Linux的安全初步設(shè)置

1、    不久前，我以極大的耐心下載了最新的內(nèi)核版本，那可是通過撥入連接完成的。在整個(gè)下載的過程中，我渴望有一天在家里就能使用高速的Internet連接。xDSL和線纜貓的到來使其成為可能，但這并不包括價(jià)格因素。 在我寫此文章的同時(shí)，在世界的某個(gè)地方，也許正有一個(gè)人在他家里的計(jì)算機(jī)上第一次安裝發(fā)布的Linux。一個(gè)新的Linux的管理員通過為其家人和朋友設(shè)置帳戶來使系統(tǒng)運(yùn)轉(zhuǎn)起來。也許在初次安裝完成后的不長(zhǎng)時(shí)間里，這個(gè)Linux系統(tǒng)就會(huì)以令人感激涕零的高速DSL接入Internet。 還是容易被攻擊 今天幾近所有可用的linux發(fā)布在安全方面存在漏洞，其中的

2、多數(shù)漏洞是很容易被攻入的，但不幸的是依慣例和習(xí)慣做法，他們是開放的。典型安裝的Linux首次啟動(dòng)時(shí)就提供了多種多樣的可被攻擊的服務(wù)，譬如SHELL,IMAP和POP3。這些服務(wù)經(jīng)常會(huì)被游手好閑的網(wǎng)民按其需要用來作為系統(tǒng)突破的切入點(diǎn)，這不僅是Linux的局限 - 久經(jīng)風(fēng)霜的商業(yè)UNIX也提供此類服務(wù)，而且也會(huì)被突破。 不用抱怨和指責(zé)，新系統(tǒng)的鎖定(堅(jiān)固系統(tǒng)的專業(yè)說法)是非常重要的。信不信由你，一個(gè)Linux系統(tǒng)的堅(jiān)固過程是不需要過多的系統(tǒng)安全專門知識(shí)。實(shí)際上，你可以在5分鐘之內(nèi)就可以將百分之九十的不可靠因素屏蔽掉。 開始吧 在開始堅(jiān)固系統(tǒng)前，要問清自己你的機(jī)器擔(dān)當(dāng)?shù)慕巧陀脕斫尤隝nternet

3、的舒適度。要仔細(xì)確定你要對(duì)整個(gè)世界范圍提供的服務(wù)，如果你還不能確定，最好什么也不要做。明確自己的安全策略是非常重要的。要決定你自己的系統(tǒng)上哪些使用是可接受的而哪些是不可接受的。 本文中范例機(jī)器的目標(biāo)是作為工作站用來收發(fā)mail，閱讀新聞，瀏覽網(wǎng)頁(yè)等等。 確立網(wǎng)絡(luò)服務(wù)安全 首先，以超級(jí)用戶(root)登入系統(tǒng)，用netstat命令(這是多數(shù)Linux系統(tǒng)標(biāo)配的網(wǎng)絡(luò)工具)查看一下當(dāng)前的網(wǎng)絡(luò)狀態(tài)，輸出的結(jié)果譬如是： rootpercy / # netstat -a Active Internet connections (servers and established) Proto Recv-Q S

4、end-Q Local Address Foreign Address    State tcp    0 0 *:imap2    *:*    LISTEN tcp    0 0 *:pop-3    *:*    LISTEN tcp    0 0 *:linuxconf&

5、#160;   *:*    LISTEN tcp    0 0 *:auth    *:*    LISTEN tcp    0 0 *:finger    *:*    LISTEN tcp    0 0 *:login  &

6、#160; *:*    LISTEN tcp    0 0 *:shell    *:*    LISTEN tcp    0 0 *:telnet    *:*    LISTEN tcp    0 0 *:ftp    *:

7、*    LISTEN tcp    0 0 *:6000    *:*    LISTEN udp    0 0 *:ntalk    *:*    udp    0 0 *:talk    *:*   &#

8、160;udp    0 0 *:xdmcp    *:*    raw    0 0 *:icmp    *:*    7    raw    0 0 *:tcp    *:*    7 如你所見到

9、的輸出結(jié)果，最初的安裝對(duì)一定數(shù)量的服務(wù)并未偵聽，而這些服務(wù)的大多數(shù)就是麻煩的制造者，在配置文件/etc/inetd.conf中就可以行使禁止。 用你喜歡的文本編輯器打開這個(gè)文件，注銷你不想提供的服務(wù)，這只需在包含服務(wù)內(nèi)容的行前面添加一個(gè)''#''，在本例中所有的服務(wù)都被注銷了，當(dāng)然，如果你決定要提供這些服務(wù)中的某幾個(gè)，那由你自己來決定。 現(xiàn)在，重新啟動(dòng) inetd 來使這些改變的內(nèi)容起作用，這根據(jù)系統(tǒng)的不同會(huì)有多種方法，一個(gè)例子是： killall -HUP inetd 依訣竅，重新用netstat檢查開放的socket并注意發(fā)生的變化。 接下來，查看還有哪些進(jìn)

10、程在運(yùn)行。通常會(huì)看到sendmail、lpd和snmd 在等待接入的請(qǐng)求。因此機(jī)器不對(duì)此類的任何請(qǐng)求提供服務(wù)，所以他們應(yīng)當(dāng)終止運(yùn)行。 通常，這些服務(wù)是由系統(tǒng)初始化腳本啟動(dòng)，腳本會(huì)因發(fā)布的不同而異，一般可以在/etc/init.d 或 /etc/rc.d中找到。如果你還不能確定，請(qǐng)參照你所用發(fā)布的文檔。目標(biāo)是在系統(tǒng)啟動(dòng)時(shí)禁止腳本啟動(dòng)這些服務(wù)。 如果你的Linux發(fā)布使用的是打包的系統(tǒng)，花點(diǎn)時(shí)間移掉你不需的服務(wù)。在此范例機(jī)器中，包括了sendmail和r字頭的服務(wù)進(jìn)程(rwho、rwall等)，lpd、ucd-snmp和apache。這是確保此類服務(wù)不會(huì)因意外而激活的最簡(jiǎn)捷的途徑。 X堅(jiān)固手段 近

11、來多數(shù)的發(fā)布都支持機(jī)器首次啟動(dòng)時(shí)就登陸進(jìn)入X窗口例如xdm進(jìn)行管理，不幸的是，這也是主要的攻擊點(diǎn)。默認(rèn)方式下，機(jī)器允許任何主機(jī)請(qǐng)求登陸窗口，即使此機(jī)器僅僅只有一個(gè)用戶直接從控制臺(tái)登陸，這種特性亦需屏蔽。 配置文件會(huì)賴于你所使用的登陸管理器而變化。本機(jī)選用xdm,故而/usr/X11R6/lib/X11/Xaccess文件需進(jìn)行修改，添加一個(gè)''#''符號(hào)來阻止啟動(dòng)此服務(wù)。我的Xaccess如下設(shè)置： #* #any host can get a login window #* #any indirect host can get a chooser 再次啟動(dòng)xd

12、m時(shí)此設(shè)置有效。 軟件升級(jí) 現(xiàn)在一些基本的堅(jiān)固措施已完成，需要時(shí)時(shí)注意發(fā)行商對(duì)發(fā)布的升級(jí)和增強(qiáng)。缺乏甚至沒有維護(hù)會(huì)是危及系統(tǒng)安全的一大因素。 對(duì)開放源代碼軟件的保障之一是其在不斷的發(fā)展中，有許多人花費(fèi)大量的時(shí)間在不停地尋找安全方面存在的缺陷。這直接導(dǎo)致了Linux發(fā)布不斷的維護(hù)過程，經(jīng)常會(huì)有升級(jí)程序、臭蟲補(bǔ)丁程序和安全方面的指導(dǎo)出現(xiàn)在網(wǎng)頁(yè)中。隔幾天或幾周就瀏覽一下發(fā)布商的網(wǎng)頁(yè)看是否有補(bǔ)丁或升級(jí)程序貼出來。 后續(xù)工作 現(xiàn)在，經(jīng)處理過的機(jī)器比其初次安裝后的安全性已提高了，但決不是對(duì)任何攻擊就牢不可破了，但已不存在明顯的可攻擊之處了。在此列出的方法就象給你的車子或房子加了鎖，一般水平的小偷就會(huì)被這類措施所動(dòng)搖，意識(shí)到這是落鎖的轉(zhuǎn)而尋找其他沒有加以保護(hù)的系統(tǒng)。 如果你認(rèn)定這些措施沒有提供足夠的安全性能，也許你還想通過Internet提供一些網(wǎng)絡(luò)服務(wù)，在進(jìn)行之前需要花費(fèi)一些時(shí)間尋找更高級(jí)的安全技術(shù)。 但不幸的是，許