1115.html

著名的linux英雄站点的文档打包

                        style="BORDER-RIGHT: #c4c4c4 1px solid; BORDER-TOP: #c4c4c4 1px solid; BORDER-LEFT: #c4c4c4 1px solid; BORDER-BOTTOM: #c4c4c4 1px solid" 
                        cellspacing=0 cellpadding=3 width="95%" border=0 align="center">
                  <tbody> 
                  <tr> 
                    <td noWrap background="images/bgline.gif" tppabs="http://www.linuxhero.com/docs/images/bgline.gif"> 
                      <div align=center><font class=normalfont>搜索文章: 
                        <input type=hidden value=result name=action2>
                          <input type=radio checked value=title name=type>标题 
                          <input type=radio value=content name=type>内容 
                          <input type=image src="images/button_go.gif" tppabs="http://www.linuxhero.com/docs/images/button_go.gif" border=0 name=image2>
                        </font></div>
                    </td>
                  </tr>
                  <tr> 
                    <td noWrap> 
                      <div align="center"> 
                        <input maxlength=100 size=30 name=keyword2>
                      </div>
                    </td>
                  </tr></tbody> 
                </table>
              </form>
            </TD>
            <TD rowSpan=2><IMG src="images/header_r1_c7.gif" tppabs="http://www.linuxhero.com/docs/images/header_r1_c7.gif" width=26 border=0 name=header_r1_c7></TD>
          <TD><IMG height=83 src="images/spacer.gif" tppabs="http://www.linuxhero.com/docs/images/spacer.gif" width=1 border=0></TD></TR>
        <TR>
          <TD background="images/bgline.gif" tppabs="http://www.linuxhero.com/docs/images/bgline.gif"><IMG height=22 
            src="images/header_r2_c1.gif" tppabs="http://www.linuxhero.com/docs/images/header_r2_c1.gif" width=296 border=0 
            name=header_r2_c1></TD>
          <TD background="images/bgline.gif" tppabs="http://www.linuxhero.com/docs/images/bgline.gif" colSpan=5>
              <DIV align=right><FONT class=normalfont>当前位置： 
              <A href="index.html" tppabs="http://www.linuxhero.com/docs/index.html">本站首页</A>
              <font color="#FF6699">&gt;&gt;</font>
<A href="type15.html" tppabs="http://www.linuxhero.com/docs/type15.html">网络安全</A>                 | <A href="copyright.html" tppabs="http://www.linuxhero.com/docs/copyright.html">版权说明</A></font></DIV>
            </TD>
          <TD><IMG height=22 src="images/spacer.gif" tppabs="http://www.linuxhero.com/docs/images/spacer.gif" width=1 
        border=0></TD></TR></TBODY></TABLE>
      <TABLE cellSpacing=10 cellPadding=0 width="100%" bgColor=#ffffff 
        border=0>
         <TR>
          <TD>
            <TABLE cellSpacing=0 cellPadding=3 width="100%" border=0>
              
              <TR>
                <TD vAlign=top align=middle width="60%">
                  <TABLE cellSpacing=0 cellPadding=0 width="100%" 
                  background="images/back.gif" tppabs="http://www.linuxhero.com/docs/images/back.gif" border=0>
                    <TBODY>
                    <TR>
                        <TD vAlign=top width="80%"> 
                          <DIV align=center>
                        <FORM action="search.html" tppabs="http://www.linuxhero.com/docs/search.html" method=get>
                            </FORM>
                        <TABLE cellSpacing=0 cellPadding=0 width="95%" 
                          border=0><TBODY>
                          <TR>
                            <TD background="images/bgi.gif" tppabs="http://www.linuxhero.com/docs/images/bgi.gif" 
                          height=30></TD></TR></TBODY></TABLE>
                        <TABLE cellSpacing=0 cellPadding=3 width="95%" 
                        align=center border=0>
                          <TBODY>
                          <TR>
                            <TD>
                              <TABLE cellSpacing=0 cellPadding=3 width="100%" 
                              border=0>
                                <TBODY>
                                <TR>
                                      <TD vAlign=top> 
<p><FONT class=normalfont><B><font color=blue>linux安全管理技巧</font></B></FONT><BR><FONT class=smallfont color=#ff9900>2004-04-23 15:18 pm</FONT><BR><FONT class=normalfont>作者：作者<br>来自：Linux知识宝库<br>联系方式：无名<br><br>高级Linux安全管理技巧扁扁由于Linux操作系统是一个开放源代码的免费操作系统，因<br>
此受到越来越多用户的欢迎。随着Linux操作系统在我国的不断普及，有关的政府部门更<br>
是将基于Linux开发具有自主版权的操作系统提高到保卫国家信息安全的高度来看待，因<br>
此我们不难预测今后Linux操作系统在我国将得到更快更大的发展。虽然Linux与UNIX很<br>
类似，但它们之间也有一些重要的差别。对于众多的习惯了UNIX和Windows<br>
NT的系统管理员来讲，如何保证Linux操作系统的安全将面临许多新的挑战。本文介绍了<br>
一系列实用的Linux安全管理经验。<br>
　　一、文件系统在Linux系统中，分别为不同的应用安装单独的主分区将关键的分区设<br>
置为只读将大大提高文件系统的安全。这主要涉及到Linux自身的ext2文件系统的只添加<br>
（只添加）和不可变这两大属性。<br>
　　●文件分区Linux的文件系统可以分成几个主要的分区，每个分区分别进行不同的配<br>
置和安装，一般情况下至少要建立/、/usr/local、/var和/home等分区。/usr可以安装<br>
成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生了改变，那么系统将<br>
立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的<br>
安装和设置也一样。在安装时应该尽量将它们设置为只读，并且对它们的文件、目录和<br>
属性进行的任何修改都会导致系统报警。<br>
　　当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等，其自身的性质<br>
就决定了不能将它们设置为只读，但应该不允许它具有执行权限。<br>
　　●扩展ext2使用ext2文件系统上的只添加和不可变这两种文件属性可以进一步提高<br>
安全级别。不可变和只添加属性只是两种扩展ext2文件系统的属性标志的方法。一个标<br>
记为不可变的文件不能被修改，甚至不能被根用户修改。一个标记为只添加的文件可以<br>
被修改，但只能在它的后面添加内容，即使根用户也只能如此。<br>
　　可以通过chattr命令来修改文件的这些属性，如果要查看其属性值的话可以使用ls<br>
attr命令。要想了解更多的关于ext2文件属性的信息，可使用命令man chattr来寻求帮<br>
助。这两上文件属性在检测黑客企图在现有的文件中安装入侵后门时是很有用的。为了<br>
安全起见，一旦检测到这样的活动就应该立即将其阻止并发出报警信息。<br>
　　如果你的关键的文件系统安装成只读的并且文件被标记为不可变的，入侵者必须重<br>
新安装系统才能删除这些不可变的文件但这会立刻产生报警，这样就大大减少了被非法<br>
入侵的机会。<br>
　　●保护log文件当与log文件和log备份一起使用时不可变和只添加这两种文件属性特<br>
别有用。系统管理员应该将活动的log文件属性设置为只添加。当log被更新时，新产生<br>
的log备份文件属性应该设置成不可变的，而新的活动的log文件属性又变成了只添加。<br>
这通常需要在log更新脚本中添加一些控制命令。<br>
　　二、备份在完成Linux系统的安装以后应该对整个系统进行备份，以后可以根据这个<br>
备份来验证系统的完整性，这样就可以发现系统文件是否被非法窜改过。如果发生系统<br>
文件已经被破坏的情况，也可以使用系统备份来恢复到正常的状态。<br>
　　●CD-ROM备份当前最好的系统备份介质就是CD-ROM光盘，以后可以定期将系统与光<br>
盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高，那<br>
么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可<br>
以通过光盘启动，就说明系统尚未被破坏过。<br>
　　如果你创建了一个只读的分区，那么可以定期从光盘映像重新装载它们。即使象/b<br>
oot、/lib和/sbin这样不能被安装成只读的分区，你仍然可以根据光盘映像来检查它们<br>
，甚至可以在启动时从另一个安全的映像重新下载它们。<br>
　　●其它方式的备份虽然/etc中的许多文件经常会变化，但/etc中的许多内容仍然可<br>
以放到光盘上用于系统完整性验证。其它不经常进行修改的文件，可以备份到另一个系<br>
统（如磁带）或压缩到一个只读的目录中。这种办法可以在使用光盘映像进行验证的基<br>
础上再进行额外的系统完整性检查。<br>
　　既然现在绝大多数操作系统现在都在随光盘一起提供的，制作一个CD-ROM紧急启动<br>
盘或验证盘操作起来是十分方便的，它是一种十分有效而又可行的验证方法。<br>
　　三、改进系统内部安全机制可以通过改进Linux操作系统的内部功能来防止缓冲区溢<br>
出攻击这种破坏力极强却又最难预防的攻击方式，虽然这样的改进需要系统管理员具有<br>
相当丰富的经验和技巧，但对于许多对安全级别要求高的Linux系统来讲还是很有必要的<br>
。<br>
　　●Solaris Designer的安全Linux补丁Solaris Designer用于2.0版内核的安全Linu<br>
x补丁提供了一个不可执行的栈来减少缓冲区溢出的威胁，从而大大提高了整个系统的安<br>
全性。<br>
　　缓冲区溢出实施起来是相当困难的，因为入侵者必须能够判断潜在的缓冲区溢出何<br>
时会出现以及它在内存中的什么位置出现。缓冲区溢出预防起来也十分困难，系统管理<br>
员必须完全去掉缓冲区溢出存在的条件才能防止这种方式的攻击。正因为如此，许多人<br>
甚至包括Linux Torvalds本人也认为这个安全Linux补丁十分重要，因为它防止了所有使<br>
用缓冲区溢出的攻击。但是需要引起注意的是，这些补丁也会导致对执行栈的某些程序<br>
和库的依赖问题，这些问题也给系统管理员带来的新的挑战。<br>
　　不可执行的栈补丁已经在许多安全邮件列表（如securedistros@nl.linux.org）中<br>
进行分发，用户很容易下载到它们等。<br>
　　●StackGuardStackGuard是一个十分强大的安全补丁工具。你可以使用经StackGua<br>
rd修补过的gcc版本来重新编译和链接关键的应用。<br>
　　StackGuard进行编译时增加了栈检查以防止发生栈攻击缓冲区溢出，虽然这会导致<br>
系统的性能略有下降，但对于安全级别要求高的特定应用来讲StackGuard仍然是一个十<br>
分管用的工具。<br>
　　现在已经有了一个使用了SafeGuard的Linux版本，用户使用StackGuard将会更加容<br>
易。虽然使用StackGuard会导致系统性能下降约10～20%，但它能够防止整个缓冲区溢出<br>
这一类攻击。<br>
　　●增加新的访问控制功能Linux的2.3版内核正试图在文件系统中实现一个访问控制<br>
列表，这要可以在原来的三类（owner、group和other)访问控制机制的基础上再增加更<br>
详细的访问控制。<br>
　　在2.2和2.3版的Linux内核中还将开发新的访问控制功能，它最终将会影响当前有关<br>
ext2文件属性的一些问题。与传统的具有ext2文件系统相比它提供了一个更加精确的安<br>
全控制功能。有了这个新的特性，应用程序将能够在不具有超级用户权限的情况下访问<br>
某些系统资源，如初始套接等。<br>
　　●基于规则集的访问控制现在有关的Linux团体正在开发一个基于规则的访问控制（<br>
RSBAC）项目，该项目声称能够使Linux操作系统实现B1级的安全。RSBAC是基于访问控制<br>
的扩展框架并且扩展了许多系统调用方法，它支持多种不同的访问和认证方法。这对于<br>
扩展和加强Linux系统的内部和本地安全是一个很有用的。<br>
　　四、设置陷井和蜜罐所谓陷井就是激活时能够触发报警事件的软件，而蜜罐（hone<br>
y pot）程序是指设计来引诱有入侵企图者触发专门的报警的陷井程序。通过设置陷井和<br>
蜜罐程序，一旦出现入侵事件系统可以很快发出报警。在许多大的网络中，一般都设计<br>
有专门的陷井程序。陷井程序一般分为两种：一种是只发现入侵者而不对其采取报复行<br>
动，另一种是同时采取报复行动。<br>
　　设置蜜罐的一种常用方法是故意声称Linux系统使用了具有许多脆弱性的IMAP服务器<br>
版本。当入侵者对这些IMAP服务器进行大容量端口扫瞄就会落入陷井并且激发系统报警<br>
。<br>