标题标题  显示论坛会员列表名单  搜索论坛搜索  HelpHelp
  注册注册  登入登入
计算机综合讨论区
 DoReMe : 计算机综合讨论区
主题 话题: 防护您的Linux平台安全 回复发表新主题
作者
贴子内容 << Prev Topic下一个主题 >>
koioggo
Groupie
Groupie


加入: 2004/5月/22
Online Status: Offline
回复: 58
Posted: 2005/3月/09 5:35下午 | IP记录 引用 koioggo

防护您的Linux平台安全

一、前言

  随著入侵事件的逐年快速递增,网络安全议题已广受各界重视。以往攻击者或蠕虫 (Worm) 大多锁定 Windows 平台作为攻击目标。但是随著 Linux 平台的使用者逐渐增多,Linux 入侵事件也开始增加。对于刚开始接触 Linux 的一般使用者来说,除了学习各式 Linux 套件的安装与设定,了解 Linux系统的基本安全防护观念与信息,更是重要的课题。本文希望能给予 Linux 系统管理员一些安全指导方针,以确保基本的系统安全,避免成为入侵事件的受害者或无辜帮凶。

二、系统安装

  不论您选择哪里家厂商所提供的 Linux 套件,请尽量使用该厂商所提供的最新版套件,如此可确保您所安装的各个程序套件是较新的版本,不会存在旧版程序的安全漏洞。而且 厂商可能不再提供旧版套件的技术支持,例如 Red Hat 目前仅支持 Red Hat Enterprise Linux 的漏洞修补与更新,若您安装的是 Red Hat Linux 9 或更早的版本,则需要自己在网络上寻找有安全漏洞的软件之修补程序,并遵照其说明来做修补更新,不但较为麻烦、耗时,也增加了将 系统保持在最安全状态的困难度。另外,要先决定系统的用途,是日常一般使用或作为服务器,例如您的系统若要当作档案服务器,那么 就没必要安装 sendmail 套件。系统执行的服务愈多,遭到入侵的机会就愈大。因此,安装系统时尽量只选择自己需要的套件。安装过程中关于安全性设定的选择 ,最好设为高,如此系统安装完后,就会有一些基本的安全防护,例如会启动防火墙过滤进出的封包,对于进出的流量做适当的规范。

三、关闭不需要的服务

  系统安装时,通常缺省会安装一些较常需要用到的服务器,而且会设定为开机自动执行。所以安装完重新开机后,请马上检查正在执 行的服务。输入指令  netstat -tap | grep LISTEN 就会列出目前正在执行的中的 TCP 服务,包含开启的通讯埠、执行程序名称和程序的 PID。我们可以透过厂商附的服务管理程序关闭不需要的服务,例如 Red Hat Linux 可透过 service service-name stop,来关闭程序。若无方便的管理程序,也可以手动透过 /etc/init.d/service-name stop,来关闭服务。若服务器程序在 /etc/init.d 中没有安装相关的 script,则可透过之前经由 netstat 取得的 PID,利用 kill 指令,例如 kill -9 PID,来中断程序。接著则要移除开机立即执行该服务的设定,避免重开机后不需要的服务又自动执行。通常厂商会附上相关的设定工 具,例如 Red Hat Linux可以用 chkconfig service-name off ,Debian Linux则可用 chkconfig service-name off 来移除开机执行的设定。如果确定不需要该服务,也可将其套件执行反安装,移除相关元件,需要时再安装新版的套件。

  另外,有些服务是透过 Xinetd 来启动,所以关闭服务的方式有点不同。相关程序设定存放于 /etc/xinetd.d 目录中,可透过 grep disable /etc/xinetd.d/* | grep no 指令,找出有哪里些服务是一开机即透过 Xinetd 启动,针对不需要的服务,将其设定档中, disable = no 的设定改成 disable = yes ,如此开机时即不会再执行该服务。也可透过重新启动 Xinetd /etc/init.d/xinetd restart 使修改过的设定生效,如此 Xinetd 会重新读取设定档,不再启动已被关闭的服务。

四、维护与更新

  系统安全漏洞不断被发现,入侵程序码开发速度与攻击技术亦大幅提升,因此,漏洞的"实时"更新就变得非常重要。系统安装完成 后,除了关闭不必要的服务,请立即浏览厂商的漏洞更新网页,检视自己所安装的版本从释出到今,有多少更新、修补档释出,然后根据 说明,立即进行系统更新与修补档下载安装。完成后,则应该订阅厂商所提供的安全通报,定期造访厂商安全信息公告网页,随时注意厂 商对于各种软件漏洞、安全弱点的发布,然后根据安全通报的内容,进行软件更新与修补档安装。此外,您应该定期造访一些关于 Linux 安全的专业网站,例如 http://linuxsecurity.com,网站会提供网络与系统安全相关的新闻,漏洞与修补档的公告更新,订阅网站的 newsletter,也是获取信息方便快速的好方法。请您务必记得,唯有对系统、软件实时进行漏洞更新,才能将被入侵的风险降 到最低。

五、防火墙

  要限制外界对系统的存取,我们最常利用的工具就是系统内附的防火墙。而防火墙的设定原则是,限制所有的存取,再根据我们的考 量,逐一开放。所以,我们必须决定我们要开放哪里些服务?将服务开放给谁?从哪里里可以存取这些服务?限制程度为何?如上所述,这些 问题在系统安装时,通常都会有相关的询问与选项,建议是以中、高程度的限制为宜。

  为了确保外界对于本地端网络的存取,符合我们所预期,可透过著名的扫描软件 nmap ( http://www.insecure.org/nmap/index.html ),利用另一台远程计算机,替自己进行扫描测试。建议先采用缺省的扫描方式,例如: namp your-ip ,来检视由外界可以存取到我们哪里些服务。再透过 nmap 的一些特殊参数设定,例如 nmap -sF your-ip ,进一步确认,透过一些特意处理过标头信息的封包能存取到的服务又有哪里些。如此即为攻击者可搜集到的信息与存取到的资源。若有自 己预期之外的对外服务,请参阅防火墙的相关文件,例如 man 或是网站上的教学文件 ( http://www.spps.tp.edu.tw/documents/memo/iptables/iptables.h tm) ,做适度的调整与设定。然后再透过 nmap 再扫描一次,以确保外界能存取的资源,仅限于我们打算开放的。系统在安装时针对防火墙所做的设定,基本上已能符合一般使用者的需 求,使用者只要进行微调,即可符合所需,如果要做更精细、全面性的掌控,请参考官方说明文件 ( http://www.iptables.org/documentation/index.html )。

  另外,有程序可以方便我们对系统安全整体的强化做比较完整、全面的设定。例如 Bastille Linux ( http://www.bastille-linux.org/ ) ,藉由一连串的问答,针对防火墙、档案的存取权限、帐户的安全性设定等等,产生完整的设定,方便我们对系统安全作一全面性的设定 。

六、结论

  没有所谓绝对安全的系统,安全程度通常是相对的。希望透过本文的介绍,一般使用者对于 Linux 的安全强化有基本的概念与技术,能够了解安装时应该注意的事项,及安装后应该检查哪里些部分,并且能落实这些基本的防护措施,尤其 是漏洞的实时更新。虽然只是些简易的方式,但对于基本的使用者防护,也必能有一定的帮助。
Back to Top 查看 koioggo's 资料 搜索其它贴子 koioggo 访问 koioggo's
 

如果你想回复的话你必须首先 login
如果你还没有注册的话你必须首先 注册

  回复发表新主题
显示可打印的页面 显示可打印的页面

论坛跳转
不能 张贴新论题在这个讨论版
不能 回应论题在这个讨论版
不能 删除你的发言在这个讨论版
不能 编辑你的发言在这个讨论版
不能 新增投票标题在这个讨论版
不能 在这个讨论版投票

Edit by doreme Forums version 2004
Welcome ©2001-2004 doreme Guide

This page was generated in 0.1875 seconds.

 
保养品
保养品, Skin Care
www.elady.tw
美材批发
美材, Cosmetic
www.elady.tw/beauty_org
保养品批发
名牌保养品、保养品批发
gb.perfume.com.tw/skincare
饰品批发
饰品、饰品批发
gb.perfume.com.tw/ornament