koioggo
Groupie
注册: 2004/5月/22
状态: 脱机
发表: 58
|
防护您的Linux平台安全
一、前言
随着入侵事件的逐年快速递增,网络安全议题已广受各界重视。以往攻击者或蠕虫 (Worm) 大多锁定 Windows 平台作为攻击目标。但是随着 Linux 平台的使用者逐渐增多,Linux 入侵事件也开始增加。对于刚开始接触 Linux 的一般使用者来说,除了学习各式 Linux 套件的安装与设定,了解 Linux系统的基本安全防护观念与信息,更是重要的课题。本文希望能给予 Linux 系统管理员一些安全指导方针,以确保基本的系统安全,避免成为入侵事件的受害者或无辜帮凶。
二、系统安装
不论您选择哪家厂商所提供的 Linux 套件,请尽量使用该厂商所提供的最新版套件,如此可确保您所安装的各个程序套件是较新的版本,不会存在旧版程序的安全漏洞。而且 厂商可能不再提供旧版套件的技术支持,例如 Red Hat 目前仅支持 Red Hat Enterprise Linux 的漏洞修补与更新,若您安装的是 Red Hat Linux 9 或更早的版本,则需要自己在网络上寻找有安全漏洞的软件之修补程序,并遵照其说明来做修补更新,不但较为麻烦、耗时,也增加了将 系统保持在最安全状态的困难度。另外,要先决定系统的用途,是日常一般使用或作为服务器,例如您的系统若要当作文件服务器,那么 就没必要安装 sendmail 套件。系统执行的服务愈多,遭到入侵的机会就愈大。因此,安装系统时尽量只选择自己需要的套件。安装过程中关于安全性设定的选择 ,最好设为高,如此系统安装完后,就会有一些基本的安全防护,例如会启动防火墙过滤进出的封包,对于进出的流量做适当的规范。
三、关闭不需要的服务
系统安装时,通常默认会安装一些较常需要用到的服务器,而且会设定为开机自动执行。所以安装完重新启动后,请马上检查正在执 行的服务。输入指令 netstat -tap | grep LISTEN 就会列出目前正在执行的中的 TCP 服务,包含开启的通讯端口、执行程序名称和程序的 PID。我们可以透过厂商附的服务管理程序关闭不需要的服务,例如 Red Hat Linux 可透过 service service-name stop,来关闭程序。若无方便的管理程序,也可以手动透过 /etc/init.d/service-name stop,来关闭服务。若服务器程序在 /etc/init.d 中没有安装相关的 script,则可透过之前经由 netstat 取得的 PID,利用 kill 指令,例如 kill -9 PID,来中断程序。接着则要移除开机立即执行该服务的设定,避免重开机后不需要的服务又自动执行。通常厂商会附上相关的设定工 具,例如 Red Hat Linux可以用 chkconfig service-name off ,Debian Linux则可用 chkconfig service-name off 来移除开机执行的设定。如果确定不需要该服务,也可将其套件执行反安装,移除相关组件,需要时再安装新版的套件。
另外,有些服务是透过 Xinetd 来启动,所以关闭服务的方式有点不同。相关程序设定存放于 /etc/xinetd.d 目录中,可透过 grep disable /etc/xinetd.d/* | grep no 指令,找出有哪些服务是一开机即透过 Xinetd 启动,针对不需要的服务,将其配置文件中, disable = no 的设定改成 disable = yes ,如此开机时即不会再执行该服务。也可透过重新启动 Xinetd /etc/init.d/xinetd restart 使修改过的设定生效,如此 Xinetd 会重新读取配置文件,不再启动已被关闭的服务。
四、维护与更新
系统安全漏洞不断被发现,入侵程序代码开发速度与攻击技术亦大幅提升,因此,漏洞的"实时"更新就变得非常重要。系统安装完成 后,除了关闭不必要的服务,请立即浏览厂商的漏洞更新网页,检视自己所安装的版本从释出到今,有多少更新、修补档释出,然后根据 说明,立即进行系统更新与修补文件下载安装。完成后,则应该订阅厂商所提供的安全通报,定期造访厂商安全信息公告网页,随时注意厂 商对于各种软件漏洞、安全弱点的发布,然后根据安全通报的内容,进行软件更新与修补文件安装。此外,您应该定期造访一些关于 Linux 安全的专业网站,例如
http://linuxsecurity.com,网站会提供网络与系统安全相关的新闻,漏洞与修补档的公告更新,订阅网站的 newsletter,也是获取信息方便快速的好方法。请您务必记得,唯有对系统、软件实时进行漏洞更新,才能将被入侵的风险降 到最低。
五、防火墙
要限制外界对系统的存取,我们最常利用的工具就是系统内附的防火墙。而防火墙的设定原则是,限制所有的存取,再根据我们的考 量,逐一开放。所以,我们必须决定我们要开放哪些服务?将服务开放给谁?从哪里可以存取这些服务?限制程度为何?如上所述,这些 问题在系统安装时,通常都会有相关的询问与选项,建议是以中、高程度的限制为宜。
为了确保外界对于本地端网络的存取,符合我们所预期,可透过著名的扫描软件 nmap (
http://www.insecure.org/nmap/index.html ),利用另一台远程计算机,替自己进行扫描测试。建议先采用默认的扫描方式,例如: namp your-ip ,来检视由外界可以存取到我们哪些服务。再透过 nmap 的一些特殊参数设定,例如 nmap -sF your-ip ,进一步确认,透过一些特意处理过标头信息的封包能存取到的服务又有哪些。如此即为攻击者可搜集到的信息与存取到的资源。若有自 己预期之外的对外服务,请参阅防火墙的相关文件,例如 man 或是网站上的教学文件 (
http://www.spps.tp.edu.tw/documents/memo/iptables/iptables.h tm) ,做适度的调整与设定。然后再透过 nmap 再扫描一次,以确保外界能存取的资源,仅限于我们打算开放的。系统在安装时针对防火墙所做的设定,基本上已能符合一般使用者的需 求,使用者只要进行微调,即可符合所需,如果要做更精细、全面性的掌控,请参考官方说明文件 (
http://www.iptables.org/documentation/index.html )。
另外,有程序可以方便我们对系统安全整体的强化做比较完整、全面的设定。例如 Bastille Linux (
http://www.bastille-linux.org/ ) ,藉由一连串的问答,针对防火墙、档案的访问权限、账户的安全性设定等等,产生完整的设定,方便我们对系统安全作一全面性的设定 。
六、结论
没有所谓绝对安全的系统,安全程度通常是相对的。希望透过本文的介绍,一般使用者对于 Linux 的安全强化有基本的概念与技术,能够了解安装时应该注意的事项,及安装后应该检查哪些部分,并且能落实这些基本的防护措施,尤其 是漏洞的实时更新。虽然只是些简易的方式,但对于基本的使用者防护,也必能有一定的帮助。
|
最新主题 
会员列表 
搜寻 
帮助
注册 
登入
知识 - 性教育 性知识 讨论区 :
计算机讨论区
主题: 防护您的Linux平台安全
