許多剛接觸Linux的網(wǎng)絡(luò)管理員發(fā)現(xiàn)，他們很難由指向點(diǎn)擊式的安全配置界面轉(zhuǎn)換到另一種基于編輯復(fù)雜而難以捉摸的文本文件的界面。本文列出七條管理員能夠也應(yīng)該可以做到的步驟，從而幫助他們建立更加安全的Linux服務(wù)器，并顯著降低他們所面臨的風(fēng)險(xiǎn)。

請(qǐng)任何大型機(jī)構(gòu)的網(wǎng)絡(luò)管理員對(duì)Linux和網(wǎng)絡(luò)操作系統(tǒng)(如Windows NT或Novell)進(jìn)行比較，可能他會(huì)承認(rèn)Linux是一個(gè)內(nèi)在更加穩(wěn)定，擴(kuò)展性更強(qiáng)的解決方案?？赡芩€會(huì)承認(rèn)，在保護(hù)系統(tǒng)免受外部攻擊方面，Linux可能是三者中最難配置的系統(tǒng)。

這種認(rèn)識(shí)相當(dāng)普遍——許多剛接觸Linux的網(wǎng)絡(luò)管理員發(fā)現(xiàn)，他們很難由指向點(diǎn)擊式的安全配置界面轉(zhuǎn)換到另一種基于編輯復(fù)雜而難以捉摸的文本文件的界面。多數(shù)管理員充分認(rèn)識(shí)到他們需要手工設(shè)置阻礙和障礙，以阻止可能的黑客攻擊，從而保護(hù)公司數(shù)據(jù)的安全。只是在他們并不熟悉的Linux領(lǐng)域內(nèi)，他們不確定自己的方向是否正確，或該從何開(kāi)始。

這就是本文的目的所在。它列出一些簡(jiǎn)易的步驟，幫助管理員保障Linux的安全，并顯著降低他們面臨的風(fēng)險(xiǎn)。本教程列出了七個(gè)這樣的步驟，但您也可以在Linux手冊(cè)和討論論壇中發(fā)現(xiàn)更多內(nèi)容。

保護(hù)根賬戶

Linux系統(tǒng)上的根賬戶(或超級(jí)用戶賬戶)就像是滾石演唱會(huì)上的后臺(tái)通行證一樣——它允許您訪問(wèn)系統(tǒng)中的所有內(nèi)容。因此，值得采取額外的步驟對(duì)它加以保護(hù)。首先，用密碼命令給這個(gè)賬戶設(shè)置一個(gè)難以猜測(cè)的密碼，并定期進(jìn)行修改，而且這個(gè)密碼應(yīng)僅限于公司內(nèi)的幾個(gè)主要人物(理想情況下，只需兩個(gè)人)知曉。

然后，對(duì)/etc/securetty文件進(jìn)行編輯，限定能夠進(jìn)行根訪問(wèn)的終端。為避免用戶讓根終端“開(kāi)放”，可設(shè)置TMOUT當(dāng)?shù)刈兞繛榉腔顒?dòng)根登錄設(shè)置一個(gè)使用時(shí)間;并將HISTFILESIZE當(dāng)?shù)刈兞吭O(shè)為0，保證根命令記錄文件(其中可能包含機(jī)密信息)處于禁止?fàn)顟B(tài)。最后，制訂一個(gè)強(qiáng)制性政策，即使用這個(gè)賬戶只能執(zhí)行特殊的管理任務(wù);并阻止用戶默認(rèn)以根用戶服務(wù)登錄。

提示：關(guān)閉這些漏洞后，再要求每一個(gè)普通用戶必須為賬戶設(shè)立一個(gè)密碼，并保證密碼不是容易識(shí)別的啟示性密碼，如生日、用戶名或字典上可查到的單詞。

安裝一個(gè)防火墻

防火墻幫助您過(guò)濾進(jìn)出服務(wù)器的數(shù)據(jù)包，并確保只有那些與預(yù)定義的規(guī)則相匹配的數(shù)據(jù)包才能訪問(wèn)系統(tǒng)。有許多針對(duì)Linux的優(yōu)秀防火墻，而且防火墻代碼甚至可直接編譯到系統(tǒng)內(nèi)核中。首先應(yīng)用ipchains或iptables命令為進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包定義輸入、輸出和轉(zhuǎn)寄規(guī)則?？梢愿鶕?jù)IP地址、網(wǎng)絡(luò)界面、端口、協(xié)議或這些屬性的組合制訂規(guī)則。這些規(guī)則還規(guī)定匹配時(shí)應(yīng)采取何種行為(接受、拒絕、轉(zhuǎn)寄)。規(guī)則設(shè)定完畢后，再對(duì)防火墻進(jìn)行詳細(xì)檢測(cè)，保證沒(méi)有漏洞存在。安全的防火墻是您抵御分布式拒絕服務(wù)(DDoS)攻擊這類常見(jiàn)攻擊的第一道防線。

使用OpenSSH處理網(wǎng)絡(luò)事務(wù)

在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)安全是客戶-服務(wù)器構(gòu)架所要處理的一個(gè)重要問(wèn)題。如果網(wǎng)絡(luò)事務(wù)以純文本的形式進(jìn)行，黑客就可能“嗅出”網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)，從而獲取機(jī)密信息。您可以用OpenSSH之類的安全殼應(yīng)用程序?yàn)閭鬏數(shù)臄?shù)據(jù)建立一條“加密”通道，關(guān)閉這個(gè)漏洞。以這種形式對(duì)連接進(jìn)行加密，未授權(quán)用戶就很難閱讀在網(wǎng)絡(luò)主機(jī)間傳輸?shù)臄?shù)據(jù)。

禁用不必要的服務(wù)

大多數(shù)Linux系統(tǒng)安裝后，各種不同的服務(wù)都被激活，如FTP、telnet、UUCP、ntalk等等。多數(shù)情況下，我們很少用到這些服務(wù)。讓它們處于活動(dòng)狀態(tài)就像是把窗戶打開(kāi)讓盜賊有機(jī)會(huì)溜進(jìn)來(lái)一樣。您可以在/etc/inetd.conf或/etc/xinetd.conf文件中取消這些服務(wù)，然后重啟inetd或xinetd后臺(tái)程序，從而禁用它們。另外，一些服務(wù)(如數(shù)據(jù)庫(kù)服務(wù)器)可能在開(kāi)機(jī)過(guò)程中默認(rèn)啟動(dòng)，您可以通過(guò)編輯/etc /rc.d/*目錄等級(jí)禁用這些服務(wù)。許多有經(jīng)驗(yàn)的管理員禁用了所有系統(tǒng)服務(wù)，只留下SSH通信端口。

使用垃圾郵件和反病毒過(guò)濾器

垃圾郵件和病毒干擾用戶，有時(shí)可能會(huì)造成嚴(yán)重的網(wǎng)絡(luò)故障。Linux有極強(qiáng)的抗病毒能力，但運(yùn)行Windows的客戶計(jì)算機(jī)可能更易受病毒攻擊。因此，在郵件服務(wù)器上安裝一個(gè)垃圾郵件和病毒過(guò)濾器，以“阻止”可疑信息并降低連鎖崩潰的風(fēng)險(xiǎn)，會(huì)是一個(gè)不錯(cuò)的主意。

首先安裝SpamAssassin這個(gè)應(yīng)用各種技術(shù)識(shí)別并標(biāo)注垃圾郵件的一流開(kāi)源工具，該程序支持基于用戶的白名單與灰名單，提高了精確度。接下來(lái)，根據(jù)常規(guī)表達(dá)式安裝用戶級(jí)過(guò)濾，這個(gè)工具可對(duì)收件箱接收的郵件進(jìn)行自動(dòng)過(guò)濾。最后再安裝Clam Anti-Virus，這個(gè)免費(fèi)的反病毒工具整合 Sendmail和SpamAssassin，并支持電子郵件附件的來(lái)件掃描。

安裝一個(gè)入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)(IDS)是一些幫助您了解網(wǎng)絡(luò)改變的早期預(yù)警系統(tǒng)。它們能夠準(zhǔn)確識(shí)別(并證實(shí))入侵系統(tǒng)的企圖，當(dāng)然要以增加資源消耗與錯(cuò)誤線索為代價(jià)。您可以試用兩種相當(dāng)知名的IDS：tripwire，它跟蹤文件簽名來(lái)檢測(cè)修改;snort，它使用基于規(guī)則的指示執(zhí)行實(shí)時(shí)的信息包分析，搜索并識(shí)別對(duì)系統(tǒng)的探測(cè)或攻擊企圖。這兩個(gè)系統(tǒng)都能夠生成電子郵件警報(bào)(以及其它行為)，當(dāng)您懷疑您的網(wǎng)絡(luò)受到安全威脅而又需要確實(shí)的證據(jù)時(shí)，可以用到它們。

定期進(jìn)行安全檢查

要保障網(wǎng)絡(luò)的安全，這最后一個(gè)步驟可能是最為重要的。這時(shí)，您扮演一個(gè)反派的角色，努力攻破您在前面六個(gè)步驟是建立的防御。這樣做可以直接客觀地對(duì)系統(tǒng)的安全性進(jìn)行評(píng)估，并確定您應(yīng)該修復(fù)的潛在缺陷。

有許多工具可幫助您進(jìn)行這種檢查：您可以嘗試用Crack和John the Ripper之類的密碼破解器破譯您的密碼文件;或使用nmap或 netstat來(lái)尋找開(kāi)放的端口;還可以使用tcpdump探測(cè)網(wǎng)絡(luò);另外，您還可以利用您所安裝的程序(網(wǎng)絡(luò)服務(wù)器、防火墻、Samba)上的公開(kāi)漏洞，看看能否找到進(jìn)入的方法。如果您設(shè)法找到了突破障礙的辦法，其他人同樣也能做到，您應(yīng)立即采取行動(dòng)關(guān)閉這些漏洞。

保護(hù)Linux系統(tǒng)是一項(xiàng)長(zhǎng)期的任務(wù)，完成上述步驟并不表示您可以高枕無(wú)憂。訪問(wèn)Linux安全論壇了解更多安全提示，同時(shí)主動(dòng)監(jiān)控并更新系統(tǒng)安全措施。

【編輯推薦】

1. linux系統(tǒng)性能檢測(cè)
2. Linux系統(tǒng)提速的必修課
3. 讓你的Linux系統(tǒng)變成銅墻鐵壁