教你十�提高Linux系�安全性的招�


Google
Linux不�在功能上、�格上或性能上都有很多��,然而,作��放式操作系�,它不可避免地存在一些安全�患。�於如何解��些�患,��用提供一�安全的操作平台,本文�告�你一些最基本、最常用,同�也是最有效的招�。
Linux是一��Unix的操作系�。�理�上�,Unix本身的����有什�重大的安全缺陷。多年�,�大多�在Unix操作系�上��的安全��主要存在於��程序中,所以大部分Unix�商都��有能力解��些��,提供安全的Unix操作系�。但Linux有些不同,因�它不�於某一家�商,�有�商宣��它提供安全保�,因此用�只有自己解�安全��。
Linux是一��放式系�,可以在��上找到�多�成的程序和工具,�既方便了用�,也方便了黑客,因�他�也能很容易地找到程序和工具��入Linux系�,或者�取Linux系�上的重要信息。不�,只要我�仔�地�定Linux的各�系�功能,�且加上必要的安全措施,就能�黑客���可乘。
一般��,�Linux系�的安全�定包括取消不必要的服�、限制�程存取、�藏重要�料、修�安全漏洞、�用安全工具以及�常性的安全�查等。本文教你十�提高Linux系�安全性的招�。�然招�不大,但招招奏效,你不妨一�。


第1招:取消不必要的服�
早期的Unix版本中,每一�不同的��服�都有一�服�程序在後台�行,後�的版本用�一的/etc/inetd服�器程序�此重任。Inetd是Internetdaemon的��,它同���多���端口,一旦接收到外界��的�接信息,就�行相�的TCP或UDP��服�。
由於受inetd的�一指�,因此Linux中的大部分TCP或UDP服�都是在/etc/inetd.conf文件中�定。所以取消不必要服�的第一步就是�查/etc/inetd.conf文件,在不要的服�前加上「#」�。
一般��,除了http、smtp、telnet和ftp之外,其他服�都��取消,�如��文件����tftp、���件存�及接收所用的imap/ipop����、�找和搜索�料用的gopher以及用於��同步的daytime和time等。
�有一些�告系���的服�,如finger、efinger、systat和netstat等,�然�系�查�和�找用�非常有用,但也�黑客提供了方便之�。例如,黑客可以利用finger服�查找用�的��、使用目�以及其他重要信息。因此,很多Linux系���些服�全部取消或部分取消,以增�系�的安全性。
Inetd除了利用/etc/inetd.conf�置系�服��之外,�利用/etc/services文件查找各�服�所使用的端口。因此,用�必�仔��查�文件中各端口的�定,以免有安全上的漏洞。
在Linux中有��不同的服�型�:一�是�在有需要�才�行的服�,如finger服�;另一�是一直在�行的永不停�的服�。��服�在系����就�始�行,因此不能靠修改inetd�停止其服�,而只能�修改/etc/rc.d/rc[n].d/文件或用Run�level�editor去修改它。提供文件服�的NFS服�器和提供NNTP新�服�的news都�於��服�,如果�有必要,最好取消�些服�。
第2招:限制系�的出入
在�入Linux系�之前,所有用�都需要登�,也就是�,用�需要�入用���和密�,只有它�通�系���之後,用�才能�入系�。
�其他Unix操作系�一�,Linux一般�密�加密之後,存放在/etc/passwd文件中。Linux系�上的所有用�都可以�到/etc/passwd文件,�然文件中保存的密�已���加密,但仍然不太安全。因�一般的用�可以利用�成的密�破�工具,以��法猜�出密�。比�安全的方法是�定影子文件/etc/shadow,只允�有特殊�限的用����文件。
在Linux系�中,如果要�用影子文件,必��所有的公用程序重新��,才能支持影子文件。��方法比�麻�,比��便的方法是�用插入式��模�(PAM)。很多Linux系�都�有Linux的工具程序PAM,它是一�身份���制,可以用���地改�身份��的方法和要求,而不要求重新��其他公用程序。�是因�PAM�用封�包的方式,�所有�身份��有�的��全部�藏在模��,因此它是�用影子�案的最佳�手。
此外,PAM�有很多安全功能:它可以���的DES加密方法改��其他功能更�的加密方法,以�保用�密�不��易地遭人破�;它可以�定每�用�使用���源的上限;它甚至可以�定用�的上���和地�。
Linux系�管理人�只需花��小�去安�和�定PAM,就能大大提高Linux系�的安全性,把很多攻�阻�在系�之外。
第3招:保持最新的系�核心
由於Linux流通渠道很多,而且�常有更新的程序和系��丁出�,因此,�了加�系�安全,一定要�常更新系��核。
Kernel是Linux操作系�的核心,它常��存,用於加�操作系�的其他部分,���操作系�的基本功能。由於Kernel控制�算�和��的各�功能,因此,它的安全性�整�系�安全至�重要。
早期的Kernel版本存在�多�所周知的安全漏洞,而且也不太�定,只有2.0.x以上的版本才比��定和安全,新版本的�行效率也有很大改�。在�定Kernel的功能�,只��必要的功能,千�不要所有功能照�全收,否��使Kernel�得很大,既�用系��源,也�黑客留下可乘之�。
在Internet上常常有最新的安全修�程序,Linux系�管理���消息�通,�常光�安全新��,查�新的修�程序。
第4招:�查登�密�
�定登�密�是一�非常重要的安全措施,如果用�的密��定不合�,就很容易被破�,尤其是�有超�用�使用�限的用�,如果�有良好的密�,��系�造成很大的安全漏洞。
在多用�系�中,如果�迫每�用���不易猜出的密�,�大大提高系�的安全性。但如果passwd程序�法�迫每�上�用�使用恰�的密�,要�保密�的安全度,就只能依靠密�破解程序了。
��上,密�破解程序是黑客工具箱中的一�工具,它�常用的密�或者是英文字典中所有可能用�作密�的字都用程序加密成密�字,然後�其�Linux系�的/etc/passwd密�文件或/etc/shadow影子文件相比�,如果��有吻合的密�,就可以求得明�了。
在��上可以找到很多密�破解程序,比�有名的程序是crack。用�可以自己先�行密�破解程序,找出容易被黑客破解的密�,先行改正�比被黑客破解要有利。
第5招:�定用���的安全等�
除密�之外,用���也有安全等�,�是因�在Linux上每���可以被�予不同的�限,因此在建立一�新用�ID�,系�管理���根�需要�予���不同的�限,�且��到不同的用��中。

在Linux系�上的tcpd中,可以�定允�上�和不允�上�人�的名�。其中,允�上�人�名�在/etc/hosts.allow中�置,不允�上�人�名�在/etc/hosts.deny中�置。�置完成之後,需要重新��inetd程序才�生效。此外,Linux�自�把允��入或不允��入的�果��到/rar/log/secure文件中,系�管理�可以�此查出可疑的�入��。
每���ID��有�人��。在企�中,如果��某�ID的����,管理��立即�系�中�除���。很多入侵事件都是借用了那些很久不用的��。
在用���之中,黑客最喜�具有root�限的��,��超�用�有�修改或�除各�系��置,可以在系�中�行�阻。因此,在�任何���予root�限之前,都必�仔�考�。
Linux系�中的/etc/securetty文件包含了一�能�以root��登�的�端�名�。例如,在RedHatLinux系�中,�文件的初始值�允�本地��控制台(rtys)以root�限登�,而不允��程用�以root�限登�。最好不要修改�文件,如果一定要��程登��root�限,最好是先以普通��登�,然後利用su命令升��超�用�。
第6招:消除黑客犯罪的�床
在Unix系�中,有一系列r字�的公用程序,它�是黑客用以入侵的武器,非常危�,因此��不要�root���放��些公用程序。由於�些公用程序都是用.rhosts文件或者hosts.equiv文件核准�入的,因此一定要�保root��不包括在�些文件之�。
由於r字�指令是黑客�的�床,因此很多安全工具都是���一安全漏洞而��的。例如,PAM工具就可以用��r字�公用程序的功力�掉,它在/etc/pam.d/rlogin文件中加上登�必�先核准的指令,使整�系�的用�都不能使用自己home目�下的.rhosts文件。
第7招:增�安全防�工具
SSH是安全套接�的��,它是可以安全地用�取代rlogin、rsh和rcp等公用程序的一套程序�。SSH�用公�密�技����上�台主�之�的通信信息加密,�且用其密�充�身份��的工具。
由於SSH���上的信息加密,因此它可以用�安全地登�到�程主�上,�且在�台主�之�安全地�送信息。��上,SSH不�可以保障Linux主�之�的安全通信,Windows用�也可以通�SSH安全地�接到Linux服�器上。
第8招:限制超�用�的�力
我�在前面提到,root是Linux保�的重�,由於它�力�限,因此最好不要�易�超�用�授�出去。但是,有些程序的安�和��工作必�要求有超�用�的�限,在��情�下,可以利用其他工具���用�有部分超�用�的�限。Sudo就是��的工具。
Sudo程序允�一般用������定後,以用�自己的密�再登�一次,取得超�用�的�限,但只能�行有限的��指令。例如,�用sudo後,可以�管理磁��份的管理人�每天按�登�到系�中,取得超�用��限去�行文��份工作,但��有特�去作其他只有超�用�才能作的工作。
Sudo不但限制了用�的�限,而且��每次使用sudo所�行的指令��下�,不管�指令的�行是成功�是失�。在大型企�中,有�候有�多人同�管理Linux系�的各�不同部分,每�管理人�都有用sudo授��某些用�超�用��限的能力,�sudo的日�中,可以追�到�做�裁匆�案���低�哪男┌糠�?
值得注意的是,sudo�不能限制所有的用�行�,尤其是�某些��的指令�有�置限定�,就有可能被黑客�用。例如,一般用��示文件�容的/etc/cat指令,如果有了超�用�的�限,黑客就可以用它修改或�除一些重要的文件。
第9招:追�黑客的��
�你仔��定了各��Linux相�的��,�且安�了必要的安全防�工具之後,Linux操作系�的安全性的�大�提高,但是��不能保�防止那些�高人�大的��黑客的入侵。
在平�,��管理人�要�常提高警惕,��注意各�可疑��,�且按��查各�系�日�文件,包括一般信息日�、���接日�、文件��日�以及用�登�日�等。在�查�些日��,要注意是否有不合常理的����。例如:
‧正常用�在半夜三更登�;
‧不正常的日���,比如日�只��了一半就切�了,或者整�日�文件被�除了;
‧用��陌生的�址�入系�;
‧因密���或用�����被��在外的日���,尤其是那些一再�����入失�,但�有一定模式的��法;
‧非法使用或不正�使用超�用��限su的指令;
‧重新��或重新��各�服�的��。
第10招:共同防�,�保安全
��算�安全的角度看,世界上�有��密不透�、百分之百安全的�算�系�,Linux系�也不例外。�用以上的安全守�,�然可以使Linux系�的安全性大大提高,使�手�羊型的黑客和��玩家不能�易�入,但�不一定能阻�那些身��技的武林高手,因此,企�用��需要借助防火�等其他安全工具,共同防�黑客入侵,才能�保系���一失。


本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/3134/showart_167318.html
免责声明:
1、本文系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
2、如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容