|
互聯(lián)網(wǎng)上有許多企業(yè)公司和組織采用Linux作為服務(wù)器平臺(tái)����。當(dāng)這些服務(wù)器與互聯(lián)網(wǎng)連接以提供應(yīng)用服務(wù)時(shí)�,不可避免地會(huì)成為攻擊目標(biāo)。本文討論Linux系統(tǒng)安全配置的一些基本知識(shí)�,以幫助你保護(hù)Linux系統(tǒng)。
雖然在這里以Red Hat 6.0為例子��,但也應(yīng)該適用于其它Linux發(fā)行版本��。
1�����、安裝
配置系統(tǒng)安全的頭一步最好是在系統(tǒng)的開(kāi)始--操作系統(tǒng)的安全���。因?yàn)榕渲玫氖欠阑饓�,所以你絕對(duì)不能信任任何以前的系統(tǒng)安裝和配置����,而應(yīng)該從全新安裝開(kāi)始,才能真正保證系統(tǒng)安全的完整性�。
使你的系統(tǒng)處于單獨(dú)(或隔離)的網(wǎng)絡(luò)中。決不要讓未受保護(hù)的系統(tǒng)連接到其它網(wǎng)絡(luò)或互聯(lián)網(wǎng)中受到可能的攻擊��。按我個(gè)人的經(jīng)驗(yàn),一個(gè)連接到互聯(lián)網(wǎng)的新安裝系統(tǒng)可以在15分鐘內(nèi)被掃描和入侵取得完全控制權(quán)���。你可能需要另一臺(tái)機(jī)器從互聯(lián)網(wǎng)獲取重要工具和安全補(bǔ)丁等等�����,然后再?gòu)倪@些機(jī)器將其傳送到單獨(dú)的"配置網(wǎng)絡(luò)"中。
當(dāng)把將要作為未來(lái)防火墻的機(jī)器放置于隔離的網(wǎng)絡(luò)中時(shí)�,就可以開(kāi)始下一步了。
第一步是選擇操作系統(tǒng)將要安裝的軟件包��。對(duì)于Red Hat 6.0��,提供了三種安裝選擇:Workstation(工作站)���、Server(服務(wù)器)�、Custom(定制��,缺省選項(xiàng))����。我個(gè)人強(qiáng)烈推薦"定制",因?yàn)檫@允許你選擇添加哪些服務(wù)和硬盤如何分區(qū)����。安裝策略是在維持最大化效率時(shí)進(jìn)行"最小化"安裝��。系統(tǒng)中的軟件越少����,潛在的安全漏洞就會(huì)越少���。例如�,如果你不需要News或Real Audio Server�����,就不要安裝它���。Linux系統(tǒng)有一個(gè)好處就是如果你后來(lái)改變了想法����,也是很容易添加所需軟件包的�。不管選擇了哪種安裝方式,手冊(cè)頁(yè)和HOWTO文檔都應(yīng)該是必不可缺的���。雖然可能會(huì)使系統(tǒng)增加一點(diǎn)點(diǎn)風(fēng)險(xiǎn)���,但它們有時(shí)確實(shí)特別有用��。
如果選擇了"定制"安裝�����,會(huì)被提示進(jìn)行硬盤分區(qū)�����。我個(gè)人通常喜歡使根分區(qū)盡可能地大,并且把所有東西都放在那里��。然后����,我們確實(shí)需要?jiǎng)?chuàng)建幾個(gè)分區(qū)以保護(hù)根分區(qū)。因?yàn)槿绻謪^(qū)被例如系統(tǒng)日志或電子郵件等數(shù)據(jù)塞滿的話����,就會(huì)出現(xiàn)拒絕服務(wù),甚至有可能使系統(tǒng)崩潰�。
因此,我總是推薦為/var設(shè)置一個(gè)單獨(dú)的分區(qū)����。/var是用于存放系統(tǒng)所有日志和電子郵件的地方����,將/var分區(qū)獨(dú)立出來(lái)�,就能夠有效地保護(hù)根分區(qū)被這些數(shù)據(jù)塞滿。對(duì)于許多網(wǎng)絡(luò)環(huán)境����,為/var分區(qū)設(shè)置不少于400MB基本上就足夠了。另外可以考慮為某些特定的服務(wù)或應(yīng)用創(chuàng)建或保留單獨(dú)的分區(qū)����,特別是敏感的日志記錄。如果系統(tǒng)中存在不可完全信任的用戶���,也許應(yīng)該為/home創(chuàng)建單獨(dú)的分區(qū)�����,這樣可以避免惡意用戶輕易攻擊/根分區(qū)��。對(duì)于一臺(tái)獨(dú)立服務(wù)器以下是一個(gè)分區(qū)實(shí)例:
/ - everything else
/var - 400 MB
swap - (I normally go with 256 MB)
當(dāng)系統(tǒng)安裝完成并重啟后���,務(wù)必要安裝必需的安全補(bǔ)丁���。對(duì)于Red Hat,可以到http://www.redhat.com/apps/support/updates.html找到它的所有安全補(bǔ)丁程序��。安全補(bǔ)丁對(duì)于維持一個(gè)安全的防火墻是至關(guān)重要的�,應(yīng)該經(jīng)常保持更新。
bugtraq@securityfocus.com或redhat-watch-list-request@redhat.com是獲取最新安全漏洞信息的最佳資源��。如果不安裝這些補(bǔ)丁�����,你的系統(tǒng)可能會(huì)輕易入侵�。記住,從上面提及的另一臺(tái)機(jī)器獲取這些補(bǔ)丁�,防火墻機(jī)器應(yīng)該仍處于隔離網(wǎng)絡(luò)中���。對(duì)于Red Hat系統(tǒng)��,下載RPM包會(huì)使系統(tǒng)更新變得更簡(jiǎn)單�����。例如是對(duì)wu-ftpd進(jìn)行安全升級(jí)的實(shí)例:
rpm -Uvh wu-ftpd-2.6.0-14.6x.i386.rpm
如果系統(tǒng)早已處于互聯(lián)網(wǎng)上��,可以直接從互聯(lián)網(wǎng)上安裝:
rpm -Uvh ftp://updates.redhat.com/6.1/i386/wu-ftpd-2.6.0-14.6x.i386.rpm
推薦使用autorpm工具保持對(duì)RPM軟件包的補(bǔ)丁更新�。這個(gè)命令行工具分析確定哪些.rpm包需要升級(jí),并會(huì)自動(dòng)(如果你愿意的話)從Red Hat的網(wǎng)站上下載并安裝升級(jí)文件����。這個(gè)工具的使用非常靈活簡(jiǎn)單,可以讓其在cron中運(yùn)行�,這樣你的系統(tǒng)就會(huì)定期自動(dòng)檢查升級(jí)更新,并可以向管理員發(fā)送提醒系統(tǒng)需要升級(jí)的電子郵件�����。
2��、關(guān)閉服務(wù)
一旦安裝完系統(tǒng)的安裝包��、補(bǔ)丁�����,重啟后�����,我們現(xiàn)在就可以開(kāi)始對(duì)操作系統(tǒng)進(jìn)行安全增強(qiáng)配置了。安全增強(qiáng)配置主要包括關(guān)閉服務(wù)����、增加日志、調(diào)整幾個(gè)文件和配置TCP Wrappers��。首先從關(guān)閉服務(wù)開(kāi)始����。
缺省情況下,Solaris是一個(gè)提供許多有用服務(wù)的高性能操作系統(tǒng)��。然而�����,對(duì)于防火墻來(lái)說(shuō)�����,其中的大多數(shù)服務(wù)是不需要�����,且可能是安全風(fēng)險(xiǎn)���。首先需要修改/etc/inetd.conf文件����。這個(gè)文件定義了由/usr/sbin/inetd超級(jí)守護(hù)進(jìn)程需要監(jiān)聽(tīng)的服務(wù)�����。缺省情況下����,/etc/inetd.conf會(huì)啟動(dòng)35個(gè)服務(wù),然而最多僅需要兩項(xiàng):ftp和telnet�。其余服務(wù)都不是必需的,可以將它們注釋(關(guān)閉)�����。這是很重要的���,因?yàn)閕netd監(jiān)聽(tīng)的許多服務(wù)存在嚴(yán)重的安全威脅�����,例如popd���、imapd和rsh��。以下命令列出inetd守護(hù)進(jìn)程會(huì)監(jiān)聽(tīng)的服務(wù)���,請(qǐng)確認(rèn)將其中不必要的服務(wù)的所在行注釋(行首加"#"號(hào)):
grep -v "^#" /etc/inetd.conf
下一步要修改的是/etc/rc2.d和/etc/rc3.d目錄下的文件。在這里你能夠找到被init進(jìn)程執(zhí)行的啟動(dòng)腳本�����。其中也有許多是不需要的�。要取消在啟動(dòng)過(guò)程中執(zhí)行一個(gè)腳本,只需將對(duì)應(yīng)文件名的起始大寫S改為小寫s即可�。此外,Red Hat系統(tǒng)中帶有一個(gè)好工具用以關(guān)閉服務(wù)��。只要在命令行輸入"/usr/sbin/setup"��,然后選擇"System Services"�����,接著再選擇在系統(tǒng)啟動(dòng)時(shí)需要執(zhí)行的腳本���。另外還有一種方法就是在大多數(shù)發(fā)行版本中都帶有的chkconfig工具。以下啟動(dòng)腳本是系統(tǒng)缺省安裝,但通常卻不是必需的����。如果確定不需要它們,應(yīng)該將禁止其啟動(dòng)��。
注意其中的數(shù)字用于決定執(zhí)行的順序��,在不同的發(fā)行版本中可能會(huì)有所變化�����。以大寫K開(kāi)始的腳本用于kill已經(jīng)在運(yùn)行中的服務(wù)�。
S05apmd (僅有筆記本電腦才需要)
S10xntpd (網(wǎng)絡(luò)時(shí)間協(xié)議)
S11portmap (如果運(yùn)行RPC服務(wù)則必需打開(kāi))
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.cmtents.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商���!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
