許多剛接觸 Linux 網(wǎng)絡(luò)管理員發(fā)現(xiàn),很難由指向點(diǎn)擊式的平安配置界面轉(zhuǎn)換到另一種基于編輯復(fù)雜而難以捉摸的文本文件的界面。本文列出七條管理員能夠也應(yīng)該可計(jì)算機(jī)基礎(chǔ)知識(shí)以做到方法,從而協(xié)助他建立更加平安的 Linux 服務(wù)器,并顯著降低他所面臨的風(fēng)險(xiǎn)。
請(qǐng)任何大型機(jī)構(gòu)的網(wǎng)絡(luò)管理員對(duì) Linux 和網(wǎng)絡(luò)操作系統(tǒng)(如 Window NT 或 Novel 進(jìn)行比擬,可能他會(huì)承認(rèn) Linux 一個(gè)內(nèi)在更加穩(wěn)定,擴(kuò)展性更強(qiáng)的解決方案。可能他還會(huì)承認(rèn),維護(hù)系統(tǒng)免受外部攻擊方面, Linux 可能是三者中最難配置的系統(tǒng)。
這種認(rèn)識(shí)相當(dāng)普遍 — 許多剛接觸 Linux 網(wǎng)絡(luò)管理員發(fā)現(xiàn),很難由指向點(diǎn)擊式的平安配置界面轉(zhuǎn)換到另一種基于編輯復(fù)雜而難以捉摸的文本文件的界面。多數(shù)管理員充分認(rèn)識(shí)到需要手工設(shè)置阻礙和障礙,以阻止可能的黑客攻擊,從而維護(hù)公司數(shù)據(jù)的平安。只是并不熟悉的 Linux 領(lǐng)域內(nèi),不確定自己的方向是否正確,或該從何開(kāi)始。
這就是本文的目的所在列出一些簡(jiǎn)易的方法,協(xié)助管理員保證 Linux 平安,并顯著降低他面臨的風(fēng)險(xiǎn)。本教程列出了七個(gè)這樣的方法,但您也可以在 Linux 手冊(cè)和討論論壇中發(fā)現(xiàn)更多內(nèi)容。
維護(hù)根賬戶
Linux 系統(tǒng)上的根賬戶(或超級(jí)用戶賬戶)就像是滾石演唱會(huì)上的后臺(tái)通行證一樣 — 允許您訪問(wèn)系統(tǒng)中的所有內(nèi)容。因此,值得采取額外的方法對(duì)它加以維護(hù)。首先,用密碼命令給這個(gè)賬戶設(shè)置一個(gè)難以猜測(cè)的密碼,并定期進(jìn)行修改,而且這個(gè)密碼應(yīng)僅限于公司內(nèi)的幾個(gè)主要人物(理想情況下,只需兩個(gè)人)知曉。
然后,對(duì) /etc/securetti 文件進(jìn)行編輯,限定能夠進(jìn)行根訪問(wèn)的終端。為避免用戶讓根終端 “ 開(kāi)放 ” 可設(shè)置 TMOUT 當(dāng)?shù)刈兞繛榉腔顒?dòng)根登錄設(shè)置一個(gè)使用時(shí)間;并將 HISTFILESIZE 當(dāng)?shù)刈兞吭O(shè)為 0 保證根命令記錄文件(其中可能包括機(jī)密信息)處于禁止?fàn)顟B(tài)。最后,制訂一個(gè)強(qiáng)制性政策,即使用這個(gè)賬戶只能執(zhí)行特殊的管理任務(wù);并阻止用戶默認(rèn)以根用戶服務(wù)登錄。
提示:關(guān)閉這些漏洞后,再要求每一個(gè)普通用戶必需為賬戶設(shè)立一個(gè)密碼,并保證密碼不是容易識(shí)別的啟示性密碼,如生日、用戶名或字典上可查到單詞。
裝置一個(gè)防火墻
防火墻幫助您過(guò)濾進(jìn)出服務(wù)器的數(shù)據(jù)包,并確保只有那些與預(yù)定義的規(guī)則相匹配的數(shù)據(jù)包才能訪問(wèn)系統(tǒng)。有許多針對(duì) Linux 優(yōu)秀防火墻,而且防火墻代碼甚至可直接編譯到系統(tǒng)內(nèi)核中。首先應(yīng)用 ipchain 或 iptabl 命令為進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包定義輸入、輸出和轉(zhuǎn)寄規(guī)則。可以根據(jù) IP 地址、網(wǎng)絡(luò)界面、端口、協(xié)議或這些屬性的組合制訂規(guī)則。這些規(guī)則還規(guī)定匹配時(shí)應(yīng)采取何種行為(接受、拒絕、轉(zhuǎn)寄)規(guī)則設(shè)定完畢后,再對(duì)防火墻進(jìn)行詳細(xì)檢測(cè),保證沒(méi)有漏洞存在平安的防火墻是您抵御分布式拒絕服務(wù)( DDoS 攻擊這類常見(jiàn)攻擊的第一道防線。
使用 OpenSSH 處置網(wǎng)絡(luò)事務(wù)
網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)平安是客戶 – 服務(wù)器構(gòu)架所要處理的一個(gè)重要問(wèn)題。如果網(wǎng)絡(luò)事務(wù)以純文本的形式進(jìn)行,黑客就可能 “ 嗅出 ” 網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù),從而獲取機(jī)密信息。您可以用 OpenSSH 之類的平安殼應(yīng)用程序?yàn)閭鬏數(shù)臄?shù)據(jù)建立一條 “ 加密 ” 通道,關(guān)閉這個(gè)漏洞。以這種形式對(duì)連接進(jìn)行加密,未授權(quán)用戶就很難閱讀在網(wǎng)絡(luò)主機(jī)間傳輸?shù)臄?shù)據(jù)。
禁用不必要的服務(wù)
大多數(shù) Linux 系統(tǒng)裝置后,各種不同的服務(wù)都被激活,如 FTP telnet UUCP ntalk 等等。多數(shù)情況下,很少用到這些服務(wù)。讓它處于活動(dòng)狀態(tài)就像是把窗戶打開(kāi)讓盜賊有機(jī)會(huì)溜進(jìn)來(lái)一樣。您可以在 /etc/inetd.conf 或 /etc/xinetd.conf 文件中取消這些服務(wù),然后重啟 inetd 或 xinetd 后臺(tái)順序,從而禁用它另外,一些服務(wù)(如數(shù)據(jù)庫(kù)服務(wù)器)可能在開(kāi)機(jī)過(guò)程中默認(rèn)啟動(dòng),您可以通過(guò)編輯 /etc /rc.d/* 目錄等級(jí)禁用這些服務(wù)。許多有經(jīng)驗(yàn)的管理員禁用了所有系統(tǒng)服務(wù),只留下 SSH 通信端口。
使用垃圾郵件和反病毒過(guò)濾器
垃圾郵件和病毒干擾用戶,有時(shí)可能會(huì)造成嚴(yán)重的網(wǎng)絡(luò)故障。 Linux 有極強(qiáng)的抗病毒能力,但運(yùn)行 Window 客戶計(jì)算機(jī)可能更易受病毒攻擊。因此,郵件服務(wù)器上裝置一個(gè)垃圾郵件和病毒過(guò)濾器,以 “ 阻止 ” 可疑信息并降低連鎖崩潰的風(fēng)險(xiǎn),會(huì)是一個(gè)不錯(cuò)的主意。
首先裝置 SpamA ssassin 這個(gè)應(yīng)用各種技術(shù)識(shí)別并標(biāo)注垃圾郵件的一流開(kāi)源工具,該程序支持基于用戶的白名單與灰名單,提高了精確度。接下來(lái),根據(jù)慣例表達(dá)式安裝用戶級(jí)過(guò)濾,這個(gè)工具可對(duì)收件箱接收的郵件進(jìn)行自動(dòng)過(guò)濾。最后再安裝 Clam Anti-Viru 這個(gè)免費(fèi)的反病毒工具整合 Sendmail 和 SpamA ssassin 并支持電子郵件附件的來(lái)件掃描。
裝置一個(gè)入侵檢測(cè)系統(tǒng)
入侵檢測(cè)系統(tǒng)( IDS 一些幫助您了解網(wǎng)絡(luò)改變的早期預(yù)警系統(tǒng)。能夠準(zhǔn)確識(shí)別(并證實(shí))入侵系統(tǒng)的企圖,當(dāng)然要以增加資源消耗與錯(cuò)誤線索為代價(jià)。您可以試用兩種相當(dāng)知名的 IDS tripwir 跟蹤文件簽名來(lái)檢測(cè)修改; snort 使用基于規(guī)則的指示執(zhí)行實(shí)時(shí)的信息包分析,搜索并識(shí)別對(duì)系統(tǒng)的探測(cè)或攻擊企圖。這兩個(gè)系統(tǒng)都能夠生成電子郵件警報(bào)(以及其它行為)當(dāng)您懷疑您的網(wǎng)絡(luò)受到平安威脅而又需要確實(shí)的證據(jù)時(shí),可以用到
定期進(jìn)行平安檢查
要保障網(wǎng)絡(luò)的平安,這最后一個(gè)步驟可能是最為重要的這時(shí),您扮演一個(gè)反派的角色,努力攻破您在前面六個(gè)步驟是建立的防御。這樣做可以直接客觀地對(duì)系統(tǒng)的平安性進(jìn)行評(píng)估,并確定您應(yīng)該修復(fù)的潛在缺陷。
有許多工具可幫助您進(jìn)行這種檢查:您可以嘗試用 Crack 和 John the Ripper 之類的密碼破解器破譯您的密碼文件;或使用 nmap 或 netstat 來(lái)尋找開(kāi)放的端口;還可以使用 tcpdump 探測(cè)網(wǎng)絡(luò);另外,您還可以利用您所安裝的順序(網(wǎng)絡(luò)服務(wù)器、防火墻、 Samba 上的公開(kāi)漏洞,看看能否找到進(jìn)入的方法。如果您設(shè)法找到突破障礙的方法,其他人同樣也能做到您應(yīng)立即采取行動(dòng)關(guān)閉這些漏洞。計(jì)算機(jī)基礎(chǔ)知識(shí)
維護(hù) Linux 系統(tǒng)是一項(xiàng)長(zhǎng)期的任務(wù),完成上述方法并不表示您可以高枕無(wú)憂。訪問(wèn) Linux 平安論壇了解更多安全提示,同時(shí)主動(dòng)監(jiān)控并更新系統(tǒng)安全措施。
上一條:SATA接口有幾種方法?
下一條:Netscape
上海廣樂(lè)網(wǎng)絡(luò)科技有限公司 
滬ICP備14038021號(hào)-2 版權(quán)所有. 上海市市轄區(qū)浦東新區(qū)盛夏路666號(hào)盛銀大廈E棟 13151091625
