所謂“棒打出頭鳥”一點(diǎn)都不錯(cuò)。當(dāng)我們還在努力學(xué)習(xí)什么是Linux時(shí),絕然不會(huì)想到如今的Linux系統(tǒng)也成為了黑客口口聲聲要攻破的熱門話題。相比Windows系統(tǒng)而言,Linux系統(tǒng)穩(wěn)定、成本低廉,最重要的是它相對安全。于是,Linux忽如一夜春風(fēng)來,為形形色色各種人群所用,花開千萬樹。當(dāng)然隨之而來的也不僅僅是開源軟件的大肆發(fā)展,還有越來越多的安全問題。
作為極受歡迎的開源軟件,每當(dāng)Linux出現(xiàn)安全漏洞時(shí)總是會(huì)有很多人主動(dòng)將其修復(fù),不過隨著問題的逐漸增多,及時(shí)地修補(bǔ)已很難實(shí)現(xiàn)。不過,一般認(rèn)為,計(jì)算機(jī)網(wǎng)絡(luò)威脅主要來源于計(jì)算機(jī)病毒和黑客攻擊兩個(gè)方面,那么就讓我們也從這兩方面入手,更加有目的性地進(jìn)行Linux系統(tǒng)的安全防護(hù)工作。
拒絕來自病毒的威脅
病毒是任何系統(tǒng)都會(huì)首先遭遇的安全威脅。盡管我們熟知的很多Linux病毒并不會(huì)真正破壞Linux系統(tǒng),但是它會(huì)感染到與之相鄰的Windows系統(tǒng),同樣可以造成系統(tǒng)無法正常工作。
目前Linux下的防病毒軟件主要分為基于開放源代碼的防病毒軟件和商業(yè)防毒軟件兩大部分,前者有德國SEBASTIAN、H+BEDV AntiVir/X公司的Anti Vir Linux,后者包括GeCAD Software 的RAV Anti Virus Desktop For Linux v8等。
在上述的防病毒軟件中,最常用的產(chǎn)品是AntiVir Linux。軟件本身是基于命令行的工具,因此在一些高級參數(shù)配置上需要管理員較高的水平。在桌面級產(chǎn)品中,RAV Anti Virus Desktop For Linux v8是頗受用戶青睞的產(chǎn)品。
怎樣抵御黑客攻擊
安裝系統(tǒng)時(shí)的分區(qū)
在各種常見的攻擊中,以緩沖區(qū)溢出為典型的安全漏洞攻擊數(shù)量最高。這種攻擊使得任何一個(gè)網(wǎng)絡(luò)用戶可能獲得主機(jī)的控制權(quán)。所以我們在安裝系統(tǒng)時(shí)就要注意分區(qū)的問題。
如果用root分區(qū)紀(jì)錄數(shù)據(jù),如log文件和電郵,可能因?yàn)榫芙^服務(wù)產(chǎn)生大量日志或垃圾郵件導(dǎo)致系統(tǒng)崩潰。所以建議為/var開辟單獨(dú)的分區(qū),用來存放日志和郵件,以避免root分區(qū)被溢出。最好為特殊的應(yīng)用程序單獨(dú)開一個(gè)分區(qū),特別是可以產(chǎn)生大量日志的程序。另外建議為/home單獨(dú)分一個(gè)區(qū),這樣它們就無法填滿/分區(qū),從而避免了部分針對Linux分區(qū)溢出的惡意攻擊。
BIOS的設(shè)置
在BIOS設(shè)置中設(shè)定密碼,不接受軟盤啟動(dòng)系統(tǒng)。此舉可阻止那些試圖用專門的啟動(dòng)盤來進(jìn)入系統(tǒng)的黑客。
用戶口令
這是一個(gè)老生常談的話題。無論什么系統(tǒng),用戶口令都是最基本的安全起點(diǎn)。雖然從理論上說,只要有足夠的時(shí)間和資源可以利用,就沒有不能破解的口令,但是一串奇特的字符也許就能幫你抵御外部威脅,何樂而不為?
默認(rèn)帳號、服務(wù)
在第一次安裝Linux系統(tǒng)時(shí)我們就應(yīng)該刪除那些用不到的帳戶。你暴露的信息越多,受到的傷害就越大。
Linux是一個(gè)強(qiáng)大的系統(tǒng),它給用戶提供了很多服務(wù),但并不是每一個(gè)服務(wù)都是你的所需。這個(gè)文件就是/etc/inetd.conf,它制定了/usr/sbin/inetd將要監(jiān)聽的服務(wù),你可能只需要其中的兩個(gè):telnet和ftp,其它的類如shell、login、exec、talk等等,除非你真的有必要,否則統(tǒng)統(tǒng)關(guān)閉。
來自外界的Ping請求
網(wǎng)管可以加上
|
這樣一個(gè)命令行到,
|
當(dāng)系統(tǒng)每次啟動(dòng)后,它會(huì)自動(dòng)幫你阻止來自外界的Ping請求。
加強(qiáng)日志管理
按理說,默認(rèn)的Linux日志管理已經(jīng)非常完善,但是在所有的行為記錄中,卻不包括ftp連接記錄。網(wǎng)管們可以通過修改/etc/ftpaccess 或者/etc/inetd.conf,來保證每一個(gè)ftp連接日志都能夠紀(jì)錄下來。詳細(xì)掌握系統(tǒng)的每一個(gè)行為,有助于網(wǎng)管抵御任何一個(gè)可能的攻擊。
Telnet服務(wù)
用戶可利用Telnet遠(yuǎn)程登陸Linux,不過在登陸的同時(shí),操作系統(tǒng)和版本信息容易暴露,這時(shí)候可以修改Telnet命令行使Telnet命令行不顯示系統(tǒng)信息,以避免有針對性的攻擊。
對于網(wǎng)管來說,保護(hù)系統(tǒng)安全還有一個(gè)最簡單有效的方法,那就是到系統(tǒng)發(fā)行商那里下載最新的安全補(bǔ)丁(只是,這些補(bǔ)丁的發(fā)現(xiàn)也極有可能是黑客的功勞,也許是他們發(fā)現(xiàn)了系統(tǒng)漏洞所在)。
建立良好的安全意識(shí),從最簡單的安全設(shè)置開始,合理利用安全工具,對于Linux管理員來說,這一切看似簡單。但是保護(hù)Linux,正是要從簡單開始。
