CentOS、Pie Box等)、Fedora、SUSE、Debian、Gentoo和Mandriva，以及HP-UX和Mac OS X。它能在Kubuntu上运行，也许能在Sabayon(Gentoo)等其它派生系统上运行，但我还没有一一试过。

　　评估模式

　　Bastille推出了一种新的评估和报告工具bastille –assess，但这个工具只能在Red Had及其派生系统和SUSE上运行。如果你在不被支持的系统上运行它，它会告诉你一个有用的出错提示，并给出一个所支持平台的列表。

　　确保你已经安装了perl-Tk软件包以及用于Ncurses界面的perl-Curses软件包。然后从发行站点获取并安装Bastille RPM，安装命令是：

　

以下是引用片段： 　# rpm -ivh Bastille-3.0.9-1.0.noarch.rpm

　　然后在评估模式下运行它：

　

以下是引用片段： 　# bastille --assess

　　这将对你的系统进行一次只读扫描，最后生成一份类似这样的很不错的报告。这么做能给你一份系统快照，而不需要让整个Bastille首先运行一次。制作这种前后评估报告(before and after assessment reports)是一个很有价值的练习，能帮助你进行系统微调。你可以借此更进一步，为不同的选项指定不同的权重;默认的权重未必能反映你的系统策略或优先级，你可以调整它们来适应自己的系统。

　　Debian用户可以通过aptitude install bastille来安装Bastille，Gentoo用户可以通过portage系统。

　　运行Bastille

　　我不准备讨论每一个选项，只说明一些重要的地方。对大多数选项回答yes还是no，取决于你想让系统达到何等的安全程度，而Bastille在运行过程中也会给你许多帮助信息。

　　Bastille既能在Ncurses界面中运行，也能在使用Perl-Tk的X窗口中运行。对我来说，Perl-Tk界面的可读性不太好并且有些笨拙，所以我使用Ncurses。可以通过下面的命令进入Perl-Tk界面：

　

以下是引用片段： 　# bastille -x

　　在Ncurses中使用下面的命令来运行：

　

以下是引用片段： 　# bastille -c

　　bastille –r命令能还原所有的修改，所以可以放心大胆地去尝试做修改。但如果你确实改变了主意，想恢复到原来的设置，就应该马上去做，而不要等到几个月后你已经忘掉了对系统做了哪些修改。bastille –log命令能让你进行一次演练，而不会对系统造成任何改变。