系列之一：開始的考慮
　　　　此文寫給關注Linux安全的讀者。假定讀者管理基于Linux的網絡，且此網絡和internet相連。如有不足及錯誤之處，敬
　　　　請批評指正。

　　　　一：考慮安全性能的需求
　　　　請記住，維護計算機安全絕對不是一勞永逸的活計。它貫穿網絡管理員工作的始終。
　　　　還有，你需要考慮，目前情況下究竟需要多高程度的安全性？因為往往安全性很高的系統會帶來很多額外開銷，這里面還
　　　　有經濟的制約。
　　　　再者，沒有系統是絕對安全的。如果管理員能讓那些不懷好意的家伙費盡心機得到的價值遠遠小于他付出的代價，那么可
　　　　以說目的就達到了。
　　　　二：影響計算機安全的因素
　　　　影響安全的因素實際上很多。
　　　　例如：你的計算機是否和互聯網相接？是當做工作站還是服務器？做服務器時開放了哪些服務？用戶以怎樣的方式使用這
　　　　些服務？……
　　　　請記住下面幾條一般性的準則：
　　　　1：單獨保護服務器，不要讓用戶接近。除非絕對必要，不要開放用戶交互登錄服務。
　　　　2：要假定用戶會有意無意的破壞系統。
　　　　3：對敏感信息要注意加密防護。如：用戶賬號，密碼，信用卡號碼等等。
　　　　4：定期掃描檢查開放的端口，安裝的軟件。對比一下，看看它們是否和以前相比有突然的變化。有些自動化的工具可以
　　　　做這些事情。
　　　　5：備份（簡直是最佳手段　^!^）
　　　　要知道，用戶往往不懂也不想懂在他擺弄計算機時，后面使用了什么技術。他只關心：自己的郵件是否可以正常收發？文
　　　　件是否可以正常打印？
　　　　往往這些家伙還喜歡在工作站上安裝許多雜七雜八的東東。FTP軟件，聊天，甚至一些黑客工具！
　　　　所以，如果可能，在你管理的局域網里面，也要限制工作站的使用。因為“堡壘最容易從內部攻破”。要是因為這個原因
　　　　造成服務器出問題，可夠你懊惱的。
　　　　更進一步，下面所列的要求如果適合你，就做好。
　　　　1：給做工作站的計算機加上BIOS密碼，并只告訴某些人。
　　　　2：限制計算機，讓這些計算機只能從特殊的硬盤啟動。
　　　　3：給LILO（Linux的啟動器）加上密碼。
　　　　4：使用防火墻。
　　　　5：禁止用戶直接使用“root”登錄。
　　　　6：給用戶可以完成工作的最小權限。
　　　　……
　　　　Linux下的軟件發展非常快，新版本的軟件曾出不窮。但是小心，盡管一般來說新的軟件會更好，修正了很多錯誤。　可以
　　　　經常檢查網上的消息，看看是否有漏洞補丁出現。
　　　　要是沒有新的漏洞被發現，你的系統運行一切正常，并沒有不可忍受的麻煩。如果你非要試試新鮮的版本的話，我懷疑你
　　　　有毛病。^!^　不要做毫無意義的事情。
　　　　在升級軟件時，請先測試，再付諸行動。


　　　　三：安裝和啟動安全
　　　　1：選擇合適的安裝方案。
　　　　適當的安裝是得到穩定、安全的系統的第一步。
　　　　市場上有為數眾多的Linux發行版本。隨著技術的發展，Linux變得越來越好安裝了。但這不意味著你可以隨意選擇而不
　　　　加以考慮。
　　　　許多Linux廠商都推出了面向不同場合的發行版。如TurboLinux服務器版本，XteamLinux服務器版本，RedHat　Linux
　　　　For　Oracle等等。可以想象，這些版本和普通的桌面版本相比，肯定經過了更多的測試、考驗。在特定的場合更值得信
　　　　賴。
　　　　還有，系統下面有許多功能相似或相同的軟件。考慮自己的需要，選擇合適的產品。有時，還可以跑到網上去“取經”，
　　　　問問有經驗的朋友，哪些版本合適，或者，完成同樣的工作哪套軟件包最為可靠。當然，漏洞多多的軟件要小心使用。
　　　　四：系統物理保護和啟動安全
　　　　1：想象一下，盡管你做的很好，軟件運行平穩，一切正常，可是，一個該挨刀的家伙跑到機器面前，手按了一下電源
　　　　鍵……要不趁你不備，讓機器重新從軟盤啟動……。
　　　　防備措施：
　　　　讓這些人離機器遠點，或者把機器鎖住。要是有條件，單獨為機器騰出個小房間。鑰匙有兩把，“頭”一把，你一把。
　　　　2：BIOS的設置也是很重要的，特別是你沒有很好的條件保護機器時。要知道，許多老版本的BIOS有后門，有通用的密
　　　　碼。注意升級。
　　　　把BIOS設置成從C：或第一個硬盤驅動器啟動。屏蔽掉平時不需要的設備，如軟驅，串口、并口等等。
　　　　設置合適的BIOS密碼，這里就不廢話了。
　　　　3：LILO是最典型的Linux啟動器。功能強大，非常靈活。但技術往往是雙刃劍，這里潛在的安全問題也有不少。因為你
　　　　可以向核心傳遞參數。最典型的就是：single

【 頂部 】 【 關閉 】