|
時(shí)常有人說�����,Linux比Windows更安全��。但與網(wǎng)絡(luò)連接的任何計(jì)算機(jī)是不可能絕對(duì)安全的�。
正如我們需要經(jīng)常注意院子的圍墻是否堅(jiān)固一樣���,對(duì)操作系統(tǒng)也需要我們經(jīng)常維護(hù)和強(qiáng)化�。在此�,我們僅談?wù)搸讉(gè)用戶可以用來強(qiáng)化系統(tǒng)的大體步驟。
本文重點(diǎn)談的是如何強(qiáng)化的問題�����,不過在開始強(qiáng)化之前,用戶需要對(duì)以下三個(gè)問題有一個(gè)清醒的認(rèn)識(shí)��,一個(gè)問題是這個(gè)系統(tǒng)用于什么目的����,二是它需要運(yùn)行哪些軟件,三是用戶需要防護(hù)哪些漏洞或威脅����。這三個(gè)問題依次為因果關(guān)系,即前一個(gè)問題是后一個(gè)問題的原因����,后一個(gè)問題是前一個(gè)的結(jié)果。
從零開始
從一個(gè)已知的安全狀態(tài)開始強(qiáng)化一個(gè)系統(tǒng)是完全可能的�����,但在實(shí)際上這種強(qiáng)化也可以從一個(gè)“裸體”系統(tǒng)開始��。這意味著用戶將擁有對(duì)系統(tǒng)盤重新分區(qū)的機(jī)會(huì)���,將所有的數(shù)據(jù)文件與操作系統(tǒng)文件分離開來未嘗不是一個(gè)謹(jǐn)慎的安全措施��。
下一步是配置一個(gè)最小的安裝�����,當(dāng)然得讓系統(tǒng)啟動(dòng)���,然后添加必要的能夠完成工作的程序包�����。這一步很關(guān)鍵����。為什么需要最少化安裝呢��?原因在于機(jī)器中的代碼越少�����,可被利用的漏洞就會(huì)越少:誰(shuí)也無法利用并不存在的漏洞����,是不是����?你還需要給操作系統(tǒng)打補(bǔ)丁��,并且還得給運(yùn)行在這個(gè)系統(tǒng)上的所有應(yīng)用程序打補(bǔ)丁�。
不過��,要注意�,如果有人能夠從物理上接近所訪問的機(jī)器,他就有可能從光盤或其它媒體啟動(dòng)計(jì)算機(jī)�,并獲取系統(tǒng)的訪問權(quán)。因此��,用戶最好配置一下系統(tǒng)的BIOS���,限制僅能從硬盤啟動(dòng)����,并且要用一個(gè)強(qiáng)健的口令來保護(hù)這種設(shè)置��。
下一步是編譯一下自己的系統(tǒng)內(nèi)核�����,這里還是要強(qiáng)調(diào)僅包含那些你需要的部分���。一旦你自己定制的系統(tǒng)構(gòu)建完畢�����,重新啟動(dòng)進(jìn)入內(nèi)核�����,那你所擁有內(nèi)核的被攻擊的可能性將極大地減少�����。但強(qiáng)化系統(tǒng)的方法不限于此�����,好戲還在后頭�����。
減少服務(wù)
運(yùn)行了經(jīng)過瘦身的系統(tǒng)之后��,下一步就是要確保僅運(yùn)行你需要的服務(wù)���。到現(xiàn)在為止,用戶已經(jīng)清除了許多服務(wù)����,但還有可能有許多服務(wù)仍在后臺(tái)運(yùn)行�����。用戶需要在多個(gè)地方找到這些服務(wù)���,如/etc/init.d 和 /etc/rc.d/rc.local等包含多種啟動(dòng)進(jìn)程的位置,要檢查由cron所啟動(dòng)的一切東西��。用戶還可以用netstat或Nmap等程序檢查監(jiān)聽套接字����。比如,許多用戶需要禁用的服務(wù)可能包括網(wǎng)絡(luò)文件系統(tǒng)(samba)���、遠(yuǎn)程訪問服務(wù)等����。
當(dāng)然不能一概而論��,如果你確實(shí)需要某些服務(wù)��,就要設(shè)法限制它對(duì)系統(tǒng)其余部分的潛在破壞性作用�����,要盡可能讓其在自己的chroot路徑中運(yùn)行,使其與文件系統(tǒng)的其余部分相分離���。
重視許可問題
作為用戶或管理人員����,必須要保證任何用戶都不能執(zhí)行其不必要的程序或打開不必要文件�。管理員應(yīng)當(dāng)審計(jì)整個(gè)系統(tǒng),并將每個(gè)文件的許可減少到最小的可行程度���。我們的目標(biāo)是任何人都不能讀取或?qū)懭肱c其無關(guān)的文件��。此外�����,還應(yīng)當(dāng)對(duì)所有的敏感數(shù)據(jù)加密����。
進(jìn)一步講��,管理員要保證擁有一個(gè)安全的root口令�����,而且知道此口令的人越少越好�,只有這樣,才能保障任何人都無法訪問他們不應(yīng)當(dāng)訪問的賬戶��。還要保障用戶登錄信息的最新�����,要堅(jiān)持口令的到期時(shí)間等策略問題����。此外,清除預(yù)先提供的賬戶也是很聰明的做法���,或者至少要改變默認(rèn)的口令����。
需要強(qiáng)調(diào)的是�����,安全是一個(gè)過程而非一個(gè)臨時(shí)性的活兒。這就意味著�,管理人員應(yīng)當(dāng)監(jiān)視并進(jìn)一步強(qiáng)化系統(tǒng),特別是需要監(jiān)視系統(tǒng)日志����,要以盡可能快的速度為系統(tǒng)打補(bǔ)丁。還要關(guān)注安全咨訊���,在獲知最新的漏洞后����,能盡快地應(yīng)對(duì)之���。所以本文并不能全面解決Linux安全�����,而是向用戶展示強(qiáng)化系統(tǒng)的一些可能性�����。
如果你是一個(gè)linux用戶或管理者�����,應(yīng)當(dāng)采取一些步驟使其更安全���,但這有可能降低系統(tǒng)效率����。所以關(guān)鍵是找到一個(gè)恰當(dāng)?shù)钠胶恻c(diǎn)���。
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
