打造更安全Linux系統(tǒng)

申請免費試用、咨詢電話：400-8352-114

詢問一個大企業(yè)的網絡管理員，讓他比較一下Linux，Windows NT和Novell這三個網絡操作系統(tǒng)，很可能他會認為Linux是一個天生更具堅固性和可伸縮性的解決方案。但他也很可 能同樣會認為當面對外部攻擊時，如果要增強系統(tǒng)安全性的話，Linux是三個系統(tǒng)中最難處理的一個。

這種感覺并不少見——許多新接觸Linux的網絡管理員都發(fā)現自己難以從簡單點擊配置的安全設置接口，轉換到一個基于復雜難懂可編輯文本文件（且難以尋找）的安全接口。絕大 多數管理員都了解人為設置一些路障和陷阱以對付黑客的必要性，并保證你的企業(yè)數據安全；不過，在他們并不熟悉的Linux世界里，他們只是不太清楚他們應當做些什么，或者是 從哪里下手。

本文描述了一些管理員可以輕松做到的事情，從而令他們的Linux服務器變得更加安全，并可以顯著降低他們所面對的風險。這個教程列出了7件事項，不過你可以在Linux的手冊和 論壇上找到更多的有關資料。

1.保護root帳戶
Linux系統(tǒng)上的root帳戶（或superuser帳戶）就像是一個音樂廳的后臺通道——它能讓你對任何事物做任何事情。基于這個原因，采取一些額外步驟來保護它也是值得的。從使用 passwd命令為它設置一個難于猜測的口令作為開始，定期修改口令，并嚴格限制企業(yè)之中僅有少數關鍵人知道該口令（理想狀態(tài)是僅有兩個人知道）。

下一步，通過編輯/etc/securetty，限制可以進行root登錄的終端。要想避免因用戶暫時離開而導致root終端被人所用，可以通過設置本地變量TMOUT，為root的登錄設置一個非活 動的超時時間，并通過設置本地變量HISTFILESIZE為0，以保證root的命令行歷史（可能含有敏感信息）被禁止。最后，執(zhí)行一個策略，只使用該帳戶來執(zhí)行特定的管理任務，并阻 止用戶以root作為默認登錄。

小技巧：一旦你已經關閉了上述漏洞，下一步就是要求任何一個普通用戶帳戶必須設置一個口令，而且該口令不應當很容易被猜出來，比如用用戶的生日，用戶的名字，或是一個 詞典中能查到的單詞。

2.安裝防火墻
一個防火墻讓你可以對進出服務器的數據包進行過濾，確保只有那些符合預先制定好規(guī)則的數據才可以被允許正常出入。在Linux下有許多優(yōu)秀的防火墻可用，而且防火墻的代碼甚 至可以直接被編譯到核心里。使用ipchains或iptables命令，以定義數據包的輸入，輸出以及轉發(fā)規(guī)則作為開始，限定數據包如何進出網絡。規(guī)則可以基于IP地址，網絡接口，端 口，協(xié)議或者上述這些的組合；這些規(guī)則同時也定義了當遇到相符情況時，應當采取什么行動（接受，拒絕，轉發(fā)）。一旦規(guī)則安裝完畢，廣泛測試一下防火墻，以確保沒有任何 漏洞遺存其中。一個好的防火墻是你防范常見攻擊（比如DDoS分散式拒絕服務攻擊，DDoS是distributed denial of service的簡稱）的第一道防線。

3.為網絡事務使用OpenSSH
在客戶-服務器架構中，重要的一點就是保證通過網絡傳輸數據的安全性。如果網絡傳輸采取的是純文本，很可能會被黑客“嗅探”到該數據包，從而獲得敏感信息。你可以通過使 用類似OpenSSH這樣的安全工具，從而為你的數據構建一條安全的加密“信道”，從而堵住這個漏洞。在這種情況下，加密你的鏈接可以讓未授權用戶試圖讀取往來于網絡主機之間 的數據變得極為困難。

4.關閉不需要的服務
絕大多數的Linix系統(tǒng)安裝完畢后，都開啟了一系列的多種不同服務，比如FTP，telnet，UUCP，ntalk等等。在絕大多數情況下，這些服務很少用到，而保留這些服務為活動狀態(tài)， 無異于打開你的窗戶等著小偷進來。你可以通過在/etc/inetd.conf或/etc/xinetd.conf文件中把他們注釋掉，然后重起inetd或xinetd daemon的方法禁止這些服務。另外，一些服 務（比如，數據庫服務器）可能會在默認的啟動進程中開啟；你可以通過編輯/etc/rc.d/*目錄層次禁止它們。許多有經驗的管理員禁止所有的系統(tǒng)服務，僅保留SSH通訊端口開啟 。

5.使用垃圾郵件和反病毒過濾器
垃圾郵件合并都會使你的用戶很苦惱，并且有時候會導致嚴重的網絡故障。Linux對病毒的抵抗能力令人驚訝，但是運行著Windows系統(tǒng)的客戶機可就容易感染得多。因此，在你的 郵件服務器上安裝一個反垃圾郵件和反病毒的過濾器是很好的一個主意，以便直接拔掉可疑郵件的“毒牙”，并降低造成系列傳染的風險。

通過安裝SpamAssassin，一個居于領先地位的開源工具，使用了不同技術的組合以確認和標記垃圾郵件；該程序同樣也支持基于用戶的白名單和更具精確性的灰名單。下一步，安 裝Procmail，進行基于特定表達式的用戶層過濾；這個工具允許在用戶和系統(tǒng)級別上對收到的信件進行自動過濾。最后，安裝Clam Anti-Virus，一個免費的反病毒工具，可以和 sendmail以及SpamAssassin相集成，并支持對郵件附件的讀取掃描。

6.安裝一個入侵檢測系統(tǒng)
入侵檢測系統(tǒng)（IDS，Intrusion detection systems）是早期預警系統(tǒng)，可以讓你了解網絡上發(fā)生了改變。這是一個識別（和證明）對系統(tǒng)的侵入企圖的好方法，雖然其資源消耗 成本不斷增加。有兩種相當為人熟知的IDS你可以考慮嘗試：tripwire，通過跟蹤文件的簽名來發(fā)現改動；以及snort，使用基于規(guī)則的指令來執(zhí)行實時數據包分析，并搜索和鑒別 對你系統(tǒng)進行探測和入侵的企圖。兩者都可以生成Email警報（在其他行為之中），在你懷疑系統(tǒng)遭受入侵但還需要權威性證明的情況下非常有用。

7.執(zhí)行正式的安全審核
說到保證網絡安全，最后的這一步可能是最重要的一步。在先前的步驟中盡力豎起了你的防御系統(tǒng)。再做到這一步，可以讓你立即獲得對于系統(tǒng)牢固性的一個客觀評價，并找出那 些應當修正的潛在漏洞。

在這個審核中，有很多工具可用于幫助你：你可以通過使用類似Crack和John the Ripper這樣的口令破解器來試圖攻擊你的口令文件；你可以使用nmap或者netstat來查找開放的端 口；你可以使用tcpdump來對網絡進行嗅探；并且你也可以試圖對已經安裝的程序（WEB服務器，防火墻，Samba）進行常見漏洞攻擊，看看他們是否的確存在著薄弱之處。如果你的 確找到了通過這些防御措施的方法，可想而知別人也可以這么做；立刻采取措施封堵漏洞。

保護你的Linux系統(tǒng)是一個不斷進行的工作，所以你不能僅僅因為做好了上面這些步驟就以為可以放松休息了。你應該去了解更多的安全技巧，并在第一時間監(jiān)控和更新你的安全系 統(tǒng)。（zdnet）