【51CTO.com獨(dú)家特稿】隨著Linux應(yīng)用升溫，企業(yè)對(duì)Linux服務(wù)器安全更加關(guān)注，為了讓廣大網(wǎng)友對(duì)Linux服務(wù)器的安全策略有更加直觀和全面的認(rèn)識(shí)，我們邀請(qǐng)到著名Linux專家曹江華做客51CTO.com，解答大家關(guān)于Linux服務(wù)器安全策略方面的問題。

曹江華簡(jiǎn)介：畢業(yè)于工科大學(xué)機(jī)電一體化專業(yè)，從事CAD設(shè)計(jì)。后從事小型數(shù)據(jù)庫(kù)的應(yīng)用。1999年開始從事構(gòu)建網(wǎng)絡(luò)、管理維護(hù)、數(shù)據(jù)庫(kù)管理工作。1999年后開始接觸LINUX，將工作中的經(jīng)驗(yàn)總結(jié)后:在51CTO、計(jì)算機(jī)世界、IBM開發(fā)者、中國(guó)計(jì)算機(jī)報(bào)、IT168、<<網(wǎng)管員世界>>、上先后發(fā)表計(jì)算機(jī)Linux網(wǎng)絡(luò)構(gòu)建維護(hù)和安全的文章300多篇，290萬字，已出版《Linux服務(wù)器安全策略詳解》，《Linux服務(wù)器安全策略詳解》（第二版），《Red Hat Enterprise Linux 5.0服務(wù)器構(gòu)建與故障排除》，《Linux系統(tǒng)最佳實(shí)踐工具：命令行技術(shù)》四本堪稱Linux系統(tǒng)管理員日常工具書的熱銷圖書，目前關(guān)注開放系統(tǒng)和網(wǎng)絡(luò)安全。

2009年7月8日下午兩點(diǎn)，曹江華與網(wǎng)友進(jìn)行了近兩個(gè)小時(shí)的熱烈互動(dòng)。以下為聊天實(shí)錄，51CTO略有整理。

話題一：《Linux服務(wù)器安全策略詳解》 第二版與第一版有哪些區(qū)別？

曹江華: Linux服務(wù)器不管在全球還是在中國(guó)的大概比例就是20%到30%的比例，因?yàn)椴煌瑔挝唬y(tǒng)計(jì)不一樣。圖書是學(xué)習(xí)一個(gè)重要的途徑，但是中文圖書在2007年之前沒有我們自己的原創(chuàng)的書。那么實(shí)際上這樣的書有三本。有一個(gè)Linux黑客防范，是2000年出版的，基本還是很少，是基于的2.2內(nèi)核；Linux黑客大曝光是相對(duì)比較好的書，但是偏早的一些出版年限。截至2007年我寫這本書之前，全球包括所有語(yǔ)言出版Linux書是25本，其中英文版是19左右，還有其他法文，俄羅斯文，大家能拿到這個(gè)書能夠看懂的人也不多。當(dāng)初跟電子出版社準(zhǔn)備自己寫一本關(guān)于Linux的書，畢竟是我第一次單獨(dú)完成的書，以前也出過一些書是跟別人合作的。第一版寫的時(shí)候廣大讀者還是給予了一定關(guān)注，但是從2007年到08年的年底，在出第二版以前也接收到一些反饋，有的讀者說你沒有寫的數(shù)據(jù)庫(kù)安全，還有應(yīng)用不多的服務(wù)器不能沒有必要寫了，第二版我增加了一些內(nèi)容，又刪除了一些內(nèi)容，為了保證書的厚度，不至于書太厚，書太厚成本會(huì)比較貴，第二版首先講兩大開源數(shù)據(jù)庫(kù)。有的讀者會(huì)說還有其他的，像其他的像甲骨文數(shù)據(jù)庫(kù)也可以在Linux跑為什么沒有寫，這些數(shù)據(jù)庫(kù)其他的三個(gè)基本還是屬于商業(yè)數(shù)據(jù)庫(kù)，因?yàn)樯虡I(yè)數(shù)據(jù)庫(kù)獲取安全策略還是找廠商比較合適，開源數(shù)據(jù)庫(kù)更基于系統(tǒng)感覺員自己做的。所以主要講的是開源的部分，還有關(guān)于Linux無線網(wǎng)絡(luò)的安全策略，在第二版里面有，還有一個(gè)就是Linux內(nèi)核安全審計(jì)，以及SELinux這個(gè)在國(guó)內(nèi)也是沒有書專門介紹，只是51CTO.COM上有一個(gè)作者翻譯了一本，在第一版我用了20%篇幅介紹了Linux命令，現(xiàn)在已經(jīng)有我就刪除了，第二本書大概刪除內(nèi)容有25%，第二和第一大概有50%的差距，還有讀者會(huì)關(guān)注到集群，儲(chǔ)存也沒有介紹。那么如果感興趣可以看《網(wǎng)管員必讀 故障排除》那本書。如果說都加到一本書，書會(huì)非常厚，實(shí)際上這個(gè)書的價(jià)格已經(jīng)不便宜了，我這里只是作者，定價(jià)還是在出版社。

主持人：曹江華老師不僅向我們介紹了兩版圖書的區(qū)別，也介紹了Linux現(xiàn)狀不容樂觀，在新書中針對(duì)不同服務(wù)器有非常詳細(xì)的介紹，請(qǐng)曹江華老師介紹一下，我們針對(duì)不同服務(wù)器在安全策略方面應(yīng)該做哪些準(zhǔn)備。

曹江華：Linux首先你要看擅長(zhǎng)就是在單一領(lǐng)域，單一基礎(chǔ)領(lǐng)域服務(wù)器，像DNS，基本上全世界都是BIND，它應(yīng)用主要Apache服務(wù)器，防火墻，文件服務(wù)器，這個(gè)是它擅長(zhǎng)的領(lǐng)域，Linux現(xiàn)在不擅長(zhǎng)一些什么，就是一些交叉應(yīng)用還是不擅長(zhǎng)，它擅長(zhǎng)是高性能計(jì)算，比如說計(jì)算機(jī)密集應(yīng)用，數(shù)據(jù)分析，建模還有一些數(shù)據(jù)庫(kù)，我感覺你把Linux拿過來做服務(wù)器，在它身上不要集成過多的應(yīng)用。因?yàn)檫@個(gè)東西比如說從安全策略說，F(xiàn)TP就不能太高，方便大家存儲(chǔ)一些東西。還有不同服務(wù)器安全策略，Linux畢竟跟UINX轉(zhuǎn)變過來，我的安全盡量做單一的應(yīng)用，不要把所有的雞蛋都放在一個(gè)籃子里面。

主持人：對(duì)Apache加固有什么建議？

曹江華：還是從最簡(jiǎn)單，是Apache配置文件，要理解HTTP，理解這個(gè)文件。說到Apache有什么可以加固方法很多，第二種就是說selinux現(xiàn)在也可以保護(hù)Apache，還有其他一些模塊可以防蠕蟲，這些模塊都可以編譯進(jìn)去。專門在Apache英文版手冊(cè)也幾十個(gè)針對(duì)不同攻擊的模塊，盡量自己安排，我這個(gè)系統(tǒng)經(jīng)常受到蠕蟲我就把這個(gè)編進(jìn)去，如果有人經(jīng)常對(duì)我搗亂我就把這個(gè)模塊編進(jìn)去。 介紹Apache安全的書很多，上面提到的那本英文Linux安全書，將近1/3的是介紹Apache。剛才講了不同服務(wù)器對(duì)安全策略是不一樣，在局域網(wǎng)把這三個(gè)服務(wù)器集成在一起是比較好，三個(gè)服務(wù)器安全性能要求不高，放在一起，把低風(fēng)險(xiǎn)放在一起，不要說這服務(wù)器又有高風(fēng)險(xiǎn)又有低風(fēng)險(xiǎn)，這個(gè)管理員就很難管理。上面只是有一些建議，但是從根本上防止安全還是說第一條就是DNS是BIND服務(wù)器，就是你必須要對(duì)配制文件，首先第一DNS服務(wù)配制文件一定要完整，不是說我DNS可以運(yùn)轉(zhuǎn)就可以了，一定要配制沒有任何錯(cuò)誤，要完整。配制服務(wù)器不是說這個(gè)可以運(yùn)轉(zhuǎn)就完了，一定要建立一個(gè)完整的DNS服務(wù)器，DNS服務(wù)器所有配置文件一定要保持正確，不是其中一個(gè)要正確，是所有文件要正確，沒有錯(cuò)誤，這個(gè)東西黑客攻擊就不容易，要盡量做到?jīng)]有漏洞。雖然說紅帽對(duì)DNS提供了一個(gè)界面，我推薦大家不要用，其實(shí)要配置對(duì)、配置完了，是比較安全的。還有一個(gè)DNS出現(xiàn)故障要盡快排除，有故障的DNS服務(wù)是很容易的攻擊的。

主持人： 是DNS做成集群?jiǎn)幔?/P>

曹江華： 是負(fù)載均衡，日常維護(hù)DNS服務(wù)器，書里面講得很詳細(xì)了，以下就是一些技術(shù)參數(shù)，有一些版本號(hào)，控制區(qū)域傳輸，要關(guān)注DNS日志 系統(tǒng)管理員要經(jīng)?？慈罩?，有的人根本不管。 然后就是負(fù)載均衡，防火墻都是所要有的。

#p#

主持人：Linux安全出現(xiàn)問題一般會(huì)出現(xiàn)在哪些方面，比如說桌面，服務(wù)您可以說一些例子。

曹江華：出現(xiàn)安全問題很多了，每個(gè)人可能都是不一樣的，但是我覺得常見的問題是說很多人習(xí)慣不好，從Windows帶過來一些習(xí)慣，比如說從服務(wù)項(xiàng)目上，越方便越好，把所有服務(wù)打開。但是Linux服務(wù)器上不一樣，你要根據(jù)自己的系統(tǒng)做什么，開始服務(wù)。有的人圖方便，安裝軟件什么都裝，裝得大而全，Linux要小而精，對(duì)于初學(xué)者對(duì)于二進(jìn)制代碼可能比較麻煩，這個(gè)你要找一個(gè)平衡點(diǎn)，你要選擇安全就要犧牲一些應(yīng)用性。

主持人：我們說一下數(shù)據(jù)庫(kù)，現(xiàn)在有兩大數(shù)據(jù)庫(kù)一個(gè)是MYSQL和PostgreSQL。能請(qǐng)曹老師介紹一下這些數(shù)據(jù)庫(kù)的安全防范嗎？

曹江華： MYSQL在開源數(shù)據(jù)庫(kù)可以說是老大了，它自己經(jīng)過很多滄桑。MYSQL數(shù)據(jù)庫(kù)的安全，大家第一步就是基本安裝怎么使用，主要MYSQL首先還是了解MYSQL體系結(jié)構(gòu)，是數(shù)據(jù)庫(kù)里面表是怎么樣，但是MYSQL有一個(gè)跨平臺(tái)性，可以在Windows下面跑，Linux也可以。我主要講在Linux下面的，首先第一個(gè)除了正常使用的話，就是MYSQL第一個(gè)是用戶管理，然后MYSQL有日志，對(duì)日志也是一個(gè)很重要，要關(guān)注日志，然后MYSQL服務(wù)器備份和恢復(fù)也是非常重要，牽扯到數(shù)據(jù)庫(kù)要到說到備份。

主持人：做成陣列來備份好一點(diǎn)嗎？

曹江華：不是，通過服務(wù)器可以備份到別人的機(jī)器上。還有一些MYSQL自己的實(shí)時(shí)的備份。這個(gè)備份一是外部備份，這個(gè)備份不像以前操作命令。這個(gè)只是做備份，效率會(huì)非常高，越是功能單一是性能高，也不會(huì)出現(xiàn)一些錯(cuò)誤，越簡(jiǎn)單的東西可靠性越高，跟汽車一樣，汽車零件非常多，出毛病的可能性非常大，自行車就那么幾個(gè)零件就不容易出問題。第二就是你必須要了解作為MYSQL管理員，前面了解MYSQL各種版本有哪些漏洞。我總結(jié)一下，從發(fā)布到現(xiàn)在所有的漏洞要檢查，對(duì)應(yīng)的版本，因?yàn)槊總€(gè)人用的版本是不一樣的。這個(gè)不能說大家都用最新的的版本。

主持人： 現(xiàn)在有人說MYSQL5.1沒有5.0的安全，您怎么看。

曹江華：這個(gè)我覺得不一定說到具體某一個(gè)版本，實(shí)際上管理員要了解，特別是管理多個(gè)數(shù)據(jù)庫(kù)，我們已經(jīng)總結(jié)過，有43個(gè)MYSQL重要的安全漏洞。從發(fā)布時(shí)間，從02到09年3月3日為止，從3.23到現(xiàn)在5.131?？梢哉f比較大會(huì)對(duì)MYSQL產(chǎn)生漏洞，我都已經(jīng)做了一個(gè)總結(jié)，我會(huì)告訴你，它的漏洞是風(fēng)險(xiǎn)等級(jí)高還是低，還有評(píng)分。你可以對(duì)應(yīng)你自己的到底有哪個(gè)漏洞，包括這個(gè)漏洞怎么補(bǔ)，在這個(gè)書里面也講了一些。我講43個(gè)是對(duì)大家危害比較大，總數(shù)的話應(yīng)該是在200多個(gè)，還有不少小的漏洞。下一步部分就是MYSQL要對(duì)它進(jìn)行安全審計(jì)，剛才講到漏洞你作為MYSQL感覺員要經(jīng)常了解MYSQL的安全信息，還有最主要現(xiàn)在最新出了一個(gè)版本，這個(gè)是MYSQL一個(gè)軟件，就是一個(gè)軟件，可以你發(fā)現(xiàn)MYSQL漏洞，在這個(gè)軟件會(huì)告訴你哪些表被改動(dòng)了。

主持人：有一些重要操作改管理員密碼一定會(huì)顯示出來。

曹江華： 對(duì)，如果是你改沒有問題，如果不是可以查防火墻，如果是你自己改就無所謂。我感覺PostgreSQL的安全性能比MYSQL好一點(diǎn)，因?yàn)檫@個(gè)數(shù)據(jù)庫(kù)設(shè)計(jì)比MYSQL好，前一部分日常操作要保持正確，備份這個(gè)跟MYSQL是一樣的。還有關(guān)注一下PostgreSQL雖然也有一定漏洞，可能在主流數(shù)據(jù)庫(kù)是最少，相對(duì)于所有數(shù)據(jù)庫(kù)，如果說這個(gè)數(shù)據(jù)庫(kù)是你自己研發(fā)根本沒有人知道，在市面上跑的主流數(shù)據(jù)庫(kù)，第二就是說訪問控制要注意，主要是通過安全鏈接，認(rèn)證，還有保護(hù)服務(wù)器在書里面講得很詳細(xì)了。

主持人：到現(xiàn)在發(fā)現(xiàn)多少漏洞？

曹江華： 56個(gè)，有一個(gè)截止日期，最近幾個(gè)月有沒有新的，大家可以再查一查，如果是管理安全可以對(duì)COE不陌生，這是一個(gè)全球的公共漏洞庫(kù)，里面有各種數(shù)據(jù)，包括WEB服務(wù)系，自己可以看一下。

#p#

主持人： 我們關(guān)注一下SELinux和Linux的內(nèi)核安全審計(jì)的作用

曹江華： SELinux很多國(guó)內(nèi)用戶可能覺得比較麻煩，很多在故障排除第一步先說把這個(gè)關(guān)掉。selinux就是美國(guó)國(guó)家安全局的一個(gè)項(xiàng)目，具體我感覺就是selinux實(shí)際上把安全策略進(jìn)行了一些分解。它的對(duì)于MAC控制訪問更徹底，普通Linux跟selinux控制訪問也有些不同。我主要還是講selinux配置過程中，應(yīng)該說比較麻煩的，原因就是說打開以后，WEB服務(wù)器就不正常，這個(gè)沒有辦法，安全性和應(yīng)用性就是這種矛盾的，只能尋找一定的安全中間點(diǎn)。如果說你用selinux保護(hù)WEB服務(wù)器是比較適合，比如說用局域網(wǎng)服務(wù)器。我以前說的不同服務(wù)器的保護(hù)等級(jí)不一樣的，最好不要所有服務(wù)器都設(shè)定一個(gè)安全等級(jí)。但是對(duì)WEB服務(wù)器，要放到互聯(lián)網(wǎng)上，WEB服務(wù)器一般都是放在互聯(lián)網(wǎng)這個(gè)時(shí)候一定要selinux，比如說自己局域網(wǎng)可以考慮有一些時(shí)候可以不用。
曹江華 在RHEL 4.0里面，它的操作比較簡(jiǎn)單，在RHEL 5里面有進(jìn)入了selinux故障排除器，就是說裝了XLinux某一個(gè)訪問不正常，可以通過一個(gè)工具找到原因，在哪堵住了，但是在RHEL 4.0就沒有了，要評(píng)經(jīng)驗(yàn)判斷， RHEL 5就正式了這個(gè)問題，你要大家用selinux以后，大家都跑不了，RHEL 5就提供了這樣一個(gè)工具，告訴你故障在哪，它會(huì)告訴你在哪，方便你排除故障。

主持人：有一個(gè)網(wǎng)友問關(guān)于vsftp搭建ftp的問題。

曹江華： 第一就是說VSFTP服務(wù)器還是第一項(xiàng)，要保證配制文件要正確，如果配制文件不正確，不允許匿名訪問，你給配成可以就不安全了，第二要分析安裝對(duì)服務(wù)器分析日志文件，第三還有一個(gè)一定要加入磁盤內(nèi)容，不能讓磁盤濫用，還有一個(gè)現(xiàn)在有好幾個(gè)FTP服務(wù)器是通過密碼和口令訪問，現(xiàn)在存在很多對(duì)它暴力破解的問題，現(xiàn)在有一些工具，這個(gè)軟件可以防御這個(gè)，像銀行一樣，插到一個(gè)銀行卡，銀行不會(huì)允許你老拆，這個(gè)軟件是非常小，它的作用在30秒內(nèi)連續(xù)拆了9次，就把IP封掉了，這個(gè)就是不正常。

主持人：是不是做成虛擬用戶更安全一些。

曹江華 ：根據(jù)不同用戶，哪些用戶有多大磁盤配制也是不一樣。還有一點(diǎn)要注意客戶端，客戶端安全，你一定要正確客戶端工具訪問這個(gè)工具。 在Linux用客戶端一個(gè)是命令行，還有一個(gè)叫GSSTP在Linux用，在Windows下用就非常多了，這個(gè)是跟 Red hot里面都有這個(gè)，提供了很多安全特新，比如說支持SSL加密，在命令行下沒有人管你，你不用一個(gè)正確的，用一個(gè)普通客戶端訪問就不行，所以說客戶端往往不注意，好像我的服務(wù)器配制非常安全，但是客戶端沒有使用安全，這兩端都是安全，但是中間不是。

主持人：能介紹一下關(guān)于Linux應(yīng)急響應(yīng)方面的問題嗎？

曹江華： 首先要說明，我有一個(gè)觀點(diǎn)就是安全永遠(yuǎn)是相對(duì)的，不安全是絕對(duì)，就是說服務(wù)器配制再安全也有失手的，這個(gè)時(shí)候要說怎么把服務(wù)器恢復(fù)起來，做這么多加固還是有人給我攻陷了，這個(gè)跟哲學(xué)道理是一樣的人死是絕對(duì)的，總是要死，安全也是一個(gè)道理，安全是相對(duì)的，不安全是絕對(duì)的。
曹江華 安全響應(yīng)，主要是碰到問題怎么辦，一定要做好事先做好一個(gè)預(yù)案，Windows下面也有一個(gè)類似，比如說說機(jī)器突然起不來了怎么辦，一般是恢復(fù)一下，還有做備份，在Linux下面，道理是一樣的，一旦服務(wù)器失手，崩潰以后怎么辦，日常要做好這些工作，在書中專門有一章很細(xì)節(jié)的方法，講了40、50種備份方法。

主持人：是不是根文件先備份？

曹江華： 不是，你認(rèn)為有用的文件都要備份，但是備份方法各有不同，根據(jù)你自己的要求。然后要說在應(yīng)急相應(yīng)有一個(gè)步驟。一旦受到網(wǎng)絡(luò)攻擊第一步做什么？

主持人： 斷網(wǎng)。

曹江華： 對(duì)，第二是你要通知適當(dāng)?shù)牟块T，第三就是說把以前創(chuàng)建的備份復(fù)本在敵人攻擊以前必須備份，下一步要分析數(shù)據(jù)庫(kù)，你要知道攻擊口子在哪。

#p#

主持人： 有一個(gè)網(wǎng)友問如何最快速度知道哪里被攻破了。

曹江華： 對(duì)Linux防御也要分級(jí)，國(guó)家也有一個(gè)風(fēng)險(xiǎn)等級(jí)，一定要分級(jí)，不同分析工具，可以分析出你是哪個(gè)部分被攻擊了，比如說說DNS服務(wù)器，如果沒有配正確，攻陷了，你從DNS日志里面可以看到，WEB服務(wù)器也可以看到，你哪些端口是打開，通過基本命令可以看出來，你也可以安裝一些修盤器。我最常用就是LOF這個(gè)命令，第一看端口，第二是看哪個(gè)文件被打開。然后，第三部分如果發(fā)現(xiàn)哪里MYSQL攻破了恢復(fù)系統(tǒng)要把措施的地方補(bǔ)上，最后如果說一旦發(fā)生比較大攻擊事件，一定要掌握電腦辨析學(xué)。有一種觀點(diǎn)服務(wù)器攻擊的時(shí)候，為了收集證據(jù)寧可要先保存一下，向網(wǎng)絡(luò)安全警察報(bào)警要有證據(jù)，這個(gè)就是電腦的辨析學(xué)的功能。

主持人： 一般有哪些工具？

曹江華： 使用電腦辨析工具有一些商業(yè)的，有開源的，就是取證工具，有開源的，有商業(yè)的工具。這些一般都是一些計(jì)算機(jī)安全專業(yè)公司提供的。第三要把數(shù)據(jù)保存下來。第四如果的對(duì)你的商業(yè)造成比較大的影響你就要提交取證，這個(gè)時(shí)候需要有一個(gè)你說出來這個(gè)數(shù)字是要有一定的必須一般采集數(shù)據(jù)工具，一般是請(qǐng)第三方做評(píng)估你受損，不能說我受損我說我受損一個(gè)億，必須要有第三方。比如說前些天影音風(fēng)暴就起訴黑客賠償多少，就是請(qǐng)第三方做。

主持人：有網(wǎng)友問，您對(duì)LLSF有什么看法。

曹江華： 是一個(gè)非常好的工具，但是對(duì)讀者有一定要求，使用LLSF用戶不相信任何一個(gè)發(fā)行版，就是自己做一個(gè)東西，實(shí)際上可以把這個(gè)系統(tǒng)做非常小，非常安全，我希望大家盡量多做一些這樣的東西，就是說suse也好，都是一些發(fā)行版，真正要玩Linux是不應(yīng)該的。

主持人：有一個(gè)網(wǎng)友問我是一個(gè)站長(zhǎng)，有一個(gè)服務(wù)器，我們?cè)趺醋龅较鄬?duì)好的安全性。

曹江華： 主要是提供下載，還是提供網(wǎng)絡(luò)服務(wù)。如果是很小網(wǎng)站就是提供下載的東西，提供WEB服務(wù)PHP漏洞比較多，選擇性能高一些的，安全漏洞比較多是PHP，裝起來論壇非?？?，非常簡(jiǎn)單，但是本身設(shè)計(jì)漏洞就非常大。所以我不推薦，大家最好用新出的。

主持人：還有一個(gè)網(wǎng)友問最新的RHEL 5.4的問題。

#p#

曹江華： RHEL 5.4 Beta版已經(jīng)出了，主要是對(duì)虛擬化做了一個(gè)行為轉(zhuǎn)型，我覺得這個(gè)轉(zhuǎn)型是對(duì)的，為什么？因?yàn)镵VM效力上要好，其他方面在數(shù)據(jù)儲(chǔ)存文件系統(tǒng)也有一些改變，這個(gè)我還沒有拿到，我只是看了一下官方文檔。

主持人： 有一個(gè)網(wǎng)友問KVM體現(xiàn)在哪里。

曹江華:有具體的測(cè)試，大家可以在相關(guān)網(wǎng)站做的對(duì)比測(cè)試。安全性方面，KVM出現(xiàn)比較晚，安全性好一點(diǎn)。XEN好像限制比較多，受一些資源控制。對(duì)處理器，商業(yè)方面控制以后會(huì)越來越多，安全性能現(xiàn)在是思杰公司做。與XEN做對(duì)比，我感覺就是說KVM還是屬于上升階段。這個(gè)網(wǎng)絡(luò)上有很多資料。最簡(jiǎn)單說KVM操作起來，命令相對(duì)簡(jiǎn)單。

主持人：建立一個(gè)虛擬機(jī)只需要一個(gè)命令。XEN對(duì)很多機(jī)器也不兼容。

曹江華：對(duì)。主要是英特爾方面比較討厭，很多處理器把虛擬化功能關(guān)閉了，不是沒有，我有一個(gè)同事處理器支持，筆記本出廠的時(shí)候把這個(gè)功能給關(guān)了。披露一下，是聯(lián)想的。

主持人： 我也發(fā)現(xiàn)很多機(jī)器可以用XEN但是不能跑全虛擬。這個(gè)確實(shí)比較討厭，半虛擬，而且不可以本地裝。

曹江華： 對(duì)。KVM運(yùn)行同樣也是對(duì)CPU也是有限制，這兩個(gè)是一樣的。

主持人：還是有商業(yè)因素。下一個(gè)問題，有網(wǎng)友問，如何成為一個(gè)Linux安全高手。

曹江華： Linux要把用起來，第一說你是實(shí)踐，這個(gè)可能大家都知道；第二盡量要把你用過的東西要寫一下，除了我經(jīng)常操作以外，一定要寫下來，我以前就是操作，很多用完就忘了，寫出來會(huì)好很多。第三對(duì)于Linux使用者來說，一定要學(xué)用其他操作系統(tǒng)，還有Solaris最好也要用一下，一定要從Linux小水庫(kù)里面跳出來，最好多用一種Linux類操作系統(tǒng)，Linux本身也叫UINX類操作系統(tǒng)，包括BFD，Solaris有機(jī)會(huì)要用一用，不要有人說我就知道Red hat了，盡量多接觸不同的操作系統(tǒng)，Linux類操作系統(tǒng)，對(duì)你以后對(duì)比他們之間差異，不要做特別專的東西，Windows可能沒有辦法，也要用，多用各種操作系統(tǒng)。你盡量還要做各種操作系統(tǒng)都要用一下。

#p#

主持人：網(wǎng)友問一個(gè)具體的問題：我們網(wǎng)站在三月份被人DDoS了，我們沒有防火墻，這種情況怎么避免。

曹江華：我說的防火墻是硬件防火墻，我不知道這位朋友是不是單指Linux系統(tǒng)。一定程度上可以防范，剛才我講DNS負(fù)載應(yīng)用可以多裝，做集群或者負(fù)載集群。具體方法，關(guān)于DNS的配置方面的具體操作，大家可以自己看一下，或者在網(wǎng)上找相關(guān)的問題。這個(gè)有局限，比如說防了這個(gè)IP地址，你斷一下網(wǎng)，再上就換了。比ADSL對(duì)你進(jìn)行攻擊，我再換一個(gè)，但是你對(duì)靜態(tài)IP是起作用。不要把所有的IP要限制訪問帶寬，做網(wǎng)絡(luò)管理員，不讓做什么。以前經(jīng)常設(shè)，這個(gè)端口不讓用，我用不同的端口，我覺得安全管理要人性化，不要發(fā)現(xiàn)人家要做什么，你就不讓人家做怎么樣，從技術(shù)手段要考慮到用戶實(shí)用性，比如說對(duì)BT可以限制帶寬。盡量不要限制用，因?yàn)橛脩魰?huì)想別的辦法，做安全管理要有一定彈性。

主持人：還有一個(gè)問題，Linux在服務(wù)器領(lǐng)域比桌面領(lǐng)域有優(yōu)勢(shì)，那么Windows7和Windows 2008服務(wù)器版本怎么樣？

曹江華： Windows 2008速度跟此前Windows比還是比較快，Windows7速度我感覺跟VSITA快一點(diǎn)，專門有一個(gè)內(nèi)核的模式，這個(gè)就是說微軟也認(rèn)識(shí)到命令行生存能力非常強(qiáng)，我只用命令行效率是非常高。講到這里，我想講一點(diǎn)，我收到了一些讀者對(duì)這本《Linux服務(wù)器安全策略》有一定意見。但事實(shí)上這本書不是針對(duì)對(duì)剛開始的初學(xué)者這些讀者，這些讀者要看可以看我寫的另一本書，叫做《Linux命令行技術(shù)》，有一定基礎(chǔ)再看《安全策略》；第二要看一下服務(wù)器構(gòu)建，讀一個(gè)書，買書要有一個(gè)過程，不能說上來就買一本編程的書上來。

主持人：安全是最高等級(jí)。

曹江華 ：對(duì)，因?yàn)槟惴?wù)還沒有做起來，安全說不上，大家學(xué)習(xí)Linux從命令開始，不要覺得這個(gè)東西很好裝，就裝上，什么服務(wù)器就是在線，你學(xué)再熟練，如果你精通Linux就可以成為一個(gè)UINX高手，大家還是要關(guān)注命令行，既然做服務(wù)器，一定要回到命令行。

#p#

主持人：說到命令行，就要說一下關(guān)于SSH的安全問題。

曹江華 ：SSH這個(gè)是用非常多的一個(gè)應(yīng)用，特別是網(wǎng)絡(luò)管理員最喜歡用的，為什么就是遠(yuǎn)程訪問，要登陸不可能每次都到服務(wù)器本身，第一SSH必須要明白它能保護(hù)哪些，還有一些不能防范也要明白，不是安裝了SSH就完了，一定是安全的了。有一些SSH是防范不了的。SSH現(xiàn)在面臨一個(gè)很大的軟件漏洞，這個(gè)也是一直被Windows笑話的，這個(gè)一定要知道，SSH面臨一個(gè)最大的問題就是口令破解，這個(gè)SSH不能防范哪些，一旦系統(tǒng)侵入你根目錄這個(gè)是防不了。 注意不要跟NFS一起跑，SSH提高服務(wù)器安全性還有一個(gè)相對(duì)好的辦法，就是用SN運(yùn)行模式，效率低一些，但是安全性好。SSH可以由兩種模式。

主持人：請(qǐng)教曹老師，你覺得用密鑰好還是口令好。

曹江華： 當(dāng)然是密鑰。還有一個(gè)就是說用SSH服務(wù)器，客戶端一定要支持，跟STP一樣，比如說你SSH服務(wù)器配制安全，但是訪問工具不安全，大家平常還是用Windows多，我這個(gè)筆記本就訪問你，你訪問工具有重大漏洞，而且POTT有很多安全設(shè)置，如果POTT有很大技巧，如果那個(gè)使用技巧不好，沒有正確使用客戶端，如果客戶端安全性不好，你服務(wù)器安全也不好。你訪問信息它在中間就截獲了。

主持人：除了SSH，曹老師還可以推薦一下控制圖形界面管理工具嗎？

曹江華：VNC是一個(gè)，VNC跟SSH結(jié)合起來，另外講到VPN也是一個(gè)，總體就是說Linux的VPN有很多種，最多就是PPGP它的安全漏洞是最次的，現(xiàn)在用最多的就是OpenVPN。大家為什么用PPTP是配制最簡(jiǎn)單的。 Windows客戶端是用PPGP，但是在Linux下面，我建議用VNC兩個(gè)組合，不要把PPTP想得那么不堪一擊，普通應(yīng)用還是可以的。

主持人：網(wǎng)友請(qǐng)教Linux工程師經(jīng)常用的工具，我們有哪些手段和策略加強(qiáng)Linux安全性？

曹江華 ：最基本的：把不需要的服務(wù)關(guān)掉，比如說根本就沒有NFS沒有關(guān)，不要的關(guān)掉。其他對(duì)Linux要加固這個(gè)系統(tǒng)，一定要進(jìn)行實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控，第二就是保護(hù)一定要裝IDS。這個(gè)是最基本，你要更安全要做分布式的，做成集群模式，IDS本身要安全，這個(gè)是串型的。

主持人：有網(wǎng)友問，網(wǎng)絡(luò)中域管理模式是Windows AD還是Linux比較好？

曹江華： Windows和Linux沒有什么可比性，但是如果誰學(xué)誰的話，一定是Windows學(xué)的人家，NT4.0是第一個(gè)引用了域的關(guān)系，不是說抄襲，應(yīng)該是借鑒。從UNIX權(quán)限，這個(gè)學(xué)不到的，人家對(duì)他問題很大，在Windows2008年特別引用了命令行，是從UNIX借鑒了，這個(gè)是成功的。

主持人：由于時(shí)間關(guān)系我們今天訪談就到這里，有請(qǐng)曹江華老師向我們廣大網(wǎng)友說一句話作為大家的勉勵(lì)。

曹江華：希望大家關(guān)注51CTO包括很多其他的優(yōu)秀作者書籍，說到一下樣章少，但是沒有辦法是一個(gè)商業(yè)行為，出版社有一定的限制的，如果說有像以前我們有一些作者，把有一個(gè)書自己翻譯了一下，這種開源現(xiàn)在我們社區(qū)還是需要這樣的開源的作者多做一些服務(wù)。