Комплексное улучшение безопасности серверов Linux

Автор：Eve Cole Время обновления：2009-06-04 17:16:50

Как мы все знаем, Linux имеет больше преимуществ перед Windows с точки зрения безопасности. Однако независимо от того, какой дистрибутив Linux вы выберете, после завершения установки вам следует выполнить некоторые необходимые настройки, чтобы повысить его безопасность. Вот несколько шагов по усилению защиты сервера Linux. В настоящее время многие малые и средние пользователи постоянно обновляют или модернизируют свои сети в связи с развитием бизнеса, что приводит к большим различиям в их собственных пользовательских средах. Вся сетевая системная платформа является неравномерной. Большинство из них используют Linux и Unix на стороне сервера. Windows и Mac на стороне ПК. Поэтому в корпоративных приложениях операционные системы Linux, Unix и Windows часто сосуществуют, образуя гетерогенные сети.

1. Установите и настройте брандмауэр

Правильно настроенный межсетевой экран — это не только первая линия защиты системы, позволяющая эффективно реагировать на внешние атаки, но и самая важная линия защиты. Прежде чем новая система впервые подключится к Интернету, необходимо установить и настроить брандмауэр. Настройка брандмауэра на запрет получения всех пакетов данных, а затем на разрешение приема пакетов данных будет полезна для безопасности системы. Linux предоставляет нам отличный инструмент брандмауэра — netfilter/iptables (http://www.netfilter.org/). Он совершенно бесплатен и отлично работает на старой машине с низкими характеристиками. Чтобы узнать о конкретном методе настройки брандмауэра, обратитесь к разделу «Использование iptables».

2. Закройте ненужные сервисы и порты.

Любые сетевые подключения осуществляются через открытые порты приложений. Если мы откроем как можно меньше портов, мы сделаем сетевые атаки пассивными, что значительно снизит шансы злоумышленника на успех. Использование Linux в качестве выделенного сервера — разумный шаг. Например, если вы хотите, чтобы Linux стал веб-сервером, вы можете отменить все второстепенные службы в системе и включить только основные службы. Это может свести к минимуму количество бэкдоров, уменьшить количество скрытых опасностей и рационально распределить системные ресурсы для повышения общей производительности машины. Вот несколько менее часто используемых сервисов:

1. Fingerd (сервер Finger) сообщает личную информацию указанного пользователя, включая имя пользователя, настоящее имя, оболочку, каталог и контактную информацию. Это подвергнет систему нежелательным действиям по сбору разведывательной информации. Вам следует избегать запуска этой службы.

2. Службы R (rshd, rlogin, rwhod, rexec) предоставляют различные уровни команд. Они могут запускаться или взаимодействовать с удаленными хостами, а также входить в закрытую сетевую среду, не требуя имен пользователей и паролей. Это довольно удобно. Однако на общедоступных серверах будут обнаружены проблемы, что приведет к угрозам безопасности.

3. Удалите неиспользуемые пакеты программного обеспечения.

При планировании системы общий принцип – удалить все ненужные сервисы. Linux по умолчанию — это мощная система, на которой работает множество служб. Но существует множество сервисов, которые не нужны и могут легко создать угрозу безопасности. Это файл /etc/xinetd.conf, в котором указаны службы, которые /usr/sbin/xinetd будет отслеживать. Вам может понадобиться только один из них: ftp и другие классы, такие как telnet, Shell, Login, Exec, Talk, ntalk. , imap, Finger, Auth и т. д., если вы действительно не хотите их использовать, отключите их.

4. Не устанавливайте маршрут по умолчанию

В хосте должна быть строго запрещена установка маршрута по умолчанию, то есть маршрута по умолчанию. Рекомендуется установить маршрут для каждой подсети или сегмента сети, в противном случае другие машины могут получить доступ к хосту определенными методами.

5. Управление паролями

Длина пароля обычно не должна быть менее 8 символов. Пароль должен представлять собой комбинацию неправильных прописных и строчных букв, цифр и символов. Строго избегайте использования английских слов или фраз для установки паролей, и пароль каждого пользователя должен быть установлен. регулярно менять привычки. Кроме того, защита паролем также включает защиту файлов /etc/passwd и /etc/shadow. Только системные администраторы могут получить доступ к этим двум файлам. Установка инструмента фильтрации паролей и добавление npasswd поможет вам проверить, выдерживают ли ваши пароли атаки. Если вы раньше не устанавливали такой инструмент, рекомендуется установить его сейчас. Если вы являетесь системным администратором и в вашей системе не установлен инструмент фильтрации паролей, немедленно проверьте, можно ли выполнить исчерпывающий поиск паролей всех пользователей, то есть выполните атаку с исчерпывающим перебором вашего файла /ect/passwd. Использование слов в качестве паролей не может противостоять атакам грубой силы. Хакеры часто используют обычные слова для взлома паролей. Американский хакер однажды сказал, что, просто используя слово «пароль», можно открыть большинство компьютеров в Соединенных Штатах. Другие часто используемые слова включают: учетная запись, альд, альфа, бета, компьютер, мертвый, демо, доллар, игры, бод, привет, помощь, вступление, убийство, любовь, нет, ок, окей, пожалуйста, секс, секрет, суперпользователь, система, тест, работа, да и т. д. Настройки и принципы пароля:

1. Он достаточно длинный. Просто переместите палец, чтобы добавить к паролю одну цифру, что может увеличить усилия злоумышленника в десять раз;

2. Не используйте полные слова, включайте как можно больше цифр, знаков препинания, специальных символов и т. д.;

3. Смешайте символы верхнего и нижнего регистра;

4. Часто пересматривайте.

6. Управление разделами

[Вырезанная страница]

Потенциальная атака сначала попытается переполнить буфер. В последние несколько лет наиболее распространенной формой стали уязвимости безопасности типа переполнения буфера. Что еще более серьезно, так это то, что уязвимости переполнения буфера являются причиной подавляющего большинства удаленных сетевых атак. Этот тип атаки может легко дать анонимному пользователю Интернета возможность получить частичный или полный контроль над хостом!

Чтобы предотвратить подобные атаки, нам следует быть внимательными при установке системы. Если вы используете корневой раздел для записи данных, таких как файлы журналов, из-за отказа в обслуживании может быть создано большое количество журналов или спама, что приведет к сбою системы. Поэтому рекомендуется создать отдельный раздел для /var для хранения журналов и электронной почты, чтобы предотвратить переполнение корневого раздела. Лучше всего создать отдельный раздел для специальных приложений, особенно программ, которые могут генерировать большое количество журналов. Также рекомендуется создать отдельный раздел для /home, чтобы они не могли заполнить раздел /, избегая тем самым некоторых разделов Linux. переливы.

Многие пользователи настольных компьютеров Linux часто используют двойные системы Windows и Linux. Лучше всего использовать два жестких диска. Метод заключается в следующем: сначала отсоедините кабель передачи данных от основного жесткого диска, найдите жесткий диск объемом около 10 ГБ и повесьте его на компьютер, установите небольшой жесткий диск в качестве подчиненного диска и установите версию сервера Linux в соответствии с обычные операции, за исключением того, что программа загрузки помещается в MBR, другой разницы нет. После завершения установки и выхода отладки с рабочего стола выключите компьютер. Отсоедините кабель передачи данных небольшого жесткого диска, установите исходный жесткий диск и установите его в качестве основного диска (это делается для того, чтобы исходный жесткий диск и небольшой жесткий диск были подключены к одному и тому же кабелю передачи данных одновременно), а затем установите программное обеспечение Windows. Подвесьте оба жестких диска на кабель передачи данных, который является интерфейсом IDE 0. Установите исходный жесткий диск в качестве главного, а небольшой жесткий диск в качестве подчиненного. Если вы хотите загрузиться с исходного жесткого диска, установите последовательность загрузки в CMOS на «C, D, CDROM» или «IDE0 (HDD-0)». Таким образом, при запуске компьютер попадает в интерфейс Windows. Если вы хотите загрузиться с небольшого жесткого диска, измените последовательность загрузки на «D, C, CDROM» или «IDE1 (HDD-1)». После загрузки вы войдете в интерфейс Linux. Обычно две операционные системы не могут получить доступ друг к другу.

7. Запретить перехват сети:

Технология сниффера широко используется при обслуживании и управлении сетью. Она работает как пассивный сонар, бесшумно получая различную информацию из сети. Благодаря анализу этих данных сетевые администраторы могут получить более глубокое представление о текущем состоянии сети. для выявления уязвимостей в сети. Сегодня, когда сетевая безопасность привлекает все больше и больше внимания, мы должны не только правильно использовать снифферы, но и разумно предотвращать вред от них. Снифферы могут создавать серьезные угрозы безопасности, главным образом потому, что их нелегко обнаружить. Для предприятия со строгими требованиями безопасности необходимо использовать безопасную топологию, шифрование сеансов и статические адреса ARP.

8. Полное управление журналами

Файлы журналов постоянно фиксируют рабочее состояние вашей системы. Когда приходят хакеры, им не уйти от глаз логов. Поэтому хакеры часто модифицируют файлы журналов во время атак, чтобы скрыть свои следы. Поэтому нам необходимо ограничить доступ к файлу /var/log и запретить пользователям с общими разрешениями просматривать файл журнала.

Также используйте сервер журналов. Рекомендуется сохранить копию информации журнала клиента, создать сервер специально для хранения файлов журналов и проверять журналы на предмет выявления проблем. Измените файл /etc/sysconfig/syslog, чтобы разрешить удаленное ведение журнала.

/etc/sysconfig/системный журнал

SYSLOGD_OPTIONS="-г-н 0"

Также следует настроить удаленное хранилище логов. Измените файл /etc/syslog.conf, добавив настройки сервера журналов, и syslog сохранит копию на сервере журналов.

/etc/syslog.conf

*.* @log_server_IP

Доступны цветные фильтры журналов. Локо-фильтр цветового журнала, текущая версия — 0.32. Используйте loco /var/log/messages | more для отображения цветных журналов, четко обозначая расположение корневых и аномальных команд в журналах. Это может уменьшить человеческие упущения при анализе журналов. Также необходимы регулярные проверки журналов. Red Hat Linux предоставляет инструмент logwatch, который автоматически регулярно проверяет журналы и отправляет электронные письма в почтовый ящик администратора. Вам необходимо изменить файл /etc/log.d/conf/logwatch.conf и добавить адрес электронной почты администратора после параметра MailTo = root. Logwatch будет регулярно проверять журналы и фильтровать информацию, связанную с входом в систему с использованием root, sudo, telnet, ftp и т. д., чтобы помочь администраторам в ежедневном анализе безопасности. Полное управление журналами должно включать правильность, достоверность и законность сетевых данных. Анализ файлов журналов также может предотвратить вторжения. Например, если у пользователя имеется 20 неудачных записей регистрации в течение нескольких часов, вполне вероятно, что злоумышленник пытается ввести пароль пользователя.

[Вырезанная страница]

9. Прекратить текущие атаки

Если вы проверяете файлы журналов и обнаруживаете, что пользователь входит в систему с неизвестного вам хоста, и вы уверены, что у этого пользователя нет учетной записи на этом хосте, вы можете подвергнуться атаке. Во-первых, вам необходимо немедленно заблокировать эту учетную запись (в файле паролей или теневом файле перед паролем пользователя добавьте Ib или другие символы). Если злоумышленник уже подключен к системе, следует немедленно физически отключить хост от сети. Если возможно, вам следует дополнительно проверить историю этого пользователя, чтобы узнать, выдавали ли себя другие пользователи и есть ли у злоумышленника права root. Убейте все процессы этого пользователя и добавьте маску IP-адреса этого хоста в файл hosts.deny.

10. Используйте инструменты и программное обеспечение безопасности:

В Linux уже есть некоторые инструменты для обеспечения безопасности сервера. Такие как Bastille Linux и Selinux.

Bastille Linux — очень удобное программное обеспечение для пользователей, которые не знакомы с настройками безопасности Linux. Целью Bastille Linux является создание безопасной среды в существующей системе Linux.

Security Enhanced Linux (SELinux) — это научно-исследовательский проект Министерства безопасности США. Его цель — усовершенствовать ядро Linux разработанного кода, чтобы обеспечить более строгие меры защиты, предотвращающие обход некоторых приложений, связанных с безопасностью, и уменьшение количества вредоносных программ. катастрофа. Безопасность обычных систем Linux зависит от ядра, и эта зависимость создается через setuid/setgid. В рамках традиционного механизма безопасности выявляются некоторые проблемы авторизации приложений, проблемы с конфигурацией или проблемы с запуском процессов, что приводит к проблемам безопасности для всей системы. Эти проблемы существуют в современных операционных системах из-за их сложности и совместимости с другими программами. SELinux полагается исключительно на ядро системы и политики конфигурации безопасности. Если вы правильно настроили систему, неправильная конфигурация приложений или ошибки будут возвращать ошибки только программе пользователя и ее системным демонам. Безопасность других пользовательских программ и их фоновых программ по-прежнему может работать нормально и сохранять структуру своей системы безопасности. Проще говоря: никакая ошибка конфигурации программы не может привести к сбою всей системы. Установка SELinux Ядро SELinux, инструменты, программы/наборы инструментов и документацию можно загрузить с веб-сайта Enhanced Security Linux. Для компиляции нового ядра и доступа к неизмененному пакету исправлений системы необходима существующая система Linux.

11. Используйте зарезервированные IP-адреса:

---- Самый простой способ обеспечить сетевую безопасность — обеспечить, чтобы узлы сети не подвергались воздействию внешнего мира. Самый простой метод — изолировать себя от общедоступной сети. Однако такая стратегия безопасности посредством изоляции неприемлема во многих ситуациях. В настоящее время использование зарезервированных IP-адресов является простым и осуществимым методом, который позволяет пользователям получать доступ к Интернету, обеспечивая при этом определенную степень безопасности. - RFC 1918 определяет диапазон IP-адресов, которые могут использоваться локальными сетями TCP/IP. Эти IP-адреса не маршрутизируются в Интернете, поэтому нет необходимости регистрировать эти адреса. Назначая IP-адреса в этом диапазоне, сетевой трафик фактически ограничивается локальной сетью. Это быстрый и эффективный способ запретить доступ к внешним компьютерам, разрешив при этом соединение внутренних компьютеров. Резервный диапазон IP-адресов:

---- 10.0.0 .0 - 10.255.255.255

---- 172.16.0.0 - 172.31.255.255

--- 192.168.0.0 - 192.168.255.255

Сетевой трафик с зарезервированного IP-адреса не проходит через интернет-маршрутизатор, поэтому к любому компьютеру, которому назначен зарезервированный IP-адрес, нельзя получить доступ извне сети. Однако этот подход также не позволяет пользователям получать доступ к внешним сетям. Маскарад IP может решить эту проблему.

[Вырезанная страница]

12. Выбирайте дистрибутив Linux разумно:

Для версии Linux, используемой сервером, не используйте последнюю версию выпуска и не выбирайте слишком старую версию. Следует использовать более зрелую версию: последнюю выпущенную версию предыдущего продукта, например RHEL 3.0 и т. д. В конце концов, безопасность и стабильность для серверов превыше всего.

13. Разверните антивирусное программное обеспечение Linux.

Операционная система Linux всегда считалась сильным конкурентом системы Windows, поскольку она не только безопасна, стабильна и недорога, но и редко является источником распространения вирусов. Но поскольку все больше и больше серверов, рабочих станций и ПК используют программное обеспечение Linux, создатели компьютерных вирусов также начинают атаковать систему. Безопасность и контроль разрешений систем Linux, как на серверах, так и на рабочих станциях, являются относительно мощными. Это происходит главным образом благодаря превосходному техническому дизайну, который не только затрудняет сбой операционной системы, но и предотвращает злоупотребления ею. После более чем 20 лет развития и совершенствования Unix стала очень прочной, и Linux в основном унаследовал ее преимущества. В Linux, если вы не являетесь суперпользователем, программам, злонамеренно заражающим системные файлы, будет сложно добиться успеха. Хотя вредоносные программы, такие как вирусы Slammer, Blast, Sobig, Mimail и Win32.Xorala, не повредят сервер Linux, они распространятся на людей, имеющих доступ к компьютеру на системной платформе Windows.

[Вырезанная страница]

Классификация вирусов на платформе Linux:

1. Вирусы исполняемых файлов. Вирусы исполняемых файлов относятся к вирусам, которые могут паразитировать в файлах и использовать файлы в качестве основных целей заражения. Независимо от того, какое оружие используют создатели вирусов: ассемблер или C, файлы ELF легко заразить. Вирусы этой области включают Линдозу.

2. Вирус-червь: после того, как в 1988 году появился червь Морриса, Юджин Х. Спаффорд дал техническое определение червя, чтобы отличить червей от вирусов: «Компьютерные черви могут работать независимо и содержать в себе все вирусы. body». Функциональная версия распространяется на другие компьютеры. «На платформе Linux чрезвычайно распространены черви, такие как ramen, Lion, Slapper и т. д., которые используют уязвимости системы для распространения. Эти вирусы заразили большое количество систем Linux. и причинил огромные потери.

3. Скриптовые вирусы. В настоящее время существует больше вирусов, написанных на языке сценариев оболочки. Этот тип вируса относительно просто написать, но его разрушительная сила столь же поразительна. Мы знаем, что в системе Linux существует множество файлов сценариев, оканчивающихся на .sh, а сценарий оболочки, состоящий всего из десяти строк или около того, может за короткое время пройти через все файлы сценариев на всем жестком диске на предмет заражения.

4. Программа бэкдора. В широком определении вируса бэкдор также включен в категорию вирусов. Бэкдор, активный в системах Windows и являющийся оружием злоумышленников, чрезвычайно активен и на платформах Linux. Начиная с простых бэкдоров, которые добавляют учетные записи системных суперпользователей для загрузки системных служб, внедрения файлов общих библиотек, наборов инструментов для руткитов и даже загружаемых модулей ядра (LKM), технология бэкдоров на платформе Linux очень зрела, тщательно скрыта и ее трудно удалить. Это чрезвычайно неприятная проблема для системных администраторов Linux.

Вообще говоря, компьютерные вирусы не представляют большой опасности для систем Linux. Однако по разным причинам операционные системы Linux и Windows часто сосуществуют в корпоративных приложениях, образуя гетерогенные сети. Таким образом, антивирусная стратегия Linux разделена на две части:

1. Стратегии предотвращения самого Linux (серверов и компьютеров, использующих его в качестве рабочего стола).

Предотвратить вирусы исполняемых файлов, вирусы-черви и вирусы-скрипты можно в основном предотвратить, установив программное обеспечение для проверки и уничтожения вирусов под лицензией GPL. На стороне сервера вы можете использовать AntiVir (http://www.hbedv.com/), который работает из командной строки и потребляет при работе меньше системных ресурсов.

Для предотвращения бэкдор-программ вы можете использовать LIDS (http://www.lids.org/) и Chkrootkit (http://www.chkrootkit.org/) — это патч ядра Linux и инструмент системного администратора (lidsadm). который усиливает ядро Линуса. Важные файлы в каталоге dev/ могут быть защищены. Chkrootkit может обнаруживать системные журналы и файлы, чтобы определить, не проникли ли в систему какие-либо вредоносные программы, а также искать сигналы, связанные с различными вредоносными программами. Последняя версия Chkrootkit0.45 способна обнаруживать 59 типов снифферов, троянов, червей, руткитов и т. д.

2. Стратегии предотвращения вирусов для систем Windows, использующих серверные части Linux.

Многие компании используют прокси-серверы для доступа в Интернет. Многие пользователи Windows заражаются вирусами при просмотре веб-страниц HTTP и загрузке файлов. Поэтому к прокси-серверу можно добавить вирусный фильтр для обнаружения вирусов на веб-страницах HTTP, просматриваемых пользователями. Если будет обнаружено, что пользователь заразился вирусом во время просмотра веб-страниц, прокси-сервер заблокирует его, отклонит вируссодержащие запросы, заблокирует небезопасные процессы на прокси-сервере и запретит распространение вирусосодержащих данных на клиентский компьютер. . Squid — отличное программное обеспечение для прокси-сервера, но оно не имеет специальной функции фильтрации вирусов. Вы можете рассмотреть возможность использования прокси-сервера фильтрации вирусов на базе Linux, разработанного немецкими энтузиастами открытого исходного кода - HAVP (http://www.server-side.de/). Программное обеспечение прокси-сервера фильтрации вирусов HAVP можно использовать независимо или последовательно с Squid для улучшения функции фильтрации вирусов прокси-сервера Squid.

Предоставление услуг электронной почты является важным приложением на серверах Linux. Вы можете использовать ClamAV (http://www.clamwin.com/). Полное название ClamAV — Clam AntiVirus. Как и Liunx, оно подчеркивает концепцию открытого программного кода и свободного лицензирования. В настоящее время ClamAV может обнаруживать более 40 000 вирусов. червей, троянских программ и обновляйте базу данных в любое время. По всему миру работает группа экспертов по вирусам, которые круглосуточно обновляют и поддерживают вирусную базу данных. Любой, кто обнаружит подозрительный вирус, может связаться с ними в любое время. и немедленно обновить код вируса. За очень короткое время. В течение нескольких дней почтовые серверы, использующие ClamAV в сети, выполнили новейшие защитные действия.

[Вырезанная страница]

14. Усильте безопасность входа в систему.

Изменяя файл /etc/login.defs, вы можете добавить такие параметры, как задержка при ошибке входа в систему, ведение журнала, ограничение длины пароля для входа и ограничение срока действия.

/etc/login.defs #Пароль для входа действителен в течение 90 дней

PASS_MAX_DAYS 90 #Минимальное время изменения пароля для входа, чтобы нелегальные пользователи не могли изменить его несколько раз за короткий период времени.

PASS_MIN_DAYS 0 #Минимальная длина пароля для входа — 8 символов.

PASS_MIN_LEN 8 #Запрос на смену пароля для входа за 7 дней до истечения срока его действия

PASS_WARN_AGE 7 #Время ожидания 10 секунд при возникновении ошибки входа в систему

FAIL_DELAY 10 #Ошибка входа в журнал записана

FAILLOG_ENAB да #Используйте, если суперпользователям запрещено управлять журналами.

SYSLOG_SU_ENAB yes #Используйте при ограничении журналов управления группами суперпользователей.

SYSLOG_SG_ENAB да #Использовать при использовании md5 в качестве метода шифрования пароля.

15. Используйте OPENSSH вместо FTP и Telnet.

Программы сетевой передачи, которые мы обычно используем, такие как FTP и Telnet, по своей сути небезопасны, поскольку они передают пароли и данные в сети в виде обычного текста. Хакерам очень легко перехватить эти пароли и данные с помощью снифферов. Полное английское название SSH — Secure SHell. Используя SSH, пользователи могут шифровать все передаваемые данные, так что даже если хакер в сети сможет захватить передаваемые пользователем данные, если их невозможно расшифровать, это не будет представлять реальной угрозы для передачи данных. Кроме того, передаваемые данные сжимаются, поэтому скорость передачи можно увеличить. SSH имеет множество функций. Он может не только заменить Telnet, но и обеспечить безопасный «канал передачи» для FTP. В небезопасной сетевой среде связи он обеспечивает надежный механизм аутентификации и очень безопасную среду связи. SSH (Secure Shell) изначально был разработан компанией в Финляндии, но из-за ограничений авторских прав и алгоритмов шифрования многие люди обратились к бесплатному альтернативному программному обеспечению OpenSSH. Использование OPENSSH из командной строки затруднительно. Здесь мы представляем gFTP и OPENSSH, объединенные вместе, чтобы обеспечить графическое решение для зашифрованной передачи. gFTP очень прост в использовании, как CuteFtp, под Windows, и почти все дистрибутивы Linux поставляются с gFTP, который можно использовать без установки. Существует множество клиентских программ, поддерживающих SSH под Windows, рекомендуется использовать Putty и Filezilla.

16. Резервное копирование важных файлов

Многие трояны, черви и бэкдоры скрываются, заменяя важные файлы. Хорошая привычка — создавать резервные копии наиболее важных и часто используемых команд. Подготовьте набор носителей только для чтения, компакт-дисков или USB-накопителей или даже загрузите их из Интернета. Короче говоря, при необходимости используйте оригинальные команды, а не команды, которые могут быть заражены в системе. При резервном копировании следует отметить следующее:

/бин/су

/bin/пс

/бин/об/мин

/usr/bin/топ

/sbin/ifconfig

/bin/монтировать

17. Проблемы с патчем

Вам всегда следует заходить на домашнюю страницу издателя устанавливаемой системы для поиска последних исправлений. Операционная система — это душа компьютерной системы, поддерживающая нижний уровень системы, а также управляющая и планирующая подсистемы, такие как память и процессы. Если есть уязвимость в самой операционной системе, последствия будут фатальными. Ядро операционной системы имеет решающее значение для сетевой безопасности. В настоящее время обслуживание ядра в основном разделено на два режима: для частных операционных систем, таких как Windows/Solaris и т. д., поскольку отдельные пользователи не могут напрямую получить доступ к своему исходному коду, их код поддерживается внутренними разработчиками компании, и его безопасность гарантируется. Исправления ядра выпускаются той же командой в пакетах patch/SP, как и другие приложения. Для открытой системы, такой как Linux, это открытая структура. Следует сказать, что открытая модель – это палка о двух концах. Говоря механически, разработчики по всему миру могут получить исходный код и найти в нем лазейки. Кажется, безопасность должна быть лучше, но в то же время, если сетевые менеджеры не смогут вовремя обновить ядро, риски безопасности также будут; левый. Более того, существует множество факторов, влияющих на безопасность операционной системы. От уровня компиляции до уровня использования пользователем и т. д. — все они влияют на безопасность системы. Проблемы безопасности не могут быть принципиально решены простым открытием или закрытием исходного кода. Если вы являетесь сетевым администратором Linux, вам часто приходится заходить на соответствующий веб-сайт, чтобы узнать, есть ли исправления, исправления ошибок и необходимы ли обновления. Не рискуйте, иначе скрипт Shell может вывести из строя ваш сайт. Перефразируя известную поговорку: ваш сервер всегда может быть захвачен хакерами на следующий день.

Программное обеспечение, работающее на сервере Linux, в основном включает в себя: Samba, Ftp, Telnet, Ssh, Mysql, Php, Apache, Mozilla и т. д. Большая часть этого программного обеспечения является программным обеспечением с открытым исходным кодом и постоянно обновляется, появляются стабильные версии и бета-версии. попеременно. На сайтах www.samba.org и www.apache.org в последнем журнале изменений говорится: исправление ошибок, исправление ошибок безопасности. Поэтому сетевые администраторы Linux всегда должны обращать внимание на исправление ошибок и обновление соответствующих веб-сайтов, а также своевременно обновлять или добавлять исправления.

Подведите итог:

Как не существует нерушимого щита, так и ни одна система не является полностью безопасной. Точно так же и в сфере безопасности никто не может сказать, что он мастер. Безопасность системы достигнута трудом и мудростью многих предшественников.

[Вырезанная страница]

7. Запретить перехват сети:

8. Полное управление журналами

/etc/sysconfig/системный журнал

SYSLOGD_OPTIONS="-г-н 0"

/etc/syslog.conf

*.* @log_server_IP

Доступны цветные фильтры журналов. Локо-фильтр цветового журнала, текущая версия — 0.32. Используйте loco /var/log/messages | more для отображения цветных журналов, четко обозначая расположение корневых и аномальных команд в журналах. Это может уменьшить человеческие упущения при анализе журналов. Также необходимы регулярные проверки журналов. Red Hat Linux предоставляет инструмент logwatch, который автоматически регулярно проверяет журналы и отправляет электронные письма в почтовый ящик администратора. Вам необходимо изменить файл /etc/log.d/conf/logwatch.conf и добавить адрес электронной почты администратора после параметра MailTo = root. Logwatch будет регулярно проверять журналы и фильтровать информацию, связанную с входом в систему с использованием root, sudo, telnet, ftp и т. д., чтобы помочь администраторам в ежедневном анализе безопасности. Полное управление журналами должно включать правильность, достоверность и законность сетевых данных. Анализ файлов журналов также может предотвратить вторжения. Например, если у пользователя есть 20 неудачных регистрационных записей в течение нескольких часов, вполне вероятно, что злоумышленник пробует пароль пользователя.