Linux比Windows更安全
但和网络连接
任何计算机是不可能绝对安全正如我们需要经常注意院子围墙是否坚固
样对操作系统也需要我们经常维护和强化在此我们仅谈论几个用户可以用来强化系统大体步骤 本文重点谈
是如何强化问题不过在开始强化的前用户需要对以下 3个问题有个清醒认识个问题是这个系统用于什么目 2是它需要运行哪些软件Software 3是用户需要防护哪些漏洞或威胁这 3个问题依次为因果关系即前个问题是后个问题原因后个问题是前个结果 从零开始
从
个已知安全状态开始强化个系统是完全可能但在实际上这种强化也可以从个“裸体”系统开始这意味着用户将拥有对系统盘重新分区机会将所有数据文件和操作系统文件分离开来未尝不是个谨慎安全措施 下
步是配置个最小安装当然得让系统启动然后添加必要能够完成工作
包这步很关键为什么需要最少化安装呢?原因在于机器中代码越少可被利用漏洞就会越少:谁也无法利用并不存在漏洞是不是?你还需要给操作系统打补丁并且还得给运行在这个系统上所有应用打补丁 不过
要注意如果有人能够从物理上接近所访问机器他就有可能从光盘或其它媒体启动计算机并获取系统访问权因此用户最好配置下系统BIOS限制仅能从硬盘启动并且要用个强健口令来保护这种设置 下
步是编译下自己系统内核这里还是要强调仅包含那些你需要部分旦你自己定制系统构建完毕重新启动进入内核那你所拥有内核被攻击可能性将极大地减少但强化系统思路方法不限于此好戏还在后头 减少服务
运行了经过瘦身
系统的后下步就是要确保仅运行你需要服务到现在为止用户已经清除了许多服务但还有可能有许多服务仍在后台运行用户需要在多个地方找到这些服务如/etc/init.d 和 /etc/rc.d/rc.local等包含多种启动进程位置要检查由cron所启动切东西用户还可以用netstat或Nmap等检查监听套接字比如许多用户需要禁用服务可能包括网络文件系统(samba)、远程访问服务等 当然不能
概而论如果你确实需要某些服务就要设法限制它对系统其余部分潜在破坏性作用要尽可能让其在自己chroot路径中运行使其和文件系统其余部分相分离 重视许可问题
作为用户或管理人员
必须要保证任何用户都不能执行其不必要或打开不必要文件管理员应当审计整个系统并将每个文件许可减少到最小可行程度我们目标是任何人都不能读取或写入和其无关文件此外还应当对所有敏感数据加密 进
步讲管理员要保证拥有个安全root口令而且知道此口令人越少越好只有这样才能保障任何人都无法访问他们不应当访问账户还要保障用户登录信息最新要坚持口令到期时间等策略问题此外清除预先提供账户也是很聪明做法或者至少要改变默认口令 需要强调
是安全是个过程而非个临时性活儿这就意味着管理人员应当监视并进步强化系统特别是需要监视系统日志要以尽可能快速度为系统打补丁还要关注安全咨讯在获知最新漏洞后能尽快地应对的所以本文并不能全面解决Linux安全而是向用户展示强化系统些可能性 如果你是
个linux用户或管理者应当采取些步骤使其更安全但这有可能降低系统效率所以关键是找到个恰当平衡点
最新评论