我們知道一家公司的Unix架構(gòu)極有可能是其全部IT問題的最重要的部分。因為它支撐著你的郵件系統(tǒng)、Web服務器，甚至你的最重要的企業(yè)應用。

雖然Unix系統(tǒng)本身是極其安全的操作系統(tǒng)，但在這個惡意代碼和黑客行為十分猖獗的時代，我們絕不可以對Unix架構(gòu)的安全問題掉以輕心。本文將討論任何Unix用戶都應該清楚的保障Unix安全的關(guān)鍵方法，籍以引起您對此問題的高度重視。

那么，到底有哪些要素組成了Unix架構(gòu)呢？這個問題難以規(guī)定其標準答案，但總體而言，大多數(shù)公司都有面向客戶或公眾的服務。這些服務器是“公用”的服務器。任何一個提供服務給外部世界的事物都有其特殊性。

它們是用戶可以登錄的機器，這些用戶可以是一個合法的ISP賬戶，也有可能是一家公司的開發(fā)團隊。我們將這些可被登錄的服務器稱為“登錄服務器”，因而須對它們特別對待。還要注意，我們網(wǎng)絡(luò)架構(gòu)中有相當多的計算機是為其它服務器提供服務的，這些服務器只有超級用戶可以訪問。

Unix架構(gòu)公共服務

首要的問題是，您必須看一看所有的可為外部世界提供服務的服務器，并思索自己是否真的需要。通常情況下，它們可以置于防火墻之后，或者放在一個組合式防火墻及代理服務器之后。

舉例來說，如果你在四個WEB服務器上運行一個面向客戶端的WEB站點，那么，減少這些服務器的暴露程度至最少化是可能的。

放置在這些WEB服務器之前的一個代理服務器或一對冗余代理服務器可以接受所有的客戶端連接，然后檢查并清理這些服務。這就是代理服務器其中所起的作用。代理服務器夠減輕后端WEB服務器的風險，而且不受Internet的影響和訪問。

引起安全問題的最經(jīng)常的原因是沒有及時打補丁或者未知的服務。很長時間以來，已被人們遺忘的WEB服務器是那種Apache的老版本或者易受攻擊的PHP腳本服務，因其內(nèi)核已過時。對于災難性故障的解決處方也許太普通，不過，如果您的WEB 服務器隱藏在一個代理服務器之后，那么幾乎就沒有什么遺忘打補丁或服務的風險。

對于其它服務也是同樣的情況。許多站點有一些極端的限制，如防火墻管理員必須驗證任何新的網(wǎng)絡(luò)應用，并且工作良好。通常情況下，公司網(wǎng)絡(luò)完全開放，其WEB應用是不安全的，應用程序能與之交互的服務器常常是無任何理由地可被互聯(lián)網(wǎng)訪問。

Unix架構(gòu)登錄服務器

遠程用戶被限制為只能使用給定的界面，如E-MAIL服務，WEB應用或B2B服務。那些可以訪問系統(tǒng)外殼的本地用戶可謂完全無拘無束。如果你的系統(tǒng)中恰好有一個惡意用戶，除非采取極端的措施，他可對根目錄進行訪問。

至于更新問題，特別是那些要求升級后重啟的內(nèi)核的更新，必須在新內(nèi)核的發(fā)布之日應用?？傊?，操作系統(tǒng)需要強化其穩(wěn)健性。在設(shè)計架構(gòu)的過程中，必須特別注意確保用戶只能對所指定的區(qū)域訪問。

如果你的網(wǎng)絡(luò)還有一些可對某些機器的根目錄訪問的開發(fā)人員，那么受到傷害的可能性就會大增加。開發(fā)人員自身成為惡意用戶的可能性也許微乎其微，但絕不能排除其可能性。其實，開發(fā)人員不知不覺安裝的一些怪異的新程序有可能會損害系統(tǒng)。

例如，Slammer 蠕蟲的傳播速度極快，原因在于它在Windows系統(tǒng)中通過網(wǎng)絡(luò)進行傳播,該蠕蟲利用Microsoft SQL Server2000的緩沖區(qū)溢出漏洞獲得系統(tǒng)控制權(quán)，并產(chǎn)生大量隨機IP地址進行攻擊,導致蠕蟲的迅速傳播并且形成拒絕服務攻擊，網(wǎng)絡(luò)帶寬大量地被占用。

Unix架構(gòu)的知識，我們就講解到這里了。

【編輯推薦】

1. Unix系統(tǒng)光景不如以往
2. 我看Unix服務器之路
3. Unix網(wǎng)絡(luò)的安全性問題
4. Unix系統(tǒng)中知識講解
5. Unix系統(tǒng)創(chuàng)始人介紹