打造更安全Linux系統(tǒng)

申請免費試用、咨詢電話：400-8352-114

詢問一個大企業(yè)的網(wǎng)絡(luò)管理員，讓他比較一下Linux，Windows NT和Novell這三個網(wǎng)絡(luò)操作系統(tǒng)，很可能他會認為Linux是一個天生更具堅固性和可伸縮性的解決方案。但他也很可 能同樣會認為當面對外部攻擊時，如果要增強系統(tǒng)安全性的話，Linux是三個系統(tǒng)中最難處理的一個。

這種感覺并不少見——許多新接觸Linux的網(wǎng)絡(luò)管理員都發(fā)現(xiàn)自己難以從簡單點擊配置的安全設(shè)置接口，轉(zhuǎn)換到一個基于復雜難懂可編輯文本文件（且難以尋找）的安全接口。絕大 多數(shù)管理員都了解人為設(shè)置一些路障和陷阱以對付黑客的必要性，并保證你的企業(yè)數(shù)據(jù)安全；不過，在他們并不熟悉的Linux世界里，他們只是不太清楚他們應(yīng)當做些什么，或者是 從哪里下手。

本文描述了一些管理員可以輕松做到的事情，從而令他們的Linux服務(wù)器變得更加安全，并可以顯著降低他們所面對的風險。這個教程列出了7件事項，不過你可以在Linux的手冊和 論壇上找到更多的有關(guān)資料。

1.保護root帳戶
Linux系統(tǒng)上的root帳戶（或superuser帳戶）就像是一個音樂廳的后臺通道——它能讓你對任何事物做任何事情?；谶@個原因，采取一些額外步驟來保護它也是值得的。從使用 passwd命令為它設(shè)置一個難于猜測的口令作為開始，定期修改口令，并嚴格限制企業(yè)之中僅有少數(shù)關(guān)鍵人知道該口令（理想狀態(tài)是僅有兩個人知道）。

下一步，通過編輯/etc/securetty，限制可以進行root登錄的終端。要想避免因用戶暫時離開而導致root終端被人所用，可以通過設(shè)置本地變量TMOUT，為root的登錄設(shè)置一個非活 動的超時時間，并通過設(shè)置本地變量HISTFILESIZE為0，以保證root的命令行歷史（可能含有敏感信息）被禁止。最后，執(zhí)行一個策略，只使用該帳戶來執(zhí)行特定的管理任務(wù)，并阻 止用戶以root作為默認登錄。

小技巧：一旦你已經(jīng)關(guān)閉了上述漏洞，下一步就是要求任何一個普通用戶帳戶必須設(shè)置一個口令，而且該口令不應(yīng)當很容易被猜出來，比如用用戶的生日，用戶的名字，或是一個 詞典中能查到的單詞。

2.安裝防火墻
一個防火墻讓你可以對進出服務(wù)器的數(shù)據(jù)包進行過濾，確保只有那些符合預(yù)先制定好規(guī)則的數(shù)據(jù)才可以被允許正常出入。在Linux下有許多優(yōu)秀的防火墻可用，而且防火墻的代碼甚 至可以直接被編譯到核心里。使用ipchains或iptables命令，以定義數(shù)據(jù)包的輸入，輸出以及轉(zhuǎn)發(fā)規(guī)則作為開始，限定數(shù)據(jù)包如何進出網(wǎng)絡(luò)。規(guī)則可以基于IP地址，網(wǎng)絡(luò)接口，端 口，協(xié)議或者上述這些的組合；這些規(guī)則同時也定義了當遇到相符情況時，應(yīng)當采取什么行動（接受，拒絕，轉(zhuǎn)發(fā)）。一旦規(guī)則安裝完畢，廣泛測試一下防火墻，以確保沒有任何 漏洞遺存其中。一個好的防火墻是你防范常見攻擊（比如DDoS分散式拒絕服務(wù)攻擊，DDoS是distributed denial of service的簡稱）的第一道防線。

3.為網(wǎng)絡(luò)事務(wù)使用OpenSSH
在客戶-服務(wù)器架構(gòu)中，重要的一點就是保證通過網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性。如果網(wǎng)絡(luò)傳輸采取的是純文本，很可能會被黑客“嗅探”到該數(shù)據(jù)包，從而獲得敏感信息。你可以通過使 用類似OpenSSH這樣的安全工具，從而為你的數(shù)據(jù)構(gòu)建一條安全的加密“信道”，從而堵住這個漏洞。在這種情況下，加密你的鏈接可以讓未授權(quán)用戶試圖讀取往來于網(wǎng)絡(luò)主機之間 的數(shù)據(jù)變得極為困難。

4.關(guān)閉不需要的服務(wù)
絕大多數(shù)的Linix系統(tǒng)安裝完畢后，都開啟了一系列的多種不同服務(wù)，比如FTP，telnet，UUCP，ntalk等等。在絕大多數(shù)情況下，這些服務(wù)很少用到，而保留這些服務(wù)為活動狀態(tài)， 無異于打開你的窗戶等著小偷進來。你可以通過在/etc/inetd.conf或/etc/xinetd.conf文件中把他們注釋掉，然后重起inetd或xinetd daemon的方法禁止這些服務(wù)。另外，一些服 務(wù)（比如，數(shù)據(jù)庫服務(wù)器）可能會在默認的啟動進程中開啟；你可以通過編輯/etc/rc.d/*目錄層次禁止它們。許多有經(jīng)驗的管理員禁止所有的系統(tǒng)服務(wù)，僅保留SSH通訊端口開啟 。

5.使用垃圾郵件和反病毒過濾器
垃圾郵件合并都會使你的用戶很苦惱，并且有時候會導致嚴重的網(wǎng)絡(luò)故障。Linux對病毒的抵抗能力令人驚訝，但是運行著Windows系統(tǒng)的客戶機可就容易感染得多。因此，在你的 郵件服務(wù)器上安裝一個反垃圾郵件和反病毒的過濾器是很好的一個主意，以便直接拔掉可疑郵件的“毒牙”，并降低造成系列傳染的風險。

通過安裝SpamAssassin，一個居于領(lǐng)先地位的開源工具，使用了不同技術(shù)的組合以確認和標記垃圾郵件；該程序同樣也支持基于用戶的白名單和更具精確性的灰名單。下一步，安 裝Procmail，進行基于特定表達式的用戶層過濾；這個工具允許在用戶和系統(tǒng)級別上對收到的信件進行自動過濾。最后，安裝Clam Anti-Virus，一個免費的反病毒工具，可以和 sendmail以及SpamAssassin相集成，并支持對郵件附件的讀取掃描。

6.安裝一個入侵檢測系統(tǒng)
入侵檢測系統(tǒng)（IDS，Intrusion detection systems）是早期預(yù)警系統(tǒng)，可以讓你了解網(wǎng)絡(luò)上發(fā)生了改變。這是一個識別（和證明）對系統(tǒng)的侵入企圖的好方法，雖然其資源消耗 成本不斷增加。有兩種相當為人熟知的IDS你可以考慮嘗試：tripwire，通過跟蹤文件的簽名來發(fā)現(xiàn)改動；以及snort，使用基于規(guī)則的指令來執(zhí)行實時數(shù)據(jù)包分析，并搜索和鑒別 對你系統(tǒng)進行探測和入侵的企圖。兩者都可以生成Email警報（在其他行為之中），在你懷疑系統(tǒng)遭受入侵但還需要權(quán)威性證明的情況下非常有用。

7.執(zhí)行正式的安全審核
說到保證網(wǎng)絡(luò)安全，最后的這一步可能是最重要的一步。在先前的步驟中盡力豎起了你的防御系統(tǒng)。再做到這一步，可以讓你立即獲得對于系統(tǒng)牢固性的一個客觀評價，并找出那 些應(yīng)當修正的潛在漏洞。

在這個審核中，有很多工具可用于幫助你：你可以通過使用類似Crack和John the Ripper這樣的口令破解器來試圖攻擊你的口令文件；你可以使用nmap或者netstat來查找開放的端 口；你可以使用tcpdump來對網(wǎng)絡(luò)進行嗅探；并且你也可以試圖對已經(jīng)安裝的程序（WEB服務(wù)器，防火墻，Samba）進行常見漏洞攻擊，看看他們是否的確存在著薄弱之處。如果你的 確找到了通過這些防御措施的方法，可想而知別人也可以這么做；立刻采取措施封堵漏洞。

保護你的Linux系統(tǒng)是一個不斷進行的工作，所以你不能僅僅因為做好了上面這些步驟就以為可以放松休息了。你應(yīng)該去了解更多的安全技巧，并在第一時間監(jiān)控和更新你的安全系 統(tǒng)。（zdnet）