Linux中国 Linux中国门户站!
设为主页 设为主页
收藏本站 收藏本站
 
当前位置 :首页 ->Linux技术 ->Linux安全 ->正文

Linux 更安全(二)

来源:IBM DW中国 作者:Mario Eberlein  时间:2007-04-22 点击: [收藏] [投稿]
通常,防火墙会根据定义的规则集合制止网络通信。所以,它的基本任务是通过阻塞不必要的传输来避免网络入侵。网络防火墙工作于 TCP/IP 栈层次之上,决定数据包是否可以通过(取决于规则集合)。
  • 入侵检测: 入侵检测系统(intrusion detection system,IDS)的主要任务是,通过识别到来的 shellcode、病毒、恶意软件(malware)或者特洛伊木马等安全缺口,检测进入网络或者计算机的攻击或入侵。
  • 审计: 审计指的是通过建立数据处于其期望状态的基线来检测敏感数据或配置文件的改变。当发生意外改变时,对基线的改变会被报告,使得管理员可以快速反应并进行恢复。

    • 常见工具的安全代替者

    任务/使用情形 老的不安全的应用程序 推荐的安全代替者
    远程访问命令行
    • telnet
    • rsh(远程 shell)
    • ssh(安全 Shell)
    图形方式访问远程系统
    • X Window
    • VNC
    • 基于 ssh 的 X Window
    • 基于 ssh 的 VNC
    • rdesktop
    文件传输
    • ftp
    • rcp(远程拷贝)
    • sftp
    • scp(安全拷贝)
    镜像/备份
    • rsync
    • 基于 ssh 的隧道 rsync

    使用安全的工具程序版本

    当前仍然有很多早期 Internet 应用程序存在,并且在使用中。开发它们时,安全还不是个大问题,因为那时 Internet 参与者很少。近些年,随着因特网的发展和迅速成长,安全性的缺乏使得那些应用程序不适于当前的应用。这就是开发它们的代替者的原因,这些代替者可以以安全的方式执行相同的任务 —— 现在的任务还是像在早期时一样重要。在这里,“安全的方式”的基本意思是:

    • 对传输的数据(包括用户凭证和其他用户相关数据)加密,防止第三方可以理解传输的信息。
    • 使用用户名和密码或者数字签名等凭证来识别用户和系统。

    尽管这些代替者通常被称为“安全的标准的应用程序”,但是它们并不是绝对不会受攻击。这表示,虽然您经过深入考虑使用了安全的版本而不是不安全的版本,您仍需要建立另外的观念和步骤来保护您的系统。侧栏 常见工具的安全代替者 中列出了适用于所选常见任务的应用程序。这个列表不是(也不可能是)完全的,所以,即使是要完成那些没有在侧栏中列出的任务,您也应该始终考虑使用安全的应用程序。

    分区

    选择的应用程序以及安装所使用的源代码并不是安全性的惟一因素。要减少那种试图填满可用磁盘空间的 DoS 攻击带来的影响,请确保您至少为下面这些目录计划专门的分区:

    • /home: 使用户数据与系统无关。当您执行备份和恢复操作、升级或切换操作系统、或者在系统中迁移用户时,这非常有用。
    • /var: 保存服务器的日志和运行时数据。通过将其安放于一个单独的文件系统,如果您成为某个 DoS 攻击的目标,则数据不会填满您全部的空闲空间。
    • /tmp: 类似于 /var,这个目录对用户进程来说是可写的,使得它成为 DoS 攻击的一个目标。比使用单独的文件系统更好的办法是使用 tmpfs,它加速了文件的访问速度,并在重新引导时自动清空文件系统的内容。
    • /boot: 容纳有 Linux 内核、初始驱动程序以及引导加载器数据。不必为了引导过程而挂载这个分区,因为引导加载器将内核加载为一系列扇区,以从硬盘读取数据。如果在正常的操作中没有挂载它,那么您就不会意外地覆盖这些文件。

    获取发行版本

    可以通过很多不同的途径获得 Linux 发行版本:热缩塑料包包装的 CD/DVD 发行版本、从其他人那里拷贝、下载,等等。如果系统在安装的时候就已经被破坏,那么它根本是没有价值的,因此您必须确保基于“干净”的来源进行安装 —— 确认代码没有后门。实际上,这一负担转嫁给了那些编制包含安装文件的 CD/DVD 组的发行者。虽然您可以信任发行者,不过,根据发行者公布的校验和来校验安装媒体的校验和以确定媒体是正品,仍不失为一个良好的习惯做法。

    怎么样校验安装媒体

    要校验 MD5 校验和,您可以使用

    $ md5sum /path/to/iso/image.iso

    $ md5sum /dev/cdrom

    来分别校验 ISO 映象或者 CD。计算出的校验和必须与发行者公开的相匹配。如果您通过 Web 得到发布的校验和,那么要确保使用 https,并查看连接中使用的凭证,以确保校验和的发布者是真实的。

    不推荐通过网络或者因特网进行安装 —— 尽管技术上可行。一个站点可能(比如,通过欺骗)将自己伪装为一个可信任的安装源,并提供加入了后门的修改过的软件程序包,使得在安装后入侵者可以不费力地接管系统。当然,可**以通过内部网络服务器进行安装,例如当来源已知而且合法时。

     如果您对本文有任何疑问或者建议,请到讨论区发表您的意见: >> 论坛入口 <<

    上一页 1 2 34 下一页


    上一篇:让Linux 更安全(一)   下一篇:让 Linux 更安全(三)

    文章评论】 【收藏本文】 【推荐好友】 【打印本文】 【我要投稿】 【论坛讨论
    更多相关文章
    ·IP安全加密 IPSec安全技术全面接触
    ·黑客高级技巧 Linux后门技术及实践
    ·LINUX2.4.x网络安全框架
    ·分级防御对Linux服务器的攻击
    ·基于Linux开发的FireboxⅡFastVPN
    ·十项Linux安全管理技巧经验总结
    ·高级Linux安全管理技巧
    ·发现Linux压缩格式漏洞 达第二最危险级别
    ·Unix和Linux下的Acrobat Reader 5受攻击
    ·Linux操作系统下防垃圾邮件基本功
    推荐文章
    ·让 Linux 更安全(三)
    ·双赢协议:微软为何把不会攻击Linux
    ·使用 /proc 文件系统来控制系统
    ·用Linux系统作为Windows系统的安全
    ·构建安全可靠的Linux服务平台(下)
    ·黑客技术:分类防范对Linux的DoS攻
    ·使用Linux防火墙伪装来抵住黑客攻击
    ·操作系统安全防护之Linux系统篇
    精彩文章
    ·观点荟萃:Windows与Linux谁更安全
    ·Linux操作系统的安全初步设置简介
    ·Linux安全隐患及怎么样加强其安全管
    ·重新思考安全含义—让Linux系统更安
    ·Linux下基于路由策略的IP地址控制实
    ·基于Linux开发的FireboxⅡFastVPN
    ·怎么样检测和重启Apache和Lighttpd
    ·浅谈Linux操作系统的优化及安全问题
    ·软盘版Linux防火墙的制作方法介绍
    ·让Linux操作系统在企业管理中更安全
    ·没有病毒的乐土 Linux下病毒防范技
    ·Linux系统中内部和外部安全性概述
    ·构建安全可靠的Linux服务平台(下)
    ·优化Linux 系统服务来提高引导速度
    · Linux 更安全(二)
    ·配置和维护Apache WEB Server 安全
    ·搭建Linux下的Squid代理服务器(图
    ·关注安全:——怎么样加固Linux服务
    ·一次DOS事件的解决办法
    ·构建安全可靠的Linux服务平台(上)
    ·Linux系统中的虚拟机可能会削弱安全
    ·Linux提升以太网适配器 怎一个安全
    ·Z shell 简介
    ·使用 Perl 自动化 UNIX 系统管理
    ·谈谈针对Linux的病毒起源发展及分类
    ·怎么样选择虚拟存储方式
    Power by linux-cn.com 粤ICP备05006655号