時常有人說,Linux比Windows更安全�����。但與網(wǎng)絡(luò)銜接的任何計(jì)算機(jī)是不能夠相對安全的�����。正如我們須要經(jīng)常留意院子的圍墻能不能穩(wěn)固一樣���,對操作系統(tǒng)也須要我們經(jīng)常維護(hù)和強(qiáng)化�。在此�,我們僅談?wù)摱鄠€用戶可以用來強(qiáng)化系統(tǒng)的大體步驟。
本文重點(diǎn)談的是如何強(qiáng)化的疑問����,不過在開端強(qiáng)化之前����,用戶須要對以下三個疑問有一個清醒的看法�����,一個疑問是這個系統(tǒng)用于什么目的���,二是它須要運(yùn)轉(zhuǎn)哪些軟件�����,三是用戶須要防護(hù)哪些破綻或威脅�。這三個疑問順次為因果聯(lián)系�����,即前一個疑問是后一個疑問的原由�����,后一個疑問是前一個的結(jié)果����。
從零開端
從一個已知的安全形態(tài)開端強(qiáng)化一個系統(tǒng)是完全能夠的����,但在實(shí)踐上這種強(qiáng)化也可以夠從一個“裸體”系統(tǒng)開端����。這意味著用戶將擁有對系統(tǒng)盤重新分區(qū)的時機(jī)���,將一切的數(shù)據(jù)文件與操作系統(tǒng)文件分分開來未嘗不是一個慎重的安全方法��。
下一步是配置一個最小的裝置�,當(dāng)然得讓系統(tǒng)啟動���,然后添加必要的可以完成任務(wù)的順序包�����。這一步很主要���。為什么須要最少化裝置呢?原由在于機(jī)器中的代碼越少�,可被運(yùn)用的破綻就會越少:誰也不能運(yùn)用并不存在的破綻,是不是�����?你還須要給操作系統(tǒng)打補(bǔ)丁,并且還得給運(yùn)轉(zhuǎn)在這個系統(tǒng)上的一切使用順序打補(bǔ)丁��。
不過����,要留意,假設(shè)有人可以從物理上接近所訪問的機(jī)器���,他就有能夠從光盤或其它媒體啟動計(jì)算機(jī)�,并獲取系統(tǒng)的訪問權(quán)�����。因而����,用戶最好配置一下系統(tǒng)的BIOS,限定僅能從硬盤啟動����,并且要用一個強(qiáng)壯的口令來維護(hù)這種配置。
下一步是編譯一下自己的系統(tǒng)內(nèi)核����,這里照舊要強(qiáng)調(diào)僅包括那些你須要的局部�。一旦你自己定制的系統(tǒng)構(gòu)建終了��,重新啟動進(jìn)入內(nèi)核�,那你所擁有內(nèi)核的被攻擊的能夠性將極大地降低��。但強(qiáng)化系統(tǒng)的方法不限于此�,好戲還在后頭。
降低服務(wù)
運(yùn)轉(zhuǎn)了閱歷瘦身的系統(tǒng)之后���,下一步就是要確保僅運(yùn)轉(zhuǎn)你須要的服務(wù)��。到如今為止�,用戶以前清理了許多服務(wù)����,但尚有能夠有許多服務(wù)仍在后臺運(yùn)轉(zhuǎn)。用戶須要在多個地點(diǎn)找到這些服務(wù)��,如/etc/init.d 和 /etc/rc.d/rc.local等包括多種啟動進(jìn)程的位置����,要檢驗(yàn)由cron所啟動的一切東西�����。用戶還可以用netstat或Nmap等順序檢驗(yàn)監(jiān)聽套接字���。比如,許多用戶須要禁用的服務(wù)能夠包括網(wǎng)絡(luò)文件系統(tǒng)(samba)����、遠(yuǎn)程訪問服務(wù)等。
當(dāng)然不能一概而論���,假設(shè)你確實(shí)須要某些服務(wù)�����,就要設(shè)法限定它對系統(tǒng)其他局部的潛在破壞性作用��,要盡能夠讓其在自己的chroot途徑中運(yùn)轉(zhuǎn)���,使其與文件系統(tǒng)的其他局部相分別。
注重容許疑問
作為用戶或維護(hù)人員�����,必需要保證任何用戶都不能執(zhí)行其不用要的順序或翻開不用要文件。維護(hù)員應(yīng)當(dāng)審計(jì)整個系統(tǒng)����,并將每個文件的容許降低到最小的可行水平。我們的目的是任何人都不能讀取或?qū)懭肱c其沒關(guān)的文件����。此外,還應(yīng)當(dāng)對一切的敏感數(shù)據(jù)加密��。
可以通過以上三種方法來提高Linux系統(tǒng)安全�����,希望可以幫到大家�����,謝謝閱讀�����。
