當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 陜西OA系統(tǒng) > 西安OA系統(tǒng) > 西安OA快博
打造更安全Linux系統(tǒng)
詢問一個(gè)大企業(yè)的網(wǎng)絡(luò)管理員,讓他比較一下Linux,Windows NT和Novell這三個(gè)網(wǎng)絡(luò)操作系統(tǒng),很可能他會認(rèn)為Linux是一個(gè)天生更具堅(jiān)固性和可伸縮性的解決方案。但他也很可 能同樣會認(rèn)為當(dāng)面對外部攻擊時(shí),如果要增強(qiáng)系統(tǒng)安全性的話,Linux是三個(gè)系統(tǒng)中最難處理的一個(gè)。
這種感覺并不少見——許多新接觸Linux的網(wǎng)絡(luò)管理員都發(fā)現(xiàn)自己難以從簡單點(diǎn)擊配置的安全設(shè)置接口,轉(zhuǎn)換到一個(gè)基于復(fù)雜難懂可編輯文本文件(且難以尋找)的安全接口。絕大 多數(shù)管理員都了解人為設(shè)置一些路障和陷阱以對付黑客的必要性,并保證你的企業(yè)數(shù)據(jù)安全;不過,在他們并不熟悉的Linux世界里,他們只是不太清楚他們應(yīng)當(dāng)做些什么,或者是 從哪里下手。
本文描述了一些管理員可以輕松做到的事情,從而令他們的Linux服務(wù)器變得更加安全,并可以顯著降低他們所面對的風(fēng)險(xiǎn)。這個(gè)教程列出了7件事項(xiàng),不過你可以在Linux的手冊和 論壇上找到更多的有關(guān)資料。
1.保護(hù)root帳戶
Linux系統(tǒng)上的root帳戶(或superuser帳戶)就像是一個(gè)音樂廳的后臺通道——它能讓你對任何事物做任何事情。基于這個(gè)原因,采取一些額外步驟來保護(hù)它也是值得的。從使用 passwd命令為它設(shè)置一個(gè)難于猜測的口令作為開始,定期修改口令,并嚴(yán)格限制企業(yè)之中僅有少數(shù)關(guān)鍵人知道該口令(理想狀態(tài)是僅有兩個(gè)人知道)。
下一步,通過編輯/etc/securetty,限制可以進(jìn)行root登錄的終端。要想避免因用戶暫時(shí)離開而導(dǎo)致root終端被人所用,可以通過設(shè)置本地變量TMOUT,為root的登錄設(shè)置一個(gè)非活 動的超時(shí)時(shí)間,并通過設(shè)置本地變量HISTFILESIZE為0,以保證root的命令行歷史(可能含有敏感信息)被禁止。最后,執(zhí)行一個(gè)策略,只使用該帳戶來執(zhí)行特定的管理任務(wù),并阻 止用戶以root作為默認(rèn)登錄。
小技巧:一旦你已經(jīng)關(guān)閉了上述漏洞,下一步就是要求任何一個(gè)普通用戶帳戶必須設(shè)置一個(gè)口令,而且該口令不應(yīng)當(dāng)很容易被猜出來,比如用用戶的生日,用戶的名字,或是一個(gè) 詞典中能查到的單詞。
2.安裝防火墻
一個(gè)防火墻讓你可以對進(jìn)出服務(wù)器的數(shù)據(jù)包進(jìn)行過濾,確保只有那些符合預(yù)先制定好規(guī)則的數(shù)據(jù)才可以被允許正常出入。在Linux下有許多優(yōu)秀的防火墻可用,而且防火墻的代碼甚 至可以直接被編譯到核心里。使用ipchains或iptables命令,以定義數(shù)據(jù)包的輸入,輸出以及轉(zhuǎn)發(fā)規(guī)則作為開始,限定數(shù)據(jù)包如何進(jìn)出網(wǎng)絡(luò)。規(guī)則可以基于IP地址,網(wǎng)絡(luò)接口,端 口,協(xié)議或者上述這些的組合;這些規(guī)則同時(shí)也定義了當(dāng)遇到相符情況時(shí),應(yīng)當(dāng)采取什么行動(接受,拒絕,轉(zhuǎn)發(fā))。一旦規(guī)則安裝完畢,廣泛測試一下防火墻,以確保沒有任何 漏洞遺存其中。一個(gè)好的防火墻是你防范常見攻擊(比如DDoS分散式拒絕服務(wù)攻擊,DDoS是distributed denial of service的簡稱)的第一道防線。
3.為網(wǎng)絡(luò)事務(wù)使用OpenSSH
在客戶-服務(wù)器架構(gòu)中,重要的一點(diǎn)就是保證通過網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性。如果網(wǎng)絡(luò)傳輸采取的是純文本,很可能會被黑客“嗅探”到該數(shù)據(jù)包,從而獲得敏感信息。你可以通過使 用類似OpenSSH這樣的安全工具,從而為你的數(shù)據(jù)構(gòu)建一條安全的加密“信道”,從而堵住這個(gè)漏洞。在這種情況下,加密你的鏈接可以讓未授權(quán)用戶試圖讀取往來于網(wǎng)絡(luò)主機(jī)之間 的數(shù)據(jù)變得極為困難。
4.關(guān)閉不需要的服務(wù)
絕大多數(shù)的Linix系統(tǒng)安裝完畢后,都開啟了一系列的多種不同服務(wù),比如FTP,telnet,UUCP,ntalk等等。在絕大多數(shù)情況下,這些服務(wù)很少用到,而保留這些服務(wù)為活動狀態(tài), 無異于打開你的窗戶等著小偷進(jìn)來。你可以通過在/etc/inetd.conf或/etc/xinetd.conf文件中把他們注釋掉,然后重起inetd或xinetd daemon的方法禁止這些服務(wù)。另外,一些服 務(wù)(比如,數(shù)據(jù)庫服務(wù)器)可能會在默認(rèn)的啟動進(jìn)程中開啟;你可以通過編輯/etc/rc.d/*目錄層次禁止它們。許多有經(jīng)驗(yàn)的管理員禁止所有的系統(tǒng)服務(wù),僅保留SSH通訊端口開啟 。
5.使用垃圾郵件和反病毒過濾器
垃圾郵件合并都會使你的用戶很苦惱,并且有時(shí)候會導(dǎo)致嚴(yán)重的網(wǎng)絡(luò)故障。Linux對病毒的抵抗能力令人驚訝,但是運(yùn)行著Windows系統(tǒng)的客戶機(jī)可就容易感染得多。因此,在你的 郵件服務(wù)器上安裝一個(gè)反垃圾郵件和反病毒的過濾器是很好的一個(gè)主意,以便直接拔掉可疑郵件的“毒牙”,并降低造成系列傳染的風(fēng)險(xiǎn)。
通過安裝SpamAssassin,一個(gè)居于領(lǐng)先地位的開源工具,使用了不同技術(shù)的組合以確認(rèn)和標(biāo)記垃圾郵件;該程序同樣也支持基于用戶的白名單和更具精確性的灰名單。下一步,安 裝Procmail,進(jìn)行基于特定表達(dá)式的用戶層過濾;這個(gè)工具允許在用戶和系統(tǒng)級別上對收到的信件進(jìn)行自動過濾。最后,安裝Clam Anti-Virus,一個(gè)免費(fèi)的反病毒工具,可以和 sendmail以及SpamAssassin相集成,并支持對郵件附件的讀取掃描。
6.安裝一個(gè)入侵檢測系統(tǒng)
入侵檢測系統(tǒng)(IDS,Intrusion detection systems)是早期預(yù)警系統(tǒng),可以讓你了解網(wǎng)絡(luò)上發(fā)生了改變。這是一個(gè)識別(和證明)對系統(tǒng)的侵入企圖的好方法,雖然其資源消耗 成本不斷增加。有兩種相當(dāng)為人熟知的IDS你可以考慮嘗試:tripwire,通過跟蹤文件的簽名來發(fā)現(xiàn)改動;以及snort,使用基于規(guī)則的指令來執(zhí)行實(shí)時(shí)數(shù)據(jù)包分析,并搜索和鑒別 對你系統(tǒng)進(jìn)行探測和入侵的企圖。兩者都可以生成Email警報(bào)(在其他行為之中),在你懷疑系統(tǒng)遭受入侵但還需要權(quán)威性證明的情況下非常有用。
7.執(zhí)行正式的安全審核
說到保證網(wǎng)絡(luò)安全,最后的這一步可能是最重要的一步。在先前的步驟中盡力豎起了你的防御系統(tǒng)。再做到這一步,可以讓你立即獲得對于系統(tǒng)牢固性的一個(gè)客觀評價(jià),并找出那 些應(yīng)當(dāng)修正的潛在漏洞。
在這個(gè)審核中,有很多工具可用于幫助你:你可以通過使用類似Crack和John the Ripper這樣的口令破解器來試圖攻擊你的口令文件;你可以使用nmap或者netstat來查找開放的端 口;你可以使用tcpdump來對網(wǎng)絡(luò)進(jìn)行嗅探;并且你也可以試圖對已經(jīng)安裝的程序(WEB服務(wù)器,防火墻,Samba)進(jìn)行常見漏洞攻擊,看看他們是否的確存在著薄弱之處。如果你的 確找到了通過這些防御措施的方法,可想而知?jiǎng)e人也可以這么做;立刻采取措施封堵漏洞。
保護(hù)你的Linux系統(tǒng)是一個(gè)不斷進(jìn)行的工作,所以你不能僅僅因?yàn)樽龊昧松厦孢@些步驟就以為可以放松休息了。你應(yīng)該去了解更多的安全技巧,并在第一時(shí)間監(jiān)控和更新你的安全系 統(tǒng)。(zdnet)
- 1長安鈴木推0立方計(jì)劃 天語SX4享三重優(yōu)惠
- 2客戶做自己OA系統(tǒng)的主人始終是泛普軟件的最終目標(biāo)
- 3深圳大運(yùn)會投140億元收12億元 審計(jì)發(fā)現(xiàn)問題
- 4計(jì)世獨(dú)家:云計(jì)算 風(fēng)云乍起
- 5愛康科技兩股東減持
- 6美批準(zhǔn)6330億美元軍費(fèi) 承認(rèn)日本對釣魚島管轄權(quán)
- 7計(jì)世獨(dú)家:開源軟件服務(wù)需打造體驗(yàn)文化
- 8澳專家稱美日2013年或?qū)θA開戰(zhàn)
- 9巧用三層交換安全策略預(yù)防病毒
- 10雙因素認(rèn)證遭遇“中間人攻擊”
- 11人大:不必?fù)?dān)心網(wǎng)絡(luò)實(shí)名制影響舉報(bào)貪腐
- 12解讀版本控制工具
- 13小戶型櫥柜將是未來消費(fèi)主流趨勢
- 14中國億萬富豪家族企業(yè)迎換班高峰 女少東家登臺
- 15計(jì)世獨(dú)家:云計(jì)算構(gòu)建基于互聯(lián)網(wǎng)的應(yīng)用
- 16“云計(jì)算”時(shí)代來臨 挑起兩個(gè)時(shí)代戰(zhàn)爭
- 17蚌埠八一化工廠發(fā)生爆炸 系年內(nèi)第二次爆炸
- 182012太陽能等新能源補(bǔ)貼超200億元
- 19泛普OA系統(tǒng)允許增加四種類型計(jì)算方式
- 20四川明年前兩月暫停網(wǎng)上預(yù)約駕考 由駕校預(yù)約
- 21虛擬化容災(zāi)成災(zāi)備系統(tǒng)建設(shè)新方法
- 22處理熱浪的五種方法
- 23掌握家裝洽談五大技巧-1
- 24安倍稱擔(dān)憂其任首相后中日爆發(fā)戰(zhàn)爭不現(xiàn)實(shí)
- 25交換機(jī)漏洞五宗罪
- 26構(gòu)建數(shù)據(jù)中心底層平臺
- 27加快中國開源軟件的發(fā)展
- 28企業(yè)級城域網(wǎng)和局域網(wǎng)部署核心技術(shù)
- 29虛擬化十四問
- 30京城租房客頻遭退押金難 中介公司制造合同陷阱
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓