Linux服務(wù)器平臺的安全保護(hù) (1)

互聯(lián)網(wǎng)上有許多企業(yè)公司和組織采用Linux作為服務(wù)器平臺。當(dāng)這些服務(wù)器與互聯(lián)網(wǎng)連接以提供應(yīng)用服務(wù)時，不可避免地會成為攻擊目標(biāo)。本文討論Linux系統(tǒng)安全配置的一些基本知識，以幫助你保護(hù)Linux系統(tǒng)。

雖然在這里以Red Hat 6.0為例子，但也應(yīng)該適用于其它Linux發(fā)行版本。

1、安裝

配置系統(tǒng)安全的頭一步最好是在系統(tǒng)的開始－－操作系統(tǒng)的安全。因?yàn)榕渲玫氖欠阑饓�，所以你絕對不能信任任何以前的系統(tǒng)安裝和配置，而應(yīng)該從全新安裝開始，才能真正保證系統(tǒng)安全的完整性。

使你的系統(tǒng)處于單獨(dú)（或隔離）的網(wǎng)絡(luò)中。決不要讓未受保護(hù)的系統(tǒng)連接到其它網(wǎng)絡(luò)或互聯(lián)網(wǎng)中受到可能的攻擊。按我個人的經(jīng)驗(yàn)，一個連接到互聯(lián)網(wǎng)的新安裝系統(tǒng)可以在15分鐘內(nèi)被掃描和入侵取得完全控制權(quán)。你可能需要另一臺機(jī)器從互聯(lián)網(wǎng)獲取重要工具和安全補(bǔ)丁等等，然后再從這些機(jī)器將其傳送到單獨(dú)的"配置網(wǎng)絡(luò)"中。

當(dāng)把將要作為未來防火墻的機(jī)器放置于隔離的網(wǎng)絡(luò)中時，就可以開始下一步了。

第一步是選擇操作系統(tǒng)將要安裝的軟件包。對于Red Hat 6.0，提供了三種安裝選擇：Workstation（工作站）、Server（服務(wù)器）、Custom（定制，缺省選項(xiàng)）。我個人強(qiáng)烈推薦"定制"，因?yàn)檫@允許你選擇添加哪些服務(wù)和硬盤如何分區(qū)。安裝策略是在維持最大化效率時進(jìn)行"最小化"安裝。系統(tǒng)中的軟件越少，潛在的安全漏洞就會越少。例如，如果你不需要News或Real Audio Server，就不要安裝它。Linux系統(tǒng)有一個好處就是如果你后來改變了想法，也是很容易添加所需軟件包的。不管選擇了哪種安裝方式，手冊頁和HOWTO文檔都應(yīng)該是必不可缺的。雖然可能會使系統(tǒng)增加一點(diǎn)點(diǎn)風(fēng)險，但它們有時確實(shí)特別有用。

如果選擇了"定制"安裝，會被提示進(jìn)行硬盤分區(qū)。我個人通常喜歡使根分區(qū)盡可能地大，并且把所有東西都放在那里。然后，我們確實(shí)需要創(chuàng)建幾個分區(qū)以保護(hù)根分區(qū)。因?yàn)槿绻�根分區(qū)被例如系統(tǒng)日志或電子郵件等數(shù)據(jù)塞滿的話，就會出現(xiàn)拒絕服務(wù)，甚至有可能使系統(tǒng)崩潰。

因此，我總是推薦為/var設(shè)置一個單獨(dú)的分區(qū)。/var是用于存放系統(tǒng)所有日志和電子郵件的地方，將/var分區(qū)獨(dú)立出來，就能夠有效地保護(hù)根分區(qū)被這些數(shù)據(jù)塞滿。對于許多網(wǎng)絡(luò)環(huán)境，為/var分區(qū)設(shè)置不少于400MB基本上就足夠了。另外可以考慮為某些特定的服務(wù)或應(yīng)用創(chuàng)建或保留單獨(dú)的分區(qū)，特別是敏感的日志記錄。如果系統(tǒng)中存在不可完全信任的用戶，也許應(yīng)該為/home創(chuàng)建單獨(dú)的分區(qū)，這樣可以避免惡意用戶輕易攻擊/根分區(qū)。對于一臺獨(dú)立服務(wù)器以下是一個分區(qū)實(shí)例：

/ - everything else

/var - 400 MB

swap - (I normally go with 256 MB)

當(dāng)系統(tǒng)安裝完成并重啟后，務(wù)必要安裝必需的安全補(bǔ)丁。對于Red Hat，可以到http://www.redhat.com/apps/support/updates.html找到它的所有安全補(bǔ)丁程序。安全補(bǔ)丁對于維持一個安全的防火墻是至關(guān)重要的，應(yīng)該經(jīng)常保持更新。

bugtraq@securityfocus.com或redhat-watch-list-request@redhat.com是獲取最新安全漏洞信息的最佳資源。如果不安裝這些補(bǔ)丁，你的系統(tǒng)可能會輕易入侵。記住，從上面提及的另一臺機(jī)器獲取這些補(bǔ)丁，防火墻機(jī)器應(yīng)該仍處于隔離網(wǎng)絡(luò)中。對于Red Hat系統(tǒng)，下載RPM包會使系統(tǒng)更新變得更簡單。例如是對wu-ftpd進(jìn)行安全升級的實(shí)例：

rpm -Uvh wu-ftpd-2.6.0-14.6x.i386.rpm

如果系統(tǒng)早已處于互聯(lián)網(wǎng)上，可以直接從互聯(lián)網(wǎng)上安裝：

rpm -Uvh ftp://updates.redhat.com/6.1/i386/wu-ftpd-2.6.0-14.6x.i386.rpm

推薦使用autorpm工具保持對RPM軟件包的補(bǔ)丁更新。這個命令行工具分析確定哪些.rpm包需要升級，并會自動（如果你愿意的話）從Red Hat的網(wǎng)站上下載并安裝升級文件。這個工具的使用非常靈活簡單，可以讓其在cron中運(yùn)行，這樣你的系統(tǒng)就會定期自動檢查升級更新，并可以向管理員發(fā)送提醒系統(tǒng)需要升級的電子郵件。

2、關(guān)閉服務(wù)

一旦安裝完系統(tǒng)的安裝包、補(bǔ)丁，重啟后，我們現(xiàn)在就可以開始對操作系統(tǒng)進(jìn)行安全增強(qiáng)配置了。安全增強(qiáng)配置主要包括關(guān)閉服務(wù)、增加日志、調(diào)整幾個文件和配置TCP Wrappers。首先從關(guān)閉服務(wù)開始。

缺省情況下，Solaris是一個提供許多有用服務(wù)的高性能操作系統(tǒng)。然而，對于防火墻來說，其中的大多數(shù)服務(wù)是不需要，且可能是安全風(fēng)險。首先需要修改/etc/inetd.conf文件。這個文件定義了由/usr/sbin/inetd超級守護(hù)進(jìn)程需要監(jiān)聽的服務(wù)。缺省情況下，/etc/inetd.conf會啟動35個服務(wù)，然而最多僅需要兩項(xiàng)：ftp和telnet。其余服務(wù)都不是必需的，可以將它們注釋（關(guān)閉）。這是很重要的，因?yàn)閕netd監(jiān)聽的許多服務(wù)存在嚴(yán)重的安全威脅，例如popd、imapd和rsh。以下命令列出inetd守護(hù)進(jìn)程會監(jiān)聽的服務(wù)，請確認(rèn)將其中不必要的服務(wù)的所在行注釋（行首加"#"號）：

grep -v "^#" /etc/inetd.conf

下一步要修改的是/etc/rc2.d和/etc/rc3.d目錄下的文件。在這里你能夠找到被init進(jìn)程執(zhí)行的啟動腳本。其中也有許多是不需要的。要取消在啟動過程中執(zhí)行一個腳本，只需將對應(yīng)文件名的起始大寫S改為小寫s即可。此外，Red Hat系統(tǒng)中帶有一個好工具用以關(guān)閉服務(wù)。只要在命令行輸入"/usr/sbin/setup"，然后選擇"System Services"，接著再選擇在系統(tǒng)啟動時需要執(zhí)行的腳本。另外還有一種方法就是在大多數(shù)發(fā)行版本中都帶有的chkconfig工具。以下啟動腳本是系統(tǒng)缺省安裝，但通常卻不是必需的。如果確定不需要它們，應(yīng)該將禁止其啟動。

注意其中的數(shù)字用于決定執(zhí)行的順序，在不同的發(fā)行版本中可能會有所變化。以大寫K開始的腳本用于kill已經(jīng)在運(yùn)行中的服務(wù)。

S05apmd （僅有筆記本電腦才需要）

S10xntpd （網(wǎng)絡(luò)時間協(xié)議）

S11portmap （如果運(yùn)行RPC服務(wù)則必需打開）

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]