[[119348]] 

簡介

對計算機(jī)的惡意攻擊與日俱增。盡管編寫的用于攻擊 GNU/Linux 系統(tǒng)的病毒比 Windows 系統(tǒng)少得多，但 GNU/Linux 病毒確實存在。此外，可感染運(yùn)行 Linux 的計算機(jī)的其他類型的惡意軟件的數(shù)量（以及純攻擊數(shù)量）也在不斷增長。最近 Wirenet.1 攻擊了運(yùn)行 Linux 和 Mac OS X 的計算機(jī)。該惡意軟件盜竊了存儲在計算機(jī)上的 Internet 瀏覽器、電子郵件客戶端和即時消息工具中的密碼和其他信息。

增強(qiáng)Linux桌面安全性 使用易用的工具維護(hù)系統(tǒng)安全[圖文] http://www.linuxidc.com/Linux/2008-12/17702.htm

關(guān)于安全性的流言是如何流傳的

在惡意攻擊者的焦點是惡作劇時，Windows 系統(tǒng)是主要的目標(biāo)，因為該系統(tǒng)容易使用，而且許多無經(jīng)驗的用戶都購買它們。一些攻擊的動機(jī)是為 Microsoft 帶來負(fù)面形象，Microsoft 被認(rèn)為是不支持開源社區(qū)的公司。這些攻擊在計算領(lǐng)域中助長了 Windows 安全性很脆弱的流言。

獨立于平臺的環(huán)境（比如 OpenOffice.org、Perl 和 Firefox）也未能幸免于難。舉例而言，我們在運(yùn)行 Windows、Mac OS X 和 Linux 的機(jī)器上都發(fā)現(xiàn)了 Dropper.MsPMs — 一個惡意的 Java 歸檔 (JAR) 文件。

一些惡意的包是專為 GNU/Linux 編寫的。rootkit 是一個允許攻擊者獲得計算機(jī)上的 root（管理員）帳戶訪問權(quán)限的工具集合，它是和特洛伊密碼一樣的惡意軟件系列中的一部分。這些惡意軟件包具有不同的名稱，比如 tOrn 和 ARK。

防御惡意軟件

許多因素決定了系統(tǒng)的安全程度，但最重要的是系統(tǒng)的配置方式。本文將介紹 GNU/Linux 桌面的配置。通過執(zhí)行一些步驟來正確配置您的計算機(jī)系統(tǒng)，從而保障計算機(jī)的安全。首先從反病毒保護(hù)開始。

安裝反病毒保護(hù)軟件：ClamAV

ClamAV 是一個開源 (GPL) 反病毒引擎，其設(shè)計目標(biāo)是檢測特洛伊木馬、病毒、惡意軟件和其他惡意威脅。安裝它時，您可以指定希望手動運(yùn)行該程序，還是通過將它連接到后臺進(jìn)程讓它持續(xù)運(yùn)行。對于桌面，以后臺進(jìn)程形式運(yùn)行該程序最為理想，因為在這種狀況下您仍然可以選擇執(zhí)行手動掃描。

要將 ClamAV 安裝為持續(xù)運(yùn)行的后臺進(jìn)程，可執(zhí)行以下步驟：

 1.打開計算機(jī)并登錄。

 2.在菜單欄中，單擊 Applications > Accessories > Terminal。

 3.在啟動終端后，輸入以下命令：

sudo apt-get install clamav-daemon 

4.在系統(tǒng)提示您時，輸入您的密碼。

這么做會安裝一個名為 clamav-freshclam 的包，它是 ClamAV 應(yīng)用程序的更新程序包。

5.您現(xiàn)在會看到一條消息，提醒您安裝該軟件時需要使用多大的磁盤空間。在提示符上輸入 Y 來開始安裝。

安裝流程只需兩分鐘的時間。完成安裝后，您將看到一個警報，指出您的病毒數(shù)據(jù)庫是 x 天以前的，您應(yīng)該使用以下的一系列步驟來更新它。

6.在提示符下，運(yùn)行命令 sudo freshclam。

運(yùn)行 freshclam 會將病毒定義更新為最新版本。保持定義最新非常重要，因為這是 ClamAV 識別惡意軟件的方式。

病毒定義 是惡意軟件程序所獨有的代碼模式。反病毒掃描器將您文件的內(nèi)容與病毒定義數(shù)據(jù)庫中的代碼模式進(jìn)行比較。如果找到匹配值，該程序會提醒您計算機(jī)上有一個受感染的文件，并阻止該文件中的代碼執(zhí)行。

如果惡意軟件的某個特定部分的定義未在您的病毒定義數(shù)據(jù)庫中，那么反病毒掃描器無法知道它就是惡意代碼，因此會讓它繼續(xù)運(yùn)行，并承受執(zhí)行它所帶來的損害。定期更新您的定義，以提供最全面的保護(hù)。

啟動 ClamAV

ClamTk：您的反病毒應(yīng)用程序的 GUI

如果不喜歡從終端工作，那么可以選擇為 ClamAV 安裝一個名為 ClamTk 的 GUI。這個 GUI 可以使用 Ubuntu 中的 Add/Remove Applications 工具輕松安裝。完成安裝之后，單擊 Applications > System Tools > Virus Scanner 運(yùn)行它。

在更新病毒定義后，就可以啟動 ClamAV 了。要對您的主文件夾運(yùn)行手動掃描，可以轉(zhuǎn)到終端提示符并輸入 clamscan。完成 clamscan 命令后，您會看到一個關(guān)于掃描了多少目錄和文件以及找到了有多少受感染文件的報告。

要以后臺進(jìn)程形式運(yùn)行 ClamAV，可以轉(zhuǎn)到終端提示符并輸入 clamdscan。clamdscan 命令創(chuàng)建了一個名為 ClamAV 的用戶。然后，您可以將此用戶添加到擁有您想要掃描的文件的組中。

通過 rkhunter 防御 rootkit

GNU/Linux 用戶面對的最危險的惡意軟件或許是 rootkit。Rootkit Hunter (rkhunter) 和 chkrootkit 程序會在桌面上掃描可疑的文件，攻擊者可能安裝這些文件來獲取您計算機(jī)的控制權(quán)。

要安裝 rkhunter（查找并刪除 rootkit 的最優(yōu)秀程序之一），可執(zhí)行以下步驟：

 1.要導(dǎo)航回終端，可單擊 Applications > Accessories > Terminal。

 2.在終端 shell 中，輸入以下命令：

sudo aptitude install rkhunter 

3.在收到一條告訴您該軟件需要使用多少空間的消息后，輸入 Y 開始安裝。

rkhunter 安裝后，您可運(yùn)行它來檢查桌面中的攻擊破壞。轉(zhuǎn)到終端提示符并輸入 sudo rkhunter --check。

如果 rkhunter 正確運(yùn)行，您會看到一個在旁邊包含詞匯 OK 或 Warning 的目錄列表。啟動后，rkhunter 會執(zhí)行多種類型的掃描。一次掃描完成后，按下 Enter 鍵開始下一次掃描。掃描類型包括：

•  目錄
•  桌面上的攻擊破壞
•  常用于后門訪問的端口
•  啟動文件、組和帳戶、系統(tǒng)配置文件和文件系統(tǒng)
•  應(yīng)用程序

所有掃描都完成后，rkhunter 將為您提供一份報告，并使用結(jié)果創(chuàng)建一個日志文件。

和 ClamAV 一樣，您需要定期更新 rkhunter，以便它可以檢測最新的漏洞和攻擊破壞：

 1.從終端輸入 sudo rkhunter --update。

 2.在系統(tǒng)提示您時輸入您的密碼。

使用 Tiger 掃描您的系統(tǒng)

在安全性方面，建立基準(zhǔn)是您可做的最重要的事情之一。從這里，您可以確定是否有任何內(nèi)容被篡改，因為篡改會修改基準(zhǔn)內(nèi)容。如果安裝一個 Office 辦公套件，您也會修改基準(zhǔn)，但您已經(jīng)能批準(zhǔn)進(jìn)行此添加。如果在您的機(jī)器上安裝了一個惡意軟件，對基準(zhǔn)的檢查也會發(fā)現(xiàn)這個惡意軟件。

大多數(shù)人都不了解如何手動創(chuàng)建其計算機(jī)配置的基準(zhǔn)。但是，一個名為 Tiger 的程序會審核計算機(jī)系統(tǒng)，查看是否修改了任何內(nèi)容。如果內(nèi)容被修改，該軟件會提供一個錯誤代碼。

要將 Tiger 安裝在 Ubuntu 桌面上，請先打開終端。從這里運(yùn)行以下命令：

sudo aptitude -y install tiger 

該命令將 Tiger 軟件放在您的機(jī)器上?，F(xiàn)在，您需要運(yùn)行它。

在終端仍處于打開狀態(tài)的情況下，運(yùn)行 sudo tiger 來創(chuàng)建一個安全問題報告，將該報告保存到 /var/log/tiger 中。該文件的名稱常常包含計算機(jī)的主機(jī)名，后跟日期和時間，例如 security.report.hostname.121220-8:46。該文件的名稱會在報告完成時提供給您。

要查看報告，可運(yùn)行 sudo gedit 并包含 /var/log/tiger 和文件名。使用此示例，該命令為：

sudo gedit /var/log/tiger/security.report.hostname.121220-8:46 

該報告隨后會提供它找到的問題的錯誤代碼。您可以在線查找每個錯誤代碼的含義。

使用防火墻

您應(yīng)采取的下一個預(yù)防性步驟是使用內(nèi)置于操作系統(tǒng)中的防火墻。在默認(rèn)情況下，Ubuntu 會在每個發(fā)行版上運(yùn)行 iptables 作為防火墻。在安裝防火墻之后，該防火墻的默認(rèn)設(shè)置會允許所有傳入和傳出的流量。要有效地使用防火墻，您需要創(chuàng)建規(guī)則來鎖定桌面。

您可以通過終端配置 iptables 來編寫防火墻規(guī)則，也可以使用一個稱為 Gufw 的 GUI，基于 Ubuntu 隨帶的 Uncomplicated Firewall (UFW) 程序來編寫防火墻規(guī)則。

打開終端并運(yùn)行以下命令來安裝 Gufw：

sudo apt-get install gufw 

完成安裝后，您可以從 System > Administration > Firewall 訪問它。打開并啟用 Gufw，默認(rèn)情況下它處于禁用狀態(tài)。在標(biāo)題 Actual Status 下，單擊 Enabled 復(fù)選框來打開它。這么做會將所有傳入流量都設(shè)置為 Deny。然后單擊 Add，依據(jù)您想要 UFW 如何處理某些類型的流量，基于 4 個可用選項來創(chuàng)建規(guī)則：

 •Allow。系統(tǒng)允許從一個端口進(jìn)入的流量。

 •Deny。系統(tǒng)拒絕進(jìn)入一個端口的流量。

 •Reject。系統(tǒng)拒絕進(jìn)入一個端口的流量，并傳達(dá)其流量被拒絕的連接系統(tǒng)的請求。

 •Limit。如果某個 IP 地址嘗試在過去 30 秒內(nèi)發(fā)起 6 個或更多的連接，系統(tǒng)會拒絕這些連接。

單擊 Add 時，會出現(xiàn)一個包含 3 個選項卡的窗口：Preconfigured、Simple 和 Advanced。Preconfigured 選項卡是創(chuàng)建規(guī)則的最輕松方式，因為您可以從一個下拉列表中選擇您希望允許或拒絕的流量

使用 Simple 選項卡，您可以告訴 UFW 您希望允許還是拒絕某些流量，然后選擇協(xié)議/服務(wù)和端口號。

您可以使用 Advanced 選項卡進(jìn)一步調(diào)優(yōu)規(guī)則。

備份和還原桌面文件

保護(hù) GNU/Linux 桌面的另一個步驟涉及到建立一個備份和恢復(fù)流程。

在過去，您需要在大多數(shù) Linux 發(fā)行版中安裝備份和恢復(fù)軟件。但是，擁有一個合理的災(zāi)難恢復(fù)解決方案的需求已促使許多發(fā)行版在安裝中包含備份和恢復(fù)軟件。Ubuntu 依賴于 Duplicity，該程序使用了 rsync。為了讓事情變得更簡單，Ubuntu 隨帶了 Deja Dup，這是 Duplicity 的圖形前端。

要開始使用 Deja Dup，可單擊齒輪圖標(biāo)中的 System Settings。在 System Settings 窗口中，單擊 Backup。

在打開自動備份之前，單擊 Storage 設(shè)置備份位置。您可以使用 Ubuntu One（一個云存儲選項），通過 FTP 將您的備份發(fā)送到另一個服務(wù)器，保存到本地文件夾，或者設(shè)置一個自定義位置。確定備份文件的最佳位置后，單擊 Folders 選擇想要備份的內(nèi)容。這里有兩個選項：Folders to back up 和 Folders to ignore?？蓮拿恳粰谔砑踊騽h除任何文件夾。

現(xiàn)在，單擊 Schedule，告訴 Deja Dup 運(yùn)行備份的頻率和它們的保留時間。您可以選擇每日、每周、雙周或每月備份一次，這些備份可存儲至少一周到至少一年，甚至是永久存儲。

現(xiàn)在，返回到 Overview 并將 Automatic backups 滑動到 On。這就是該軟件的全部操作。如果需要還原文件，可單擊 Restore，Deja Dup 會詢問您希望從何處、哪個日期還原，以及您希望將文件還原到哪個位置。通過時常還原文件來確保您的備份正常工作，這是一個不錯的想法。

安裝更新

許多對計算機(jī)的攻擊，都是在惡意的攻擊者在操作系統(tǒng)軟件或另一個軟件中找到漏洞時發(fā)起的。安全專家會查找這些漏洞，創(chuàng)建軟件補(bǔ)丁和更新來修補(bǔ)它們。

請保持您的軟件最新。大部分操作系統(tǒng)都有一個內(nèi)置的功能來通知您更新何時可用，許多 GNU/Linux 發(fā)行版都包含這種類型的功能。單擊桌面菜單欄上的齒輪圖標(biāo)，然后單擊 Software Up to Date 啟動 Update Manager。Update Manager 通常會在更新可用時自行打開。

在 Update Manager 窗口中，您可以單擊 Install Updates。您也可以單擊 Settings 來選擇更新頻率和想要更新的軟件。只要 Important security updates 復(fù)選框已被選中并且 When there are security updates 選項被設(shè)置為 Download and install automatically，默認(rèn)選項就應(yīng)該足夠用了。

通過密碼保護(hù)引導(dǎo)加載程序

使用 GNU/Linux 時，您可以引導(dǎo)計算機(jī)來更改 root 密碼，無需輸入一個密碼。這種方法被稱為單用戶模式。要通過密碼保護(hù)此功能，您有兩個引導(dǎo)加載程序選項：GRUB 和 LILO。如果使用 GRUB，那么您可以加密密碼，讓信息更加安全。LILO 的用戶沒有此選項。如果使用 GRUB，那么請執(zhí)行以下步驟：

•  1.啟動終端。
•  2.在提示符下輸入 grub。
•  3.為了確保不會將要創(chuàng)建的密碼存儲為明文，可輸入 md5crypt。
•  4.在提示符下，輸入您想用于單用戶模式的密碼。然后您會獲得一個加密的密碼版本。不要關(guān)閉這個終端窗口 — 后續(xù)步驟中需要使用這個加密的密碼。

現(xiàn)在，您需要編輯 GRUB 配置文件。當(dāng)然，首先要備份它：

 1.輸入以下命令：

sudo cp /boot/grub/menu.lst /boot/grub/menu.lst-backup 

2.在系統(tǒng)提示您時輸入您的密碼。

 3.輸入以下命令：

gedit /boot/grub/menu.lst 

這會調(diào)出 GRUB 配置文件。

4.找到文件中顯示為 password --md5 的一行，將現(xiàn)有的密碼替換為您之前創(chuàng)建的加密密碼。

清單 1 顯示了在密碼更改時 GRUB 配置文件應(yīng)該是什么樣的：

密碼更改后的 GRUB 配置文件

# Set a timeout, in SEC seconds before  
automatically booting the default entry # (normally the first entry  
defined). timeout 3 ## hiddenmenu # Hides the menu by default (press ESC  
to see the menu) hiddenmenu # Pretty colours #color cyan/blue while/blue  
## password ['--md5'] passwd # If used in the first section of the menu  
file, disable all interactive editing # control (menu entry editor and  
command-line) and entries protected by the # command 'lock' # e.g.  
password topsecret # password --md5 $1$jLhUO/$aW78kHK1QfV3P2b2znUoe/ #  
password topsecret # # examples # # title Windows 95/98/NT/2000 

不同于 GRUB，LILO 不允許使用加密的密碼。如果使用 LILO 引導(dǎo)加載程序，那么可以執(zhí)行以下步驟：

•  1.啟動終端。
•  2.在提示符下輸入 edit cat /etc/lilo.conf。
•  3.編輯器打開時，搜索密碼部分并在其中創(chuàng)建新密碼。

結(jié)束語

本文介紹了一些可幫助您加強(qiáng) GNU/Linux 桌面的安全的工具。即使您安裝了所有可用的工具來保護(hù)計算機(jī)和其中存儲的數(shù)據(jù)，也應(yīng)該掌握這些工具的使用。

請設(shè)定一個時間表來檢查 ClamAV 和 rkhunter 的更新。每周和在安裝新軟件時運(yùn)行這些實用程序。為您的數(shù)據(jù)設(shè)置一個備份時間表，并關(guān)注計算機(jī)安全領(lǐng)域的最新趨勢（這一點最為重要）。新的漏洞不斷被發(fā)現(xiàn)。您需要與時俱進(jìn)，采取適當(dāng)?shù)牟僮鱽肀３钟嬎銠C(jī)的安全。

 原文鏈接：http://www.linuxidc.com/Linux/2014-08/105601.htm