系列之一：开始的考虑
　　　　此文写给关注Linux安全的读者。假定读者管理基于Linux的网络，且此网络和internet相连。如有不足及错误之处，敬
　　　　请批评指正。

　　　　一：考虑安全性能的需求
　　　　请记住，维护计算机安全绝对不是一劳永逸的活计。它贯穿网络管理员工作的始终。
　　　　还有，你需要考虑，目前情况下究竟需要多高程度的安全性？因为往往安全性很高的系统会带来很多额外开销，这里面还
　　　　有经济的制约。
　　　　再者，没有系统是绝对安全的。如果管理员能让那些不怀好意的家伙费尽心机得到的价值远远小于他付出的代价，那么可
　　　　以说目的就达到了。
　　　　二：影响计算机安全的因素
　　　　影响安全的因素实际上很多。
　　　　例如：你的计算机是否和互联网相接？是当做工作站还是服务器？做服务器时开放了哪些服务？用户以怎样的方式使用这
　　　　些服务？……
　　　　请记住下面几条一般性的准则：
　　　　1：单独保护服务器，不要让用户接近。除非绝对必要，不要开放用户交互登录服务。
　　　　2：要假定用户会有意无意的破坏系统。
　　　　3：对敏感信息要注意加密防护。如：用户账号，密码，信用卡号码等等。
　　　　4：定期扫描检查开放的端口，安装的软件。对比一下，看看它们是否和以前相比有突然的变化。有些自动化的工具可以
　　　　做这些事情。
　　　　5：备份（简直是最佳手段　^!^）
　　　　要知道，用户往往不懂也不想懂在他摆弄计算机时，后面使用了什么技术。他只关心：自己的邮件是否可以正常收发？文
　　　　件是否可以正常打印？
　　　　往往这些家伙还喜欢在工作站上安装许多杂七杂八的东东。FTP软件，聊天，甚至一些黑客工具！
　　　　所以，如果可能，在你管理的局域网里面，也要限制工作站的使用。因为“堡垒最容易从内部攻破”。要是因为这个原因
　　　　造成服务器出问题，可够你懊恼的。
　　　　更进一步，下面所列的要求如果适合你，就做好。
　　　　1：给做工作站的计算机加上BIOS密码，并只告诉某些人。
　　　　2：限制计算机，让这些计算机只能从特殊的硬盘启动。
　　　　3：给LILO（Linux的启动器）加上密码。
　　　　4：使用防火墙。
　　　　5：禁止用户直接使用“root”登录。
　　　　6：给用户可以完成工作的最小权限。
　　　　……
　　　　Linux下的软件发展非常快，新版本的软件曾出不穷。但是小心，尽管一般来说新的软件会更好，修正了很多错误。　可以
　　　　经常检查网上的消息，看看是否有漏洞补丁出现。
　　　　要是没有新的漏洞被发现，你的系统运行一切正常，并没有不可忍受的麻烦。如果你非要试试新鲜的版本的话，我怀疑你
　　　　有毛病。^!^　不要做毫无意义的事情。
　　　　在升级软件时，请先测试，再付诸行动。


　　　　三：安装和启动安全
　　　　1：选择合适的安装方案。
　　　　适当的安装是得到稳定、安全的系统的第一步。
　　　　市场上有为数众多的Linux发行版本。随着技术的发展，Linux变得越来越好安装了。但这不意味着你可以随意选择而不
　　　　加以考虑。
　　　　许多Linux厂商都推出了面向不同场合的发行版。如TurboLinux服务器版本，XteamLinux服务器版本，RedHat　Linux
　　　　For　Oracle等等。可以想象，这些版本和普通的桌面版本相比，肯定经过了更多的测试、考验。在特定的场合更值得信
　　　　赖。
　　　　还有，系统下面有许多功能相似或相同的软件。考虑自己的需要，选择合适的产品。有时，还可以跑到网上去“取经”，
　　　　问问有经验的朋友，哪些版本合适，或者，完成同样的工作哪套软件包最为可靠。当然，漏洞多多的软件要小心使用。
　　　　四：系统物理保护和启动安全
　　　　1：想象一下，尽管你做的很好，软件运行平稳，一切正常，可是，一个该挨刀的家伙跑到机器面前，手按了一下电源
　　　　键……要不趁你不备，让机器重新从软盘启动……。
　　　　防备措施：
　　　　让这些人离机器远点，或者把机器锁住。要是有条件，单独为机器腾出个小房间。钥匙有两把，“头”一把，你一把。
　　　　2：BIOS的设置也是很重要的，特别是你没有很好的条件保护机器时。要知道，许多老版本的BIOS有后门，有通用的密
　　　　码。注意升级。
　　　　把BIOS设置成从C：或第一个硬盘驱动器启动。屏蔽掉平时不需要的设备，如软驱，串口、并口等等。
　　　　设置合适的BIOS密码，这里就不废话了。
　　　　3：LILO是最典型的Linux启动器。功能强大，非常灵活。但技术往往是双刃剑，这里潜在的安全问题也有不少。因为你
　　　　可以向核心传递参数。最典型的就是：single

【 顶部 】 【 关闭 】