Linux安全十二法則

申請免費試用、咨詢電話：400-8352-114

盡管Linux在安全設(shè)計上比其他一些操作系統(tǒng)具有一定的先天優(yōu)勢，但它也決不像早先一些人認為的“絕對安全”，近年來，基于Linux的安全事件也多有發(fā)生?！秾嵱眉夹g(shù)》欄目也曾陸續(xù)對Linux安全問題進行過一些探討，作為對這一部分內(nèi)容的總結(jié)和進一步補充完善，本期我們邀請中科院計算所李洋博士系統(tǒng)全面地介紹確保Linux安全的若干原則和方法。

2004年，英國一家安全公司對當年一月份發(fā)生的安全攻擊事件進行調(diào)查，在成功的安全攻擊中，約有80%（共計13654次）是成功地攻擊了Linux服務(wù)器，只有2005次是成功地攻擊了Windows服務(wù)器。調(diào)查報告認為針對Linux的安全攻擊成功次數(shù)上升是因為很多采用了Linux系統(tǒng)的公司并未正確地配置、管理Linux。該報告指出：問題出在他們的網(wǎng)管而不是Linux本身。這再次印證了安全學方面的一個基本觀點：安全問題首先是人的問題，然后才是技術(shù)的問題。世界上沒有絕對安全的系統(tǒng)，如果疏于管理、沒有正確配置，就算是FreeBSD也照樣會被攻擊、入侵。這篇報告發(fā)布后，網(wǎng)友評論說：從這個角度來說，無論是Linux還是Windows，在安全方面最大的問題都不是產(chǎn)品本身，而是使用的人有沒有實踐一些基本的安全原則，例如“Default to a secure mode”、“Apply the principle of least privilege”、注意經(jīng)常打補丁等。補丁是一定要打的，并不只是Windows才有補丁，Linux照樣需要打補丁，照樣會有安全漏洞。那些認為只要把Windows換成Linux就可以一勞永逸高枕無憂的人，就大錯特錯了。

另據(jù)倫敦安全分析及咨詢機構(gòu)mi2g公司最近的一份調(diào)查結(jié)果顯示，從2003年11月到2004年10月份共發(fā)生了24萬次攻擊事件。這些攻擊事件既有黑客遠程手動攻擊，也有通過病毒、蠕蟲或其他惡意程序發(fā)動的攻擊。分析結(jié)果顯示，其中65％的攻擊對象為Linux系統(tǒng)，共發(fā)生154846起攻擊事件，25％的攻擊對象為Windows。而最安全的操作系統(tǒng)要屬基于BSDUnix的操作系統(tǒng)。Mi2g公司表示，導(dǎo)致Linux系統(tǒng)最容易遭受攻擊的原因是該操作系統(tǒng)各項功能組件過于分散，因為它們分別來自不同的企業(yè)，擁有著不同的特性。分析結(jié)果還發(fā)現(xiàn)，遭到攻擊的用戶多為個人用戶和小型企業(yè)用戶。其被攻擊比例為80％，而大中型企業(yè)的被攻擊比例僅為8.5％。據(jù)Mi2g透露，他們的分析數(shù)據(jù)主要來自北美、歐洲和亞洲的銀行和保險機構(gòu)，同時還包括一些監(jiān)控數(shù)據(jù)和來自黑客組織的內(nèi)部數(shù)據(jù)。

2005年，另一份權(quán)威報告——《2005 North American Linux and Windows TCO Comparison Report, Part 2: Hardening Security Is Key to Reducing Risk and TCO》對Linux以及Windows的安全性進行了對比，他們對北美的550家企業(yè)安全狀況進行調(diào)查并并得出了一些重要結(jié)論，下面給出部分與Linux相關(guān)具有參考意義的結(jié)論：

● 沒有任何操作系統(tǒng)是被證明為hack-proof的，也就是說，被證明不能被攻破的，Linux也是可以被攻破的，因而需要防護；

● 人為的錯誤（包括不遵守安全規(guī)程，不采取必要的安全措施，實行常規(guī)的安全檢查，進行及時的打補丁工作等等）是導(dǎo)致系統(tǒng)不安全的重要原因；

● 針對Linux的攻擊呈現(xiàn)日趨上升的態(tài)勢。

該報告也給出了針對性的提示：

● 加強員工的培訓，包括安全意識、安全工具的使用、安全規(guī)程的培訓等等；

● 及時給系統(tǒng)打補丁，防范攻擊以及病毒入侵；

● 實行常規(guī)的安全審計以及系統(tǒng)風險評估。

從上述給出的幾份權(quán)威的安全分析報告，我們不難看出，“世上沒有不透風的墻”，Linux操作系統(tǒng)作為一種軟件，與Windows操作系統(tǒng)一樣，必然存在漏洞。而隨著它在全世界范圍內(nèi)的普及使用，目前針對其的攻擊越來越多，安全事件也呈上升趨勢，形勢非常嚴峻。要想在技術(shù)日益發(fā)展、紛繁蕪雜的網(wǎng)絡(luò)環(huán)境中，保證Linux系統(tǒng)的安全性，需要切實做好事前預(yù)防以及事后恢復(fù)的工作，這很大程度上取決于人的因素。人是決定系統(tǒng)安全的第一要素。

在保障Linux安全的過程中，業(yè)界經(jīng)歷了多年的積累，有許多重要的原則和手段可以借鑒，從系統(tǒng)管理到網(wǎng)絡(luò)管理都有比較成熟的經(jīng)驗。本文將結(jié)合筆者的自身經(jīng)驗，給出這些重要的原則和手段，提供給用戶參考使用，希望用戶能夠在使用過程中舉一反三，并能夠根據(jù)自己的實踐總結(jié)出新的、行之有效的方法。

1、取消不必要的網(wǎng)絡(luò)服務(wù)

早期的Linux版本中，每一個不同的網(wǎng)絡(luò)服務(wù)都有一個服務(wù)程序（守護進程，Daemon）在后臺運行，后來的版本用統(tǒng)一的/etc/inetd服務(wù)器程序擔此重任。Inetd是Internet daemon的縮寫，它同時監(jiān)視多個網(wǎng)絡(luò)端口，一旦接收到外界傳來的連接信息，就執(zhí)行相應(yīng)的TCP或UDP網(wǎng)絡(luò)服務(wù)。由于受inetd的統(tǒng)一指揮，因此Linux中的大部分TCP或UDP服務(wù)都是在/etc/inetd.conf文件中設(shè)定。所以取消不必要服務(wù)的第一步就是檢查/etc/inetd.conf文件，在不要的服務(wù)前加上“?！碧枴?

一般來說，除了http、smtp、telnet和ftp之外，其他服務(wù)都應(yīng)該取消，諸如簡單文件傳輸協(xié)議tftp、網(wǎng)絡(luò)郵件存儲及接收所用的imap/ipop傳輸協(xié)議、尋找和搜索資料用的gopher以及用于時間同步的daytime和time等。

還有一些報告系統(tǒng)狀態(tài)的服務(wù)，如finger、efinger、systat和netstat等，雖然對系統(tǒng)查錯和尋找用戶非常有用，但也給黑客提供了方便之門。例如，黑客可以利用finger服務(wù)查找用戶的電話、使用目錄以及其他重要信息。因此，很多Linux系統(tǒng)將這些服務(wù)全部取消或部分取消，以增強系統(tǒng)的安全性。

Inetd除了利用/etc/inetd.conf設(shè)置系統(tǒng)服務(wù)項之外，還利用/etc/services文件查找各項服務(wù)所使用的端口。因此，用戶必須仔細檢查該文件中各端口的設(shè)定，以免有安全上的漏洞。

在后繼的Linux版本中（比如Red Hat Linux 7.2之后），取而代之的是采用xinetd進行網(wǎng)絡(luò)服務(wù)的管理。（關(guān)于Xinetd的具體使用方法可參閱本報2005年7月4日第25期C11版《使用Xinetd管理網(wǎng)絡(luò)應(yīng)用服務(wù)》，或訪問www2.ccw.com.cn/05/0525/d/0525d04_1.asp）

在Linux中有兩種不同的服務(wù)型態(tài):一種是僅在有需要時才執(zhí)行的服務(wù)，如finger服務(wù);另一種是一直在執(zhí)行的永不停頓的服務(wù)。后者在系統(tǒng)啟動時就開始執(zhí)行，因此不能靠修改inetd來停止其服務(wù)，而只能從修改/etc/rc.d/rc[n].d/文件或用Run level editor去修改它。提供文件服務(wù)的NFS服務(wù)器和提供NNTP新聞服務(wù)的news都屬于這類服務(wù)，如果沒有必要，最好取消這些服務(wù)。

當然，具體取消哪些服務(wù)不能一概而論，需要根據(jù)實際的應(yīng)用情況來定，但是系統(tǒng)管理員需要做到心中有數(shù)，因為一旦系統(tǒng)出現(xiàn)安全問題，才能做到有步驟、有條不紊地進行查漏和補救工作，這一點比較重要。

2、嚴格審計系統(tǒng)的登錄用戶

在進入Linux系統(tǒng)之前，所有用戶都需要登錄，也就是說，用戶需要輸入用戶賬號和密碼，只有通過系統(tǒng)驗證之后，用戶才能進入系統(tǒng)。

與其他Unix操作系統(tǒng)一樣，Linux一般將密碼加密之后，存放在/etc/passwd文件中。Linux系統(tǒng)上的所有用戶都可以讀到/etc/passwd文件，雖然文件中保存的密碼已經(jīng)經(jīng)過加密，但仍然不太安全。因為一般的用戶可以利用現(xiàn)成的密碼破譯工具，以窮舉法猜測出密碼。比較安全的方法是設(shè)定影子文件/etc/shadow，只允許有特殊權(quán)限的用戶閱讀該文件。

在Linux系統(tǒng)中，如果要采用影子文件，必須將所有的公用程序重新編譯，才能支持影子文件。這種方法比較麻煩，比較簡便的方法是采用插入式驗證模塊（PAM）。很多Linux系統(tǒng)都帶有Linux的工具程序PAM，它是一種身份驗證機制，可以用來動態(tài)地改變身份驗證的方法和要求，而不要求重新編譯其他公用程序。這是因為PAM采用封閉包的方式，將所有與身份驗證有關(guān)的邏輯全部隱藏在模塊內(nèi)，因此它是采用影子檔案的最佳幫手。

此外，PAM還有很多安全功能：它可以將傳統(tǒng)的DES加密方法改寫為其他功能更強的加密方法，以確保用戶密碼不會輕易地遭人破譯；它可以設(shè)定每個用戶使用電腦資源的上限；它甚至可以設(shè)定用戶的上機時間和地點。

Linux系統(tǒng)管理人員只需花費幾小時去安裝和設(shè)定PAM，就能大大提高Linux系統(tǒng)的安全性，把很多攻擊阻擋在系統(tǒng)之外。

3、隨時更新系統(tǒng)的最新核心

Linux作為一種優(yōu)秀的開源軟件，其穩(wěn)定性、安全性和可用性有極為可靠的保證，世界上的Linux高手共同維護著這個優(yōu)秀的產(chǎn)品，因而其流通渠道很多，而且經(jīng)常有更新的程序和系統(tǒng)補丁出現(xiàn)，因此，為了加強系統(tǒng)安全，一定要經(jīng)常更新系統(tǒng)內(nèi)核。

內(nèi)核是Linux操作系統(tǒng)的核心，它常駐內(nèi)存，用于加載操作系統(tǒng)的其他部分，并實現(xiàn)操作系統(tǒng)的基本功能。由于內(nèi)核控制計算機和網(wǎng)絡(luò)的各種功能，因此，它的安全性對整個系統(tǒng)安全至關(guān)重要。

早期的內(nèi)核版本存在許多眾所周知的安全漏洞，而且也不太穩(wěn)定，只有2.0.x以上的版本才比較穩(wěn)定和安全（一般說來，內(nèi)核版本號為偶數(shù)的相對穩(wěn)定，而為奇數(shù)的則一般為測試版本，用戶們使用時要多留意），新版本的運行效率也有很大改觀。在設(shè)定內(nèi)核的功能時，只選擇必要的功能，千萬不要所有功能照單全收，否則會使內(nèi)核變得很大，既占用系統(tǒng)資源，也給黑客留下可乘之機。

在Internet上常常有最新的安全修補程序，Linux系統(tǒng)管理員應(yīng)該消息靈通，經(jīng)常光顧安全新聞組，查閱新的修補程序。一般情況下，用戶可以隨時保持對Red Hat門戶網(wǎng)站（www.redhat.com），Debian Linux門戶網(wǎng)站（www.debian.org）、Turbolinux門戶網(wǎng)站（www.turbolinux.com）、Slackware門戶網(wǎng)站（www.slackware..com）、SuSE門戶網(wǎng)站（www.suse.com/index_us.html）、Fedora門戶網(wǎng)站（fedora.redhat.com）等優(yōu)秀Linux發(fā)行套件網(wǎng)站的關(guān)注，及時更新系統(tǒng)的最新核心以及打上安全補丁，這樣能較好地保證Linux系統(tǒng)的安全。

4、檢查登錄密碼

設(shè)定登錄密碼是一項非常重要的安全措施，如果用戶的密碼設(shè)定不合適，就很容易被破譯，尤其是擁有超級用戶使用權(quán)限的用戶，如果沒有良好的密碼，將給系統(tǒng)造成很大的安全漏洞。

在多用戶系統(tǒng)中，如果強迫每個用戶選擇不易猜出的密碼，將大大提高系統(tǒng)的安全性。但如果passwd程序無法強迫每個上機用戶使用恰當?shù)拿艽a，要確保密碼的安全性，就只能依靠密碼破解程序了。

實際上，密碼破解程序是黑客工具箱中的一種工具，它將常用的密碼或者是英文字典中所有可能用來作密碼的字都用程序加密成密碼字，然后將其與Linux系統(tǒng)的/etc/passwd密碼文件或/etc/shadow影子文件相比較，如果發(fā)現(xiàn)有吻合的密碼，就可以求得明碼了。

在網(wǎng)絡(luò)上可以找到很多密碼破解程序，比較有名的程序是crack。用戶可以自己先執(zhí)行密碼破解程序，找出容易被黑客破解的密碼，先行改正總比被黑客破解要有利。

目前密碼破解程序大多采用字典攻擊以及暴力攻擊手段，而其中用戶密碼設(shè)定不當，則極易受到字典攻擊的威脅。很多用戶喜歡用自己的英文名、生日或者賬戶等信息來設(shè)定密碼，這樣，黑客可能通過字典攻擊或者是社會工程的手段來破解密碼。所以建議用戶在設(shè)定密碼的過程中，應(yīng)盡量使用非字典中出現(xiàn)的組合字符，并且采用數(shù)字與字符相結(jié)合、大小寫相結(jié)合的密碼設(shè)置方式，增加密碼被黑客破解的難度。而且，也可以使用定期修改密碼、使密碼定期作廢的方式，來保護自己的登錄密碼。

具體列出幾條參考原則如下：

● 口令長度至少為八個字符，口令越長越好。若使用MD5口令，它應(yīng)該至少有15個字符。若使用DES口令，使用最長長度（8個字符）。

● 混和大小寫字母。Linux區(qū)分大小寫，因此混和大小寫會增加口令的強壯程度。

● 混和字母和數(shù)字。在口令中添加數(shù)字，特別是在中間添加（不只在開頭和結(jié)尾處）能夠加強口令的強健性。

● 包括字母和數(shù)字以外的字符：&、$、和 > 之類的特殊字符可以極大地增強口令的強健性（若使用DES口令則不能使用此類字符）。

● 挑選一個可以記住的口令。如果記不住自己的口令，那么它再好也沒有用，使用簡寫或其他記憶方法來幫助記憶口令。

● 不要在口令中只使用單詞或數(shù)字。

● 不要使用現(xiàn)成詞匯，像名稱、詞典中的詞匯、甚至電視劇或小說中的用語，即使在兩端使用數(shù)字，都應(yīng)該避免使用。

● 不要使用外語中的詞匯?？诹钇谱g程序經(jīng)常使用多種語言的詞典來檢查其詞匯列表。依賴外語來達到保護口令的目的通常不起作用。

● 不要使用黑客術(shù)語。

● 不要使用個人信息。如果攻擊者知道你的身份，那么推導(dǎo)出你所用的口令會變得非常容易。以下是你在創(chuàng)建口令時應(yīng)該避免使用的信息類型:不要倒轉(zhuǎn)現(xiàn)存詞匯，優(yōu)秀的口令破譯者總是倒轉(zhuǎn)常用詞匯，因此倒轉(zhuǎn)薄弱口令并不會使它更安全;不要筆錄你的口令,決不要把口令寫在紙上，把它牢記在心才更為安全;不要在所有機器上都使用同樣的口令,在每個機器上使用不同的口令是極其重要的，這樣，如果一個系統(tǒng)泄密了，所有其他系統(tǒng)都不會立即受到威脅。

5、設(shè)定用戶賬號的安全等級

除密碼之外，用戶賬號也有安全等級，這是因為在Linux上每個賬號可以被賦予不同的權(quán)限，因此在建立一個新的用戶ID時，系統(tǒng)管理員應(yīng)該根據(jù)需要賦予該賬號不同的權(quán)限，并且歸并到不同的用戶組中。

在Linux系統(tǒng)中的部分文件中，可以設(shè)定允許上機和不允許上機人員的名單。其中，允許上機人員名單在/etc/hosts.allow中設(shè)置，不允許上機人員名單在/etc/hosts.deny中設(shè)置。此外，Linux將自動把允許進入或不允許進入的結(jié)果記錄到/var/log/secure文件中，系統(tǒng)管理員可以據(jù)此查出可疑的進入記錄。

每個賬號ID應(yīng)該有專人負責。在企業(yè)中，如果負責某個ID的職員離職，管理員應(yīng)立即從系統(tǒng)中刪除該賬號。很多入侵事件都是借用了那些很久不用的賬號而發(fā)生的。

在用戶賬號之中，黑客最喜歡具有root權(quán)限的賬號，這種超級用戶有權(quán)修改或刪除各種系統(tǒng)設(shè)置，可以在系統(tǒng)中暢行無阻。因此，在給任何賬號賦予root權(quán)限之前，都必須仔細考慮。

Linux系統(tǒng)中的/etc/securetty文件包含了一組能夠以root賬號登錄的終端機名稱。例如，在Red Hat Linux系統(tǒng)中，該文件的初始值僅允許本地虛擬控制臺（rtys）以root權(quán)限登錄，而不允許遠程用戶以root權(quán)限登錄。最好不要修改該文件，如果一定要從遠程登錄為root權(quán)限，最好是先以普通賬號登錄，然后利用su命令升級為超級用戶。

6、謹慎使用“r”遠程管理程序

在Linux系統(tǒng)中，有一系列r字頭的公用程序，比如rlogin、rcp等等。它們非常容易被黑客用來入侵系統(tǒng)，因而非常危險，因此絕對不要將root賬號開放給這些公用程序。由于這些公用程序都是用.rhosts文件或者hosts.equiv文件核準進入的，因此一定要確保root賬號不包括在這些文件之內(nèi)。

由于r字頭遠程指令是黑客們用來攻擊系統(tǒng)的較好途徑，因此很多安全工具都是針對這一安全漏洞而設(shè)計的。例如，PAM工具就可以用來將r字頭公用程序有效地禁止掉，它在/etc/pam.d/rlogin文件中加上登錄必須先核準的指令，使整個系統(tǒng)的用戶都不能使用自己home目錄下的.rhosts文件。

7、采用加密傳輸手段

由于協(xié)議在最初設(shè)計時候的不成熟，沒有考慮到網(wǎng)絡(luò)發(fā)展到今天會存在如此嚴重的安全問題，所以諸如FTP、Telnet等服務(wù)都是采用明文傳輸口令和數(shù)據(jù)，所以我們要盡可能地利用現(xiàn)在的安全技術(shù)，對傳輸?shù)臄?shù)據(jù)進行加密。SSH是安全Shell的簡稱，它可以安全地被用來取代rlogin、rsh和rcp等公用程序的一套程序組。SSH采用公開密鑰技術(shù)對網(wǎng)絡(luò)上兩臺主機之間的通信信息加密，并且用其密鑰充當身份驗證的工具。

由于SSH將網(wǎng)絡(luò)上的信息加密，因此它可以用來安全地登錄到遠程主機上，并且在兩臺主機之間安全地傳送信息。實際上，SSH不僅可以保障Linux主機之間的安全通信，Windows用戶也可以通過SSH安全地連接到Linux服務(wù)器上。(關(guān)于SSH的具體使用方法可參閱本報2005年9月12 日第35期C10版《使用SHH實現(xiàn)Linux下的安全數(shù)據(jù)傳輸》，或訪問www2.ccw.com.cn/05/0535/d/0535d04_3.asp)

8、限制超級用戶的權(quán)力

我們在前面提到，root是Linux保護的重點，由于它權(quán)力無限，因此最好不要輕易將超級用戶授權(quán)出去。但是，有些程序的安裝和維護工作必須要求有超級用戶的權(quán)限，在這種情況下，可以利用其他工具讓這類用戶有部分超級用戶的權(quán)限。sudo就是這樣的工具。

sudo程序允許一般用戶經(jīng)過組態(tài)設(shè)定后，以用戶自己的密碼再登錄一次，取得超級用戶的權(quán)限，但只能執(zhí)行有限的幾個指令。例如，應(yīng)用sudo后，可以讓管理磁帶備份的管理人員每天按時登錄到系統(tǒng)中，取得超級用戶權(quán)限去執(zhí)行文檔備份工作，但卻沒有特權(quán)去做其他只有超級用戶才能作的工作。

sudo不但限制了用戶的權(quán)限，而且還將每次使用sudo所執(zhí)行的指令記錄下來，不管該指令的執(zhí)行是成功還是失敗。在大型企業(yè)中，有時候有許多人同時管理Linux系統(tǒng)的各個不同部分，每個管理人員都有用sudo授權(quán)給某些用戶超級用戶權(quán)限的能力，從sudo的日志中，可以追蹤到誰做了什么以及改動了系統(tǒng)的哪些部分。

值得注意的是，sudo并不能限制所有的用戶行為，尤其是當某些簡單的指令沒有設(shè)置限定時，就有可能被黑客濫用。例如，一般用來顯示文件內(nèi)容的/etc/cat指令，如果有了超級用戶的權(quán)限，黑客就可以用它修改或刪除一些重要的文件。

對于該程序的使用，我們將在《充分使用Linux安全防護工具》一文中對其進行詳細講述。

9、留意和追蹤黑客的蹤跡

當用戶仔細設(shè)定了各種與Linux相關(guān)的配置（最常用日志管理選項），并且安裝了必要的安全防護工具之后，Linux操作系統(tǒng)的安全性的確大為提高，但是卻并不能保證能防止那些比較熟練的網(wǎng)絡(luò)黑客的入侵。

在平時，網(wǎng)絡(luò)管理人員要經(jīng)常提高警惕，隨時注意各種可疑狀況，并且按時檢查各種系統(tǒng)日志文件，包括一般信息日志、網(wǎng)絡(luò)連接日志、文件傳輸日志以及用戶登錄日志等。在檢查這些日志時，要注意是否有不合常理的時間記載。例如：

● 正常用戶在半夜三更登錄；

● 不正常的日志記錄，比如日志只記錄了一半就切斷了，或者整個日志文件被刪除了；

● 用戶從陌生的網(wǎng)址進入系統(tǒng)；

● 因密碼錯誤或用戶賬號錯誤被擯棄在外的日志記錄，尤其是那些一再連續(xù)嘗試進入失敗但卻有一定模式的試錯法；

● 非法使用或不正當使用超級用戶權(quán)限su的指令；

● 重新開機或重新啟動各項服務(wù)的記錄。

上述這些問題都需要系統(tǒng)管理員隨時留意系統(tǒng)登錄的用戶狀況以及查看相應(yīng)日志文件，許多背離正常行為的蛛絲馬跡都應(yīng)當引起高度注意。（具體的方法請參閱本報2005年6月20日第23期C15版《使用日志系統(tǒng)保護Linux安全》一文，或訪問www2.ccw.cow.cn/05/0523/d/0523d04_2.asp）

10、結(jié)合使用防火墻、IDS等防護手段

防火墻、IDS等防護技術(shù)已經(jīng)成功地應(yīng)用到網(wǎng)絡(luò)安全的各個領(lǐng)域，而且都有非常成熟的產(chǎn)品。目前，分布式防火墻是一種新的防火墻體系結(jié)構(gòu)，其包含如下產(chǎn)品：

● 網(wǎng)絡(luò)防火墻：用于內(nèi)部網(wǎng)與外部網(wǎng)之間（即傳統(tǒng)的邊界防火墻）和內(nèi)部網(wǎng)子網(wǎng)之間的防護產(chǎn)品，后者區(qū)別于前者的一個特征是需支持內(nèi)部網(wǎng)可能有的IP和非IP協(xié)議。

● 主機防火墻：對于網(wǎng)絡(luò)中的服務(wù)器和桌面機進行防護，這些主機的物理位置可能在內(nèi)部網(wǎng)中，也可能在內(nèi)部網(wǎng)外，如托管服務(wù)器或移動辦公的便攜機。

● 中心管理：邊界防火墻只是網(wǎng)絡(luò)中的單一設(shè)備，管理是局部的。對分布式防火墻來說，每個防火墻作為安全監(jiān)測機制可以根據(jù)安全性的不同要求布置在網(wǎng)絡(luò)中的任何需要的位置上，但總體安全策略又是統(tǒng)一策劃和管理的，安全策略的分發(fā)及日志的匯總都是中心管理應(yīng)具備的功能。中心管理是分布式防火墻系統(tǒng)的核心和重要特征之一。

在Linux系統(tǒng)來說，有一個自帶的Netfilter/iptables防火墻框架，通過合理地配置也能起到主機防火墻的功效。（該技術(shù)的使用請參閱本報2005年5月9日第17期C10版《Linux下的防火墻機制應(yīng)用》一文，或訪問www2.ccw.com.cn/05/0517/d/0517d04_2.asp）

對于IDS來說，它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。按照技術(shù)以及功能來劃分，入侵檢測系統(tǒng)可以分為如下幾類：

● 基于主機的入侵檢測系統(tǒng)：其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，一般只能檢測該主機上發(fā)生的入侵。

● 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)：其輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流，能夠檢測該網(wǎng)段上發(fā)生的網(wǎng)絡(luò)入侵。

● 采用上述兩種數(shù)據(jù)來源的分布式入侵檢測系統(tǒng)：能夠同時分析來自主機系統(tǒng)審計日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)，一般為分布式結(jié)構(gòu)，由多個部件組成。

在Linux系統(tǒng)中也有相應(yīng)的輕量級的Snort，使用它可以快速、高效地進行防護。(關(guān)于Snort的具體使用請參閱本報2005年4月11日第13期C16版《使用Snort塔建安全的Linux服務(wù)器》一文，或訪問www2.ccw.com.cn/05/0513/d/0513d04_1.asp)

需要提醒讀者注意的是：在大多數(shù)的應(yīng)用情境下，我們需要綜合使用這兩項技術(shù)，因為防火墻相當于安全防護的第一層，它僅僅通過簡單地比較IP地址/端口對來過濾網(wǎng)絡(luò)流量，而IDS更加具體，它需要通過具體的數(shù)據(jù)包（部分或者全部）來過濾網(wǎng)絡(luò)流量，是安全防護的第二層。綜合使用它們，能夠做到互補，并且發(fā)揮各自的優(yōu)勢。目前，基于多個安全產(chǎn)品間的聯(lián)動的研究正在進行，這是一個很有前途的方向。

11、保持對新技術(shù)及其系統(tǒng)漏洞的跟蹤

計算機技術(shù)、網(wǎng)絡(luò)通信技術(shù)以及網(wǎng)絡(luò)攻防對抗技術(shù)的發(fā)展一直就沒有停止過。Linux作為一種優(yōu)秀的開源軟件，其自身的發(fā)展也日新月異，同時，它存在的安全問題也會在日后的應(yīng)用中慢慢暴露出來。黑客對新技術(shù)的關(guān)注從一定程度上來說要高于我們防護人員，所以要想在網(wǎng)絡(luò)攻防的戰(zhàn)爭中處于有利地位，保護Linux系統(tǒng)的安全，就要求我們要保持高度的警惕性和對新技術(shù)的高度關(guān)注。特別是使用Linux作為關(guān)鍵業(yè)務(wù)系統(tǒng)的企業(yè)的系統(tǒng)管理員，需要通過Linux的一些權(quán)威網(wǎng)站和論壇盡快地獲取有關(guān)該系統(tǒng)的一些新技術(shù)以及一些新的系統(tǒng)漏洞的信息，做到防范于未然，提早行動，在漏洞出現(xiàn)后的最短時間內(nèi)對其進行封堵，并且在實踐中不斷地提高安全防護的技能，這樣才是比較好的解決辦法和出路，單純地依靠一些現(xiàn)有的工具是不行的。

12、綜合防御，確保安全

從計算機安全的角度看，世界上沒有絕對密不透風、百分之百安全的計算機系統(tǒng)，Linux系統(tǒng)也不例外。采用以上的安全法則，雖然可以使Linux系統(tǒng)的安全性大大提高，使一般地黑客和電腦玩家不能輕易闖入，但卻不一定能阻擋那些比較高明的黑客，因此，用戶需要靈活地綜合采用上述原則，并且根據(jù)實際的應(yīng)用場景進行調(diào)整，才能取得比較好的實踐效果。 

李洋，中國科學院計算技術(shù)研究所博士。主要研究方向為大規(guī)模網(wǎng)絡(luò)信息安全、計算機軟件與理論。多年來一直從事網(wǎng)絡(luò)信息安全領(lǐng)域的研究與開發(fā)工作。曾參與過多項“國家自然科學基金重大專項”、“國家863計劃”、“國家242信息安全計劃”等重大國家項目的研發(fā)工作。 (ccw)