|
時常有人說,Linux比Windows更安全�����。但與網(wǎng)絡(luò)連接的任何計算機是不可能絕對安全的。
正如我們需要經(jīng)常注意院子的圍墻是否堅固一樣��,對操作系統(tǒng)也需要我們經(jīng)常維護和強化����。在此,我們僅談?wù)搸讉用戶可以用來強化系統(tǒng)的大體步驟���。
本文重點談的是如何強化的問題��,不過在開始強化之前���,用戶需要對以下三個問題有一個清醒的認識,一個問題是這個系統(tǒng)用于什么目的��,二是它需要運行哪些軟件�����,三是用戶需要防護哪些漏洞或威脅���。這三個問題依次為因果關(guān)系���,即前一個問題是后一個問題的原因�,后一個問題是前一個的結(jié)果���。
從零開始
從一個已知的安全狀態(tài)開始強化一個系統(tǒng)是完全可能的��,但在實際上這種強化也可以從一個“裸體”系統(tǒng)開始�����。這意味著用戶將擁有對系統(tǒng)盤重新分區(qū)的機會����,將所有的數(shù)據(jù)文件與操作系統(tǒng)文件分離開來未嘗不是一個謹慎的安全措施�。
下一步是配置一個最小的安裝���,當然得讓系統(tǒng)啟動�����,然后添加必要的能夠完成工作的程序包����。這一步很關(guān)鍵�����。為什么需要最少化安裝呢?原因在于機器中的代碼越少�,可被利用的漏洞就會越少:誰也無法利用并不存在的漏洞,是不是�?你還需要給操作系統(tǒng)打補丁,并且還得給運行在這個系統(tǒng)上的所有應(yīng)用程序打補丁�����。
不過����,要注意,如果有人能夠從物理上接近所訪問的機器���,他就有可能從光盤或其它媒體啟動計算機��,并獲取系統(tǒng)的訪問權(quán)�。因此�����,用戶最好配置一下系統(tǒng)的BIOS����,限制僅能從硬盤啟動���,并且要用一個強健的口令來保護這種設(shè)置。
下一步是編譯一下自己的系統(tǒng)內(nèi)核���,這里還是要強調(diào)僅包含那些你需要的部分��。一旦你自己定制的系統(tǒng)構(gòu)建完畢�,重新啟動進入內(nèi)核�����,那你所擁有內(nèi)核的被攻擊的可能性將極大地減少����。但強化系統(tǒng)的方法不限于此�,好戲還在后頭。
減少服務(wù)
運行了經(jīng)過瘦身的系統(tǒng)之后��,下一步就是要確保僅運行你需要的服務(wù)��。到現(xiàn)在為止�,用戶已經(jīng)清除了許多服務(wù)��,但還有可能有許多服務(wù)仍在后臺運行��。用戶需要在多個地方找到這些服務(wù)��,如/etc/init.d 和 /etc/rc.d/rc.local等包含多種啟動進程的位置��,要檢查由cron所啟動的一切東西����。用戶還可以用netstat或Nmap等程序檢查監(jiān)聽套接字�。比如,許多用戶需要禁用的服務(wù)可能包括網(wǎng)絡(luò)文件系統(tǒng)(samba)�����、遠程訪問服務(wù)等��。
當然不能一概而論�����,如果你確實需要某些服務(wù)��,就要設(shè)法限制它對系統(tǒng)其余部分的潛在破壞性作用���,要盡可能讓其在自己的chroot路徑中運行�����,使其與文件系統(tǒng)的其余部分相分離��。
重視許可問題
作為用戶或管理人員�,必須要保證任何用戶都不能執(zhí)行其不必要的程序或打開不必要文件。管理員應(yīng)當審計整個系統(tǒng)����,并將每個文件的許可減少到最小的可行程度。我們的目標是任何人都不能讀取或?qū)懭肱c其無關(guān)的文件�����。此外��,還應(yīng)當對所有的敏感數(shù)據(jù)加密����。
進一步講�,管理員要保證擁有一個安全的root口令,而且知道此口令的人越少越好��,只有這樣,才能保障任何人都無法訪問他們不應(yīng)當訪問的賬戶�����。還要保障用戶登錄信息的最新����,要堅持口令的到期時間等策略問題。此外���,清除預(yù)先提供的賬戶也是很聰明的做法���,或者至少要改變默認的口令。
需要強調(diào)的是�,安全是一個過程而非一個臨時性的活兒。這就意味著�����,管理人員應(yīng)當監(jiān)視并進一步強化系統(tǒng)�����,特別是需要監(jiān)視系統(tǒng)日志���,要以盡可能快的速度為系統(tǒng)打補丁�����。還要關(guān)注安全咨訊�,在獲知最新的漏洞后,能盡快地應(yīng)對之����。所以本文并不能全面解決Linux安全,而是向用戶展示強化系統(tǒng)的一些可能性����。
如果你是一個linux用戶或管理者,應(yīng)當采取一些步驟使其更安全��,但這有可能降低系統(tǒng)效率���。所以關(guān)鍵是找到一個恰當?shù)钠胶恻c���。
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強���!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
