1389.html

著名的linux英雄站点的文档打包

)<br>
@ IN NS dns1.slott.com.cn.<br>
@ 11 IN PTR slott1.slott.com.cn.<br>
@ 80 IN PTR ects.slott.com.cn.<br>
@ 199 IN PTR duty.slott.com.cn.<br>
@ 100 IN PTR gateway.slott.com.cn.<br>
80 IN PTR ects.slott.com.cn.<br>
1 IN PTR slott1.slott.com.cn.<br>
121 IN PTR liangliang.slott.com.cn.<br>
111 IN PTR dns1.slott.com.cn.<br>
<br>
named.local<br>
@ IN SOA dns1.slott.com.cn. root.dns1.slott.com.cn. (<br>
1997022700 ; serial<br>
28800 ; refresh<br>
14400 ; retry<br>
3600000 ; expire<br>
86400 ; default_ttl<br>
)<br>
@ IN NS dns1.slott.com.cn.<br>
1 IN PTR localhost.<br>
Q:<br>
我在一次非完全安装后，用kpackage bind.x.x。rpm包后，每配置之前也是如此。<br>
要命的是没有/etc/name.boot和/etc/name.conf等文件。不知咋办。<br>
A:<br>
用rpm -ivh --force bind.x.xx.rpm强行重新安装<br>
=========================================================================<br>
Q:<br>
请问在Turbo Linux4.0下：<br>
eg, www.myserver.com<br>
www.mysite.com<br>
ns.mysite.com 是域名服务器为myserver.com提供域名解析服务。<br>
ns.mysite.com设置<br>
/etc/resolv.cof , /etc/named.boot，<br>
/var/named/mysite.db, /var/named/mysite.rev<br>
同样，我为myserver.com IN NS ns.mysite.com.<br>
不知道还缺什么，一般会犯什么样的错误？<br>
<br>
还有，我在ns.mysite.com 上运行 nslookup<br>
却说不能发现 host/domain ,好象ns server 不正常。但域内的主机却能被访问。<br>
<br>
Q:<br>
问题： PING WWW.CLIENT.COM 等了较长时间后，出现 unknow Host www.client.com.<br>
<br>
譬如： NS1.MYSITE.COM<br>
NS2.MYSITE.COM<br>
<br>
两域名为 www.mysite.com 提供解析。<br>
而且需要为 www.client.com 提供域名解析服务。<br>
<br>
通过NSLOOKUP 检查，NS1.MYSITE.COM 服务正常。<br>
并能为该域名下的主机解析（如 mail.mysite.com ,searh.mysite.com 等)<br>
<br>
现为某企业(client.com)提供虚拟主机，我设置如下，<br>
================<br>
/etc/named.boot<br>
=================<br>
...<br>
primary mysite.com mysite.db<br>
primary 200.105.202.in-addr.arpa mysite.rev<br>
<br>
primary client.com client.db<br>
...<br>
<br>
=========<br>
client.db<br>
<br>
@ IN SOA client.com. hostmaster.client.com.<br>
{...}<br>
<br>
IN NS MYSITE.COM<br>
<br>
www IN A 202.105.200.60<br>
<br>
==========<br>
反向解析省..。<br>
<br>
恳请你的帮助，谢谢！<br>
========================================================<br>
Q:<br>
谁能说一下,反向域名解析,即IP-&gt;hostname在哪些场合下用到?<br>
如果DNS系统中没有反向域名解析数据库,会对系统造成什么影响?<br>
A:<br>
有用，前一段时间去国外某站点，他就需要根据域名反向查找<br>
安全管理<br>
江苏电信IP网自1996年5月份正式对社会开放以来，用户发展迅速，截至2001年11月底，接入用户数达到了323万。为了满足用户持续快速发展的需要，我们的网络经历了大大小小数次扩容，规模不断扩大，目前省内骨干网总带宽达90G，出省带宽10G。<br>
<br>
随着网络的发展，我们面临的网络滥用和攻击等安全事件越来越多，并且攻击者采用的手段也越来越复杂多样。在江苏电信IP网发展的初期，我们主要是通过加固主机系统来提高安全性，当然仅靠技术人员手工检查、分析、跟踪是远远不够的。1999年二期扩容工程中，增加了防火墙、一次性口令认证系统、安全扫描器等。但是总的来说，采用的技术手段及部署范围仍比较有限。2001年，江苏电信IP网组织实施了三期扩容，并把网络安全作为重要部分独立实施。<br>
<br>
电信IP网面临的主要安全问题<br>
<br>
目前，我们还没有手段可以较全面地收集和统计IP网上形形色色的网络滥用和攻击。从我们日常碰到和处理的问题来看，主要有几个方面：<br>
<br>
网上存在大量的端口扫描试探、发送垃圾邮件等网络滥用行为；<br>
<br>
发现部分主机由于未及时安装补丁程序或设置不当或口令强度不够等原因而被黑客入侵，并被安装后门程序；<br>
<br>
拒绝服务攻击发生频率不高，但一般影响较大；<br>
<br>
蠕虫病毒传播和泛滥，如红色代码、尼姆达等，危害不可小视。<br>
<br>
安全防范的范围和原则<br>
<br>
作为网络运营商，由于用户众多，我们的主要精力还是考虑如何尽可能地保护由江苏电信负责维护管理、对外提供服务的网络设备和主机系统，同时对一些重要的网络安全问题，我们也尽力通知用户，并帮助解决。<br>
<br>
在解决安全问题时，我们注意遵循安全、效率及易用性兼顾的原则。安全的目标是为了保证业务的连续性，保证数据的完整性、保密性和可用性。但是安全、效率及易用性常常是矛盾的，实施过于复杂的安全措施一方面会造成效率的下降，另一方面对人员素质的要求也会增加，而人员的培训和成长需要过程，因此需要均衡，使得既能达到安全目标的最低要求，又能不对效率产生显著影响，操作使用上不过于繁琐。<br>
<br>
同时，我们还本着节约的原则。加强安全必然带来成本的增加，这既包括产品的采购、升级、服务费用，也包括管理成本。我们在资金和人力上的投入应该和被保护的资产价值相适应，在考虑采取什么样的措施保护哪些对象的时候，我们主要考虑被保护对象的重要性、威胁发生的可能性及可能产生的后果，然后选用适当的技术措施以达到可以接受的安全等级。<br>
<br>
主要技术措施<br>
<br>
目前，江苏电信IP网已初步建立了一套网络安全技术防御体系，从保护对象上看，重点是针对认证计费系统、网管系统、集中邮件系统，同时还包括DNS服务器和 WWW服务器，对于接入服务器、路由器、交换机等，则主要通过合理设置来提高安全性；从功能上看，主要包括六个系统：一次性口令认证系统，防火墙系统，主机访问控制系统，安全扫描系统，集中日志管理系统，入侵检测系统等。<br>
<br>
一次性口令认证系统<br>
<br>
好的口令是网络安全中最简单和最重要的部分，据CERT估计，约80%的网络安全问题是由于不良的口令所造成的。而我们的管理员管理着众多的网络设备和主机系统，在日常工作中需要经常登录进行维护，即使管理员的口令设置符合安全性的原则，但是仍存在口令在一个更改周期内反复使用的问题，而在telnet过程中，用户名、口令以明文方式在网上传送，因而时刻面临着被窃听的威胁。为此，我们选用了ACE Server及SecurID构筑一次性口令认证系统，它提供了一种较为强壮的集中式、双要素的认证方案。也就是说，用户在登录时，不仅要知道PIN码，还要有口令牌。口令牌上的口令每分钟改变一次，这样有效地减少了口令丢失、泄露所带来的危害。<br>
一次性口令认证系统的实现方案如下：<br>
1、ACE Server配备实施异地备份，一主一备，防止单点故障。<br>
2、使用范围包括路由器、核心局域网交换机及集中邮件系统、认证计费系统、WWW服务器、DNS服务器。其中路由器、交换机采用Radius认证方式，与ACE Server配合实现一次性口令认证。<br>
<br>
防火墙<br>
<br>
防火墙是安全系统的重要组成部分。我们在省中心部署了CheckPoint Firewall-1和NetScreen-1000硬件防火墙，禁止普通用户从Internet访问我们的网管网，但网管网可通过防火墙访问 Internet以进行软件升级等操作；同时对进出邮件系统的数据流量进行检查、过滤，保证邮件系统的安全性。<br>
<br>
主机访问控制系统<br>
<br>
在一个基本的UNIX和Windows NT系统中，超级用户具有对系统无限大的访问权限，可全面访问应用软件、数据和审计记录。这样可能会造成：<br>
<br>
1、一旦超级用户权限被网络攻击者取得，系统可被完全控制，并且可以轻松地掩盖痕迹。<br>
2、掌握超级用户权限的用户可能由于误操作等原因破坏操作系统和应用软件的一些关键配置和属性。<br>
<br>
基于此，我们在全省认证计费系统、集中电子邮件服务系统和省中心DNS服务器上部署了CA公司的eTrust Access Control。eTrust Access Control是一种主机安全保护软件，eTrust Access Control在加强对用户口令及违反安全策略的管理、细化对文件的访问控制的同时，能限制超级用户的权限，保护主机资源的安全。<br>
<br>
安全扫描系统<br>
<br>
对于一个大型网络来说，由于涉及网络设备和主机系统众多，并且经常需要调整修改配置，必须具备一种方便、快捷的手段帮助安全员全面地、动态地进行弱点评估，掌握网络系统存在哪些安全漏洞，以进行修补，提高自身免疫力。而安全扫描软件无疑是一个较好的工具，它不仅可以弥补安全员在安全知识和经验上的不足，还可以有效缩短漏洞发现时间，减少攻击成功的可能性。我们选用了Internet Scanner，它通过对网络安全弱点的检测与分析，发现存在的安全漏洞，做出安全评估，并能提出相应的改进建议。网络扫描器可将风险分为高、中、低三个等级，并且根据不同的需要生成报表，从以企业管理者角度来分析的报告到为消除风险而给出的详尽的逐步指导方案均可以体现在报表中。<br>
<br>
集中日志管理系统<br>
<br>
网络设备和主机系统的日志可以帮助管理员监控和分析合法用户的越权行为和可疑行为以及非法用户的访问尝试等行为。然而，这些日志一般分散存放在各个设备上，采用覆盖方式存储，不便于管理员检查审计，也不便于保存归档，同时，还容易被入侵者在攻击时篡改。现状常常是系统虽然启用了日志功能却形同虚设，管理员基本无暇顾及数量众多的网络设备和主机系统日志，安全得不到保证。<br>
<br>
为了解决这些问题，我们建立了一套集中日志管理系统，根据日志的来源，对重要网络设备和主机系统的日志进行分类，集中地收集、存储、备份，然后再进行分析、查询。这样，一方面大大提高了工作效率，有利于及时发现问题，另一方面，日志的异地存放使得攻击者更加难以掩盖痕迹，有利于管理员事后分析追踪。<br>
<br>
入侵检测系统<br>
<br>
在考虑网络安全问题的对策时，我们不仅要考虑如何保护我们的网络，还要考虑如何实时检测网络上的威胁，并及时地作出响应。为此，我们选用了 RealSecure System Agent和Network Engine。其中，实时系统代理 (RealSecure System Agent)是一种基于主机的实时入侵检测产品，一旦发现对主机的入侵，RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵，同时它还会发出警报、记录事件等以及执行用户自定义动作。实时系统代理 (RealSecure System Agent)还具有伪装功能，可以将服务器不开放的端口进行伪装，进一步迷惑可能的入侵者，提高系统的防护时间。实时网络传感器 (RealSecure Network Engine) 是基于网络的实时入侵检测产品，在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecure Network Engine在检测到网络入侵后，除了可以及时切断攻击行为之外，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的、智能的防护体系。<br>
<br>
通过部署入侵检测系统，我们实现了以下功能：<br>
1、在省网管中心和计费中心采用基于网络的入侵检测系统，对网络攻击进行在线实时监控、告警并能自动阻断部分攻击。<br>
2、在全省集中电子邮件系统、DNS、WWW服务器上采用了基于主机的入侵检测系统。<br>
3、对于全省WWW服务器，配置主页的自动恢复功能，即如果WWW服务器被攻破、主页被纂改，系统能够自动识别并把它恢复至事先设定的页面。<br>
4、入侵检测系统与防火墙进行“互动”，即当入侵检测系统检测到网络攻击后，通知防火墙，由防火墙对攻击进行阻断。<br>
<br>
同时在各地市节点使用sniffer软件作为系统安全监控的补充手段。<br>
<br>
网络安全方面采取的主要管理措施<br>
<br>
应该说，网络安全不仅仅是一个技术问题，实际上，从我们运行维护的经验来看，主要还是“人”的问题，因为最终是人在执行网络安全方面的各项规定和操作，这需要从管理、培训上循序渐进地做大量工作。这里，我们简单介绍一下江苏电信IP网在网络安全方面所采取的部分管理措施。<br>
<br>
（一）及时对最新发现的重要安全漏洞和病毒发布通告，制定应对措施。我们通过订阅有关安全问题的邮件列表来及时了解安全方面的动态，一旦发现与江苏电信IP网运行系统有关的重大安全问题，就立即着手研究制定解决方案和步骤，并通知相关单位、部门以及用户。<br>
<br>
（二）定期对网络进行安全扫描，动态掌握安全现状，发现漏洞及时修补。注意对扫描结果进行统计分析，据此发现网上存在的主要问题，并通过考核的方式督促相关单位尽快解决。<br>
<br>
（三）注意对用户的安全宣传、教育，并签订安全协议，明确责任和义务。<br>
<br>
这几年，有关安全方面的投诉越来越多，其中一个很重要的原因就是大多数用户安全意识比较薄弱，不知道什么行为是允许的，什么行为是禁止的。这也是今后江苏电信IP网网络安全工作中亟需加强的一个部分。<br>
<br>
最后，我们还想在此呼吁，希望我国能尽快完善有关互联网安全方面的法律法规，对网络滥用、网络攻击等恶意行为进行规范，制定具体的惩治办法，以此来保护网络运营商的合法利益，也就是保护大部分合法用户的利益。<br>
<br>
Linux安全手册<br>
Linux 安全设置手册<br>
<br>
本文讲述了如何通过基本的安全措施，使你的Linux系统变得可靠。<br>
<br>
1、Bios Security<br>
一定要给Bios设置密码，以防通过在Bios中改变启动顺序，而可以从软盘启动。<br>
这样可以阻止别人试图用特殊的启动盘启动你的系统，还可以阻止别人进入Bios<br>
改动其中的设置（比如允许通过软盘启动等）。<br>
<br>
2、LILO Security<br>
在“/etc/lilo.conf”文件中加入下面三个参数：time-<br>
out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密<br>
码验证。<br>
<br>
第一步：<br>
编辑lilo.conf文件（vi /etc/lilo.comf）,假如或改变这三个参数：<br>
boot=/dev/hda<br>
map=/boot/map<br>
install=/boot/boot.b<br>
time-out=00 #把这行该为00<br>
prompt<br>
Default=linux<br>
restricted #加入这行<br>
password=&lt;password&gt; #加入这行并设置自己的密码<br>
image=/boot/vmlinuz-2.2.14-12<br>
label=linux<br>
initrd=/boot/initrd-2.2.14-12.img<br>
root=/dev/hda6<br>
read-only<br>
<br>
第二步：<br>
因为"/etc/lilo.conf"文件中包含明文密码，所以要把它设置为root权限读取。<br>
[root@kapil /]# chmod 600 /etc/lilo.conf<br>
<br>
第三步：<br>
更新系统，以便对“/etc/lilo.conf”文件做的修改起作用。<br>
[Root@kapil /]# /sbin/lilo -v<br>
<br>
第四步：<br>
使用“chattr”命令使"/etc/lilo.conf"文件变为不可改变。<br>
[root@kapil /]# chattr +i /etc/lilo.conf<br>
这样可以防止对“/etc/lilo.conf”任何改变（以外或其他原因）<br>
<br>
3、删除所有的特殊账户<br>
你应该删除所有不用的缺省用户和组账户（比如lp, sync, shutdown, halt,<br>
news, uucp, operator, games, gopher等）。<br>
删除用户：<br>
[root@kapil /]# userdel LP<br>
删除组：<br>
[root@kapil /]# groupdel LP<br>
<br>
4、选择正确的密码<br>
在选择正确密码之前还应作以下修改：<br>
修改密码长度：在你安装linux时默认的密码长度是5个字节。但这并不够，要把<br>
它设为8。修改最短密码长度需要编辑login.defs文件<br>
（vi /etc/login.defs），把下面这行<br>
PASS_MIN_LEN 5<br>
改为<br>
PASS_MIN_LEN 8<br>
login.defs文件是login程序的配置文件。<br>
<br>
5、打开密码的shadow支持功能：<br>
你应该打开密码的shadow功能，来对password加密。使用<br>
“/usr/sbin/authconfig”工具打开shadow功能。如果你想把已有的密码和组转<br>
变为shadow格式，可以分别使用“pwcov,grpconv”命令。<br>
<br>
6、root账户<br>
在unix系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记<br>
注销root账户，系统会自动注销。通过修改账户中“TMOUT”参数，可以实现此<br>
功能。TMOUT按秒计算。编辑你的profile文件（vi /etc/profile）,<br>
在"HISTFILESIZE="后面加入下面这行：<br>
TMOUT=3600<br>
3600，表示60*60=3600秒，也就是1小时。这样，如果系统中登陆的用户在一个<br>
小时内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的<br>
“.bashrc”文件中添加该值，以便系统对该用户实行特殊的自动注销时间。<br>
改变这