Linux設(shè)置 所有方面堅(jiān)固系統(tǒng)穩(wěn)定安全

如今許多中小用戶因業(yè)務(wù)發(fā)展， 不斷更新或升級(jí)網(wǎng)絡(luò)， 從而造成自身用戶環(huán)境差異較大， 整個(gè)網(wǎng)絡(luò)系統(tǒng)平臺(tái)參差不齊， 服務(wù)器端大多采用 Linux系統(tǒng)的， 而PC端使用Windows系統(tǒng)。 所以在企業(yè)應(yīng)用中往往是Linux/Unix和Windows操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡(luò)。 中小企業(yè)由于缺少經(jīng)驗(yàn)豐富的Linux網(wǎng)絡(luò)管理員和安全產(chǎn)品采購資金， 所以對(duì)于網(wǎng)絡(luò)安全經(jīng)常缺乏缺乏全面的考慮。 筆者將從服務(wù)器安全和網(wǎng)絡(luò)設(shè)備的安全等來解決企業(yè)的煩惱。

　　一、服務(wù)器安全：

　　1. 關(guān)閉無用的端口

　　任何網(wǎng)絡(luò)連接都是通過開放的應(yīng)用端口來實(shí)現(xiàn)的。 如果我們盡可能少地開放端口， 就使網(wǎng)絡(luò)攻擊變成無源之水， 從而大大減少了攻擊者成功的機(jī)會(huì)。

　　首先檢查你的inetd.conf文件。 inetd在某些端口上守侯， 準(zhǔn)備為你提供必要的服務(wù)。 如果某人開發(fā)出一個(gè)特殊的inetd守護(hù)程序， 這里 就存在一個(gè)安全隱患。 你應(yīng)當(dāng)在inetd.conf文件中注釋掉那些永不會(huì)用到的服務(wù)(如：echo、gopher、rsh、rlogin、rexec、 ntalk、finger等)。 注釋除非絕對(duì)需要， 你一定要注釋掉rsh、rlogin和rexec， 而telnet建議你使用更為安全的ssh來代替， 然后殺掉lnetd進(jìn)程。 這樣inetd不再監(jiān)控你機(jī)器上的守護(hù)程序， 從而杜絕有人利用它來竊取你的應(yīng)用端口。 你最好是下載一個(gè)端口掃描程序掃描你的系 統(tǒng)， 如果發(fā)現(xiàn)有你不知道的開放端口， 馬上找到正使用它的進(jìn)程， 從而判斷是否關(guān)閉它們。

　　2. 刪除不用的軟件包

　　在進(jìn)行系統(tǒng)規(guī)劃時(shí)， 總的原則是將不需要的服務(wù)一律去掉。 默認(rèn)的Linux就是一個(gè)強(qiáng)大的系統(tǒng)， 運(yùn)行了很多的服務(wù)。 但有許多服務(wù)是不需要的， 很容易引 起安全風(fēng)險(xiǎn)。 這個(gè)文件就是/etc/inetd.conf， 它制定了/usr/sbin/inetd將要監(jiān)聽的服務(wù)， 你可能只需要其中的兩個(gè)：telnet和ftp， 其它的類如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth 等， 除非你真的想用它， 否則統(tǒng)統(tǒng)關(guān)閉。

　　3. 不設(shè)置缺省路由

　　在主機(jī)中， 應(yīng)該嚴(yán)格禁止設(shè)置缺省路由， 即default route.建議為每一個(gè)子網(wǎng)或網(wǎng)段設(shè)置一個(gè)路由， 否則其它機(jī)器就可能通過一定方式訪問該主機(jī)。

　　4. 口令管理

　　口令的長(zhǎng)度一般不要少于8個(gè)字符， 口令的組成應(yīng)以無規(guī)則的大小寫字母、數(shù)字和符號(hào)相結(jié)合， 嚴(yán)格避免用英語單詞或詞組等設(shè)置口令， 而且各用戶的口令應(yīng) 該養(yǎng)成定期更換的習(xí)慣。 另外， 口令的保護(hù)還涉及到對(duì)/etc/passwd和/etc/shadow文件的保護(hù)， 必須做到只有系統(tǒng)管理員才能訪問這2個(gè)文 件。 安裝一個(gè)口令過濾工具加npasswd， 能幫你檢查你的口令是否耐得住攻擊。 如果你以前沒有安裝此類的工具， 建議你現(xiàn)在馬上安裝。 如果你是系統(tǒng)管理 員， 你的系統(tǒng)中又沒有安裝口令過濾工具， 請(qǐng)你馬上檢查所有用戶的口令是否能被窮盡搜索到， 即對(duì)你的/ect/passwd文件實(shí)施窮盡搜索攻擊。

　　5. 分區(qū)管理

　　一個(gè)潛在的攻擊， 它首先就會(huì)嘗試緩沖區(qū)溢出。 在過去的幾年中， 以緩沖區(qū)溢出為類型的安全漏洞是最為常見的一種形式了。 更為嚴(yán)重的是， 緩沖區(qū)溢出漏洞占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)， 這種攻擊可以輕易使得一個(gè)匿名的Internet用戶有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)!

　　為了防止此類攻擊， 我們從安裝系統(tǒng)時(shí)就應(yīng)該注意。 如果用root分區(qū)記錄數(shù)據(jù)， 如log文件， 就可能因?yàn)榫芙^服務(wù)產(chǎn)生大量日志或垃圾郵件， 從而導(dǎo)致系統(tǒng)崩潰。 所以建議為/var開辟單獨(dú)的分區(qū)， 用來存放日志和郵件， 以避免root分區(qū)被溢出。 最好為特殊的應(yīng)用程序單獨(dú)開一個(gè)分區(qū)， 特別是可以產(chǎn)生大量 日志的程序， 還建議為/home單獨(dú)分一個(gè)區(qū)， 這樣他們就不能填滿/分區(qū)了， 從而就避免了部分針對(duì)Linux分區(qū)溢出的惡意攻擊。

　　6. 防范網(wǎng)絡(luò)嗅探

　　嗅探器技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面， 它工作的時(shí)候就像一部被動(dòng)聲納， 默默的接收看來自網(wǎng)絡(luò)的各種信息， 通過對(duì)這些數(shù)據(jù)的分析， 網(wǎng)絡(luò)管理員可 以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況， 以便找出網(wǎng)絡(luò)中的漏洞。 在網(wǎng)絡(luò)安全日益被注意的今天。 我們不但要正確使用嗅探器。 還要合理防范嗅探器的危害。 嗅探器能夠造 成很大的安全危害， 主要是因?yàn)樗鼈儾蝗菀妆话l(fā)現(xiàn)。 對(duì)于一個(gè)安全性能要求很嚴(yán)格的企業(yè)， 同時(shí)使用安全的拓?fù)浣Y(jié)構(gòu)、會(huì)話加密、使用靜態(tài)的ARP地址是有必要 的。

　　7. 完整的日志管理

　　日志文件時(shí)刻為你記錄著你的系統(tǒng)的運(yùn)行情況。 當(dāng)黑客光臨時(shí)， 也不能逃脫日志的法眼。 所以黑客往往在攻擊時(shí)修改日志文件， 來隱藏蹤跡。 因此我們要限制對(duì)/var/log文件的訪問， 禁止一般權(quán)限的用戶去查看日志文件。 另外， 我們還可以安裝一個(gè)icmp/tcp日志管理程序， 如iplogger， 來觀察那些可疑的多次的連接嘗試(加icmp flood3或一些類似的情況)。 還要小心一些來自不明主機(jī)的登錄。

　　完整的日志管理要包括網(wǎng)絡(luò)數(shù)據(jù)的正確性、有效性、合法性。 對(duì)日志文件的分析還可以預(yù)防入侵。 例如、某一個(gè)用戶幾小時(shí)內(nèi)的20次的注冊(cè)失敗記錄， 很可能是入侵者正在嘗試該用戶的口令。

　　8. 終止正進(jìn)行的攻擊

　　假如你在檢查日志文件時(shí)， 發(fā)現(xiàn)了一個(gè)用戶從你未知的主機(jī)登錄， 而且你確定此用戶在這臺(tái)主機(jī)上沒有賬號(hào)， 此時(shí)你可能正被攻擊。 首先你要馬上鎖住此賬號(hào)(在口令文件或shadow文件中， 此用戶的口令前加一個(gè)Ib或其他的字符)。 若攻擊者已經(jīng)連接到系統(tǒng)， 你應(yīng)馬上斷開主機(jī)與網(wǎng)絡(luò)的物理連接。 如有可能， 你 還要進(jìn)一步查看此用戶的歷史記錄， 查看其他用戶是否也被假冒， 攻擊音是否擁有根權(quán)限。 殺掉此用戶的所有進(jìn)程并把此主機(jī)的ip地址掩碼加到文件 hosts.deny中。

　　9. 使用安全工具軟件

　　隨著Linux病毒的出現(xiàn)， 現(xiàn)在已經(jīng)有一些Linux服務(wù)器防病毒軟件， 安裝Linux防病毒軟件已經(jīng)是非常迫切了。 Linux也已經(jīng)有一些工具可以保障服務(wù)器的安全， 如iplogger.

　　10. 使用保留IP地址

　　---- 維護(hù)網(wǎng)絡(luò)安全性最簡(jiǎn)單的方法是保證網(wǎng)絡(luò)中的主機(jī)不同外界接觸。 最基本的方法是與公共網(wǎng)絡(luò)隔離。 然而， 這種通過隔離達(dá)到的安全性策略在許多情況下是不能接受 的。 這時(shí)， 使用保留IP地址是一種簡(jiǎn)單可行的方法， 它可以讓用戶訪問Internet同時(shí)保證一定的安全性。 - RFC 1918規(guī)定了能夠用于本地 TCP/IP網(wǎng)絡(luò)使用的IP地址范圍， 這些IP地址不會(huì)在Internet上路由， 因此不必注冊(cè)這些地址。 通過在該范圍分配IP地址， 可以有效地將網(wǎng)絡(luò)流 量限制在本地網(wǎng)絡(luò)內(nèi)。 這是一種拒絕外部計(jì)算機(jī)訪問而允許內(nèi)部計(jì)算機(jī)互聯(lián)的快速有效的方法。

　　保留IP地址范圍：

　　—— 10.0.0.0 - 10.255.255.255

　　---- 172.16.0.0 - 172.31.255.255

　　—— 192.168.0.0 - 192.168.255.255

　　來自保留IP地址的網(wǎng)絡(luò)交通不會(huì)經(jīng)過Internet路由器， 因此被賦予保留IP地址的任何計(jì)算機(jī)不能從外部網(wǎng)絡(luò)訪問。 但是， 這種方法同時(shí)也不允許用戶訪問外部網(wǎng)絡(luò)。 IP偽裝可以解決這一問題。

　　11、選擇發(fā)行版本

　　對(duì)于服務(wù)器使用的Linux版本， 既不使用最新的發(fā)行版本， 也不選擇太老的版本。 應(yīng)當(dāng)使用比較成熟的版本：前一個(gè)產(chǎn)品的最后發(fā)行版本如Mandrake 8.2 Linux等。 畢竟對(duì)于服務(wù)器來說安全穩(wěn)定是第一的。

　　12、補(bǔ)丁問題

　　你應(yīng)該經(jīng)常到你所安裝的系統(tǒng)發(fā)行商的主頁上去找最新的補(bǔ)丁。

　　二、網(wǎng)絡(luò)設(shè)備的安全：

　　1. 交換機(jī)的安全

　　啟用VLAN技術(shù)：交換機(jī)的某個(gè)端口上定義VLAN ， 所有連接到這個(gè)特定端口的終端都是虛擬網(wǎng)絡(luò)的一部分， 并且整個(gè)網(wǎng)絡(luò)可以支持多個(gè)VLAN.VLAN通過建立網(wǎng)絡(luò)防火墻使不必要的數(shù)據(jù)流量減至最少， 隔離 各個(gè)VLAN間的傳輸和可能出現(xiàn)的問題， 使網(wǎng)絡(luò)吞吐量大大增加， 減少了網(wǎng)絡(luò)延遲。 在虛擬網(wǎng)絡(luò)環(huán)境中， 可以通過劃分不同的虛擬網(wǎng)絡(luò)來控制處于同一物理網(wǎng)段中 的用戶之間的通信。 這樣一來有效的實(shí)現(xiàn)了數(shù)據(jù)的保密工作， 而且配置起來并不麻煩， 網(wǎng)絡(luò)管理員可以邏輯上重新配置網(wǎng)絡(luò)， 迅速、簡(jiǎn)單、有效地平衡負(fù)載流量， 輕 松自如地增加、刪除和修改用戶， 而不必從物理上調(diào)整網(wǎng)絡(luò)配置。 2.路由器的安全

　　根據(jù)路由原理安全配置路由器路由器是整個(gè)網(wǎng)絡(luò)的核心和心臟， 保護(hù)路由器安全還需要網(wǎng)管員在配置和管理路由器過程中采取相應(yīng)的安全措施。

　　3. 堵住安全漏洞

　　限制系統(tǒng)物理訪問是確保路由器安全的最有效方法之一。 限制系統(tǒng)物理訪問的一種方法就是將控制臺(tái)和終端會(huì)話配置成在較短閑置時(shí)間后自動(dòng)退出系統(tǒng)。 避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重要。 一旦限制了路由器的物理訪問， 用戶一定要確保路由器的安全補(bǔ)丁是最新的。

　　4. 避免身份危機(jī)

　　入侵者常常利用弱口令或默認(rèn)口令進(jìn)行攻擊。 加長(zhǎng)口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。 另外， 一旦重要的IT員工辭職， 用戶應(yīng)該立即更換口令。 用戶應(yīng)該啟用路由器上的口令加密功能。

　　5. 禁用不必要服務(wù)

　　近來許多安全事件都凸顯了禁用不需要本地服務(wù)的重要性。 需要注意的是， 一個(gè)需要用戶考慮的因素是定時(shí)。 定時(shí)對(duì)有效操作網(wǎng)絡(luò)是必不可少的。 即使用戶確保了部署期間時(shí)間同步， 經(jīng)過一段時(shí)間后， 時(shí)鐘仍有可能逐漸失去同步。 用戶可以利用名為網(wǎng)絡(luò)時(shí)。