0240network-secure-1.htm

鸟哥LINUX 学习课本

定密码是跟他的账号相同比较好记，您就答应他！等到人家用他的密码登入您的主机，并破坏您的主机，那可就得不偿失了！如果是大企业的话，那么<font color="#000066">员工使用网络时，也要分等级的呢</font>！
^_^</ul>

<ul>
<li>
<font color="#000099">主机环境安全化：</font></li>

<br>没什么好讲的，除了多关心，还是多关心！仔细的分析登录档，常常上网看看最新的安全通告，这都是最基础的！还包含了以最快的速度更新有问题的套件！因为，越快更新您的套件，就越快可以杜绝黑客的入侵！</ul>

<ul>
<li>
<font color="#000099">防火墙规则的订定：</font></li>

<br>这部份比较麻烦一些啦！因为您必需要不断的测试测试再测试！以取得最佳化的网络安全设定！怎么说呢？要晓得的是，如果您的防火墙规则订定得太多的
时候，那么一个数据封包就要经过越多的关卡才能完整的通过防火墙，以进入到主机内部！嘿嘿！这可是相当的花费时间的！会造成主机的效能不彰！特别留意这一
点呢！</ul>

<ul>
<li>
<font color="#000099">实时维护您的主机：</font></li>

<br>就像刚刚说的，您必需要随时维护您的主机，因为，防火墙不是一经设定之后就不用在再他了！因为，再严密的防火墙，也会有漏洞的！这些漏洞包括防火规则设定不良、利用较新的侦测入侵技术、利用您的旧软件的服务漏洞等等！所以，必需要实时维护您的主机呀！这方面除了分析
log files 之外，也可以藉由实时侦测来进行这个工作！例如 PortSentry 就是蛮不错的一套软件呢！</ul>

<ul>
<li>
<font color="#000099">良好的教育训练课程：</font></li>

<br><font color="#000000">不是所有的人都是计算机网络高手，尤其虽然现在信息爆炸，但是仍然有很多的机会会遇到计算机白痴呀！这个时候，要晓得的是，我们对于内部网域通常没有太多的规范，那如果他用内部的计算机去做坏事怎么办？！有时候还是无心的～挖哩～所以说，需要特别的教育训练课程呀！</font></ul>

<ul>
<li>
<font color="#000099">完善的备份计划：</font></li>

<br>天有不测风云，人有旦夕祸福呀！什么人都不知道什么时候会有大地震、我们也都不知道什么时候会突然的硬盘挂掉去～所以说，完善的备份计划是相当重要的！！这一部份请参考一下
<a href="http://linux.vbird.org/linux_basic/0580backup.php">鸟哥的
linux 私房菜--基础学习篇之Linux 主机备份</a> 的内容吧！</ul>
反正呦，就是要花蛮多心力在上面的就是了！不然，真的会一天到晚接到您的主管、您的用户、您的客户哇哇大叫的呦！
^_^""！而为了让您这个管理的工作可以做的比较轻松，学习 BASH Shell 以及会使用到的程序语言，尤其是
Linux 上面惯用的 C ，则也是挺重要的吶！</blockquote>

<hr width="100%"><a name="repaire"></a><font size="+1" color="#000099">被入侵后的修复工作：</font>
<ol>所谓『百密一疏』啊，人不是神，总会有考虑不周的情况，万一您的主机就因为这『一疏』导致被入侵了，那该怎么办？由上面的说明当中，我们知道『木马』是很严重的，因为他会在您的系统下开个后门(Back
door)让攻击者可以登入您的主机，而且还会窜改您 Linux 上面的程序，让您找不到该木马程序！怎么办？很多朋友都习惯『<font color="#000066">反正只要将
root 的密码改回来就好了</font>』这样的观点，事实上，那样一部主机还是有被做为中继站的危险啊！所以，<font color="#000066">万一您的主机被入侵了，最好的方法还是『重新安装
Linux 』会比较干净</font>！那该如何重新安装呢？很多朋友一再地安装，却一再地被入侵～为什么呢？因为他没有『记取教训』啊！呵呵！底下我们就来谈一谈，一部被入侵的主机应该如何修复比较好？
<br>　
<ol>
<li>
<font color="#000099">立即拔除网络线：</font></li>

<br>既然发现被入侵了，那么第一件事情就是拿掉网络功能！拿掉网络功能最简单的作法自然就是拔掉网络线了！事实上，拿掉网络线最主要的功能除了保护自己之外，还可以保护同网域的其它主机。怎么说呢？举个最近
(2003/08) 发病的疾风病毒好了，他会感染同网域之内的其它主机喔！所以，拔除网络线之后，远程的攻击者立即就无法进入您的
Linux 主机，而且您还可以保护网域内的其它相关主机啊！
<br>　
<li>
<font color="#000099">分析登录文件信息，搜寻可能的入侵途径：</font></li>

<br>被入侵之后，决不是只要重新安装就好，还需要额外分析『<font color="#000066">为什么我的主机这一次会被入侵，对方是如何入侵的？</font>』，如果您能够找出问题点，那么不但您的
Linux 功力立刻增强了，主机也会越来越安全喔！而如果您不知道如何找出被入侵的可能途径，那么重新安装后，下次还是可能被以同样的方法入侵啊！粉麻烦的啦！好了，那该如何找出入侵的途径呢？
<ul>
<li>
<b><font color="#000066">分析登录档</font></b>：低级的 Cracker 通常仅是利用工具软件来入侵您的系统，所以我们可以藉由分析一些主要的登录档来找出对方的
IP 以及可能有问题的漏洞。可以分析 /var/log/messages, /var/log/secure 还有利用
last 指令来找出上次登入者的信息。</li>

<li>
<b><font color="#000066">检查主机开放的服务</font></b>：很多 Linux 使用者常常不晓得自己的系统上面开了多少的服务？我们说过，每个服务都有其漏洞或者是不应该启用的增强型或者是测试型功能，所以，找出您系统上面的服务，并且检查一下每个服务是否有漏洞，或者是在设定上面有了缺失，然后一个一个的整理吧！</li>

<li>
<b><font color="#000066">查询 Internet 上面的安全通报</font></b>：透过安全通报来了解一下最新的漏洞信息，说不定您的问题就在上面！</li>
</ul>
　
<li>
<font color="#000099">重要数据备份：</font></li>

<br>主机被入侵后，显得问题相当的严重，为什么呢？因为主机上面有相当重要的数据啊！如果主机上面没有重要的数据，那么直接重新安装就好了！所以，被入侵之后，检查完了入侵途径，再来就是要备份重要的数据了。好了，问个问题，什么是『<font color="#000066">重要数据</font>』？
who, ps, ls 等等指令是重要数据吗？还是 httpd.conf 等设定文件是重要数据？又或者是
/etc/passwd, /etc/shadow 才是重要数据？呵呵！基本上，重要的数据应该是『<font color="#000066">非
Linux 系统上面原有的数据</font>』，例如 /etc/passwd, /etc/shadow, WWW 网页的数据,
/home 里面的使用者重要档案等等，至于 /etc/*, /usr/, /var 等目录下的数据，就不见得需要备份了。注意：不要备份一些
binary 执行文件，因为 Linux 系统安装完毕后本来就有这些档案，此外，这些档案也很有可能『已经被窜改过了』，那备份这些数据，反而造成下次系统还是不干净！
<br>　
<li>
<font color="#000099">重新全新安装：</font></li>

<br>备份完了数据，再来就是重新安装 Linux 系统了。而在这次的安装中，您最好选择适合您自己的安装套件即可，不要全部套件都给他安装上去啊！挺危险的！
<br>　
<li>
<font color="#000099">套件的漏洞修补：</font></li>

<br>记得啊，重新安装完毕之后，请立即更新您的系统套件，否则还是会被入侵的啦！我喜欢先在其它比较干净的环境下将
Internet 上面的漏洞修补套件下载下来，然后烧录起来，然后拿到自己的刚刚安装完成的系统上面，mount
CD 之后全部给他更新，更新之后，并且设定了相关的防火墙机制，同时进行下一步骤『<font color="#000066">关闭或移除不需要的服务</font>』后，我才将网络线插上主机的网络卡上！因为我不敢确定在安装完毕后，连上
Internet 去更新套件的这段时间，会不会又受到入侵攻击说....
<br>　
<li>
<font color="#000099">关闭或移除不需要的服务：</font></li>

<br>这个重要性不需要再讲了吧？！启用越少的服务，系统当然可以被入侵的可能性就比较低。
<br>　
<li>
<font color="#000099">数据回复与恢复服务设定：</font></li>

<br>刚刚备份的数据要赶紧的复制回来系统，同时将系统的服务再次的重新开放，请注意，这些服务的设定最好能够再次的确认一下，避免一些不恰当的设定参数在里头喔！
<br>　
<li>
<font color="#000099">连上 Internet：</font></li>

<br>所有的工作都进行的差不多了，那么才将刚刚拿掉的网络线接上来吧！恢复主机的运作了！</ol>
　
<br>经过这一连串的动作后，您的主机应该会恢复到比较干净的环境，此时还不能掉以轻心，最好还是参考防火墙的设定，并且多方面的参考
Internet 上面一些老手的经验，好让您的主机可以更安全一些！</ol>

<hr width="100%"><a name="review"></a><font size="+1" color="#000099">重点回顾</font>：
<ul>
<li>
<font color="#000066">要管制登入主机的 Client ，得要了解 TCP 封包。 TCP
封包分为 Header 与 Messages 两部份，其中， Header 里面最重要的信息包含目的端与来源端的
IP 与 Port ，还有一些旗标，例如 SYN/ACK 等等；</font></li>

<li>
<font color="#000066">TCP 封包要进入我们 Linux 本机，至少需要通过 IP Filter,
super daemon/TCP Wrappers, Daemons, 密码验证功能 等等步骤；</font></li>

<li>
<font color="#000066">一些所谓的黑客软件，都是透过您的 Linux 上面的套件漏洞来攻击
Linux 主机的；</font></li>

<li>
<font color="#000066">套件升级是预防被入侵的最有效方法之一；</font></li>

<li>
<font color="#000066">良好的登录档分析习惯可以在短时间内发现系统的漏洞，并加以修复。</font></li>
</ul>

<hr width="100%"><a name="reference"></a><font size="+1" color="#000099">参考数据</font>
<ul>
<li>
<font color="#000000">台湾计算机危机处理小组：<a href="http://www.cert.org.tw/" target="_blank">http://www.cert.org.tw/</a></font></li>

<li>
<font color="#000000">Windows 的漏洞通报网站：<a href="http://www.microsoft.com/taiwan/download/" target="_blank">http://www.microsoft.com/taiwan/download/</a></font></li>

<li>
<font color="#000000">Mandrake security：<a href="http://www.mandrakesecure.net/en/docs.php" target="_blank">http://www.mandrakesecure.net/en/docs.php</a></font></li>

<li>
<font color="#000000">Red Hat update：<a href="http://www.redhat.com/apps/support/errata/" target="_blank">http://www.redhat.com/apps/support/errata/</a></font></li>
</ul>

<hr width="100%"><a name="ex"></a><font size="+1" color="#000099">课后练习</font>：
<ul>
<li>
我老是发现我的系统怪怪的，似乎有点停顿的模样，怀疑可能是 CPU 负荷太大，所以要去检查一下系统相关的信息。请问，我该以什么指令去检查我的系统相关的信息？</li>

<li>
我怀疑我的系统上面有过多的具有 SUID 的档案存在，导致一般使用者可以随意的取得
root 的权限，请问，我要如何找出这些具有 SUID 权限的档案？</li>

<li>
我由国内一些 ftp 网站上下载了 Red Hat 公司释出的套件，我想安装他，但又不知道该套件档案是否被修改过！请问我该如何确定这个套件的可用性？</li>

<li>
良好的密码规划是防备主机的第一要务，请问 Linux 系统当中，关于密码相关的档案与规则设定在哪些档案里面？</li>

<li>
简易说明，当一部主机被入侵之后，应该如何处理？</li>

<br><a href="http://linux.vbird.org/linux_server/1000results.php#0240network-secure-1">前往参考用解答</a></ul>

<center><font size="+1" color="#3333ff" face="SimSun"><a href="http://linux.vbird.org/linux_server/0240network-secure-1.php" target="_self">认识网络安全</a></font></center>

<hr width="100%"><font size="-1" color="#000066" face="SimSun">2002/08/12：第一次完成日期！</font>
<br><font size="-1" color="#000066" face="SimSun">2003/08/23：重新编排与增加重点回顾、课后练习</font>
<br>
<hr width="100%"><font size="-1" color="#3333ff" face="SimSun">2002/08/12
以来统计人数</font>
<br><img src="0240network-secure-1_files/Count.gif" nosave="" align="middle" height="15" width="60"><hr width="100%">
<center>
<a href="http://linux.vbird.org/" target="_top"><img src="0240network-secure-1_files/VBirdTitle2.jpg" nosave="" border="0" height="25" width="90"></a>
<a href="http://linux.vbird.org/linux_basic"><img src="0240network-secure-1_files/icon_system.gif" nosave="" border="0" height="25" width="90"></a>
<a href="http://linux.vbird.org/linux_server"><img src="0240network-secure-1_files/icon_server.gif" nosave="" border="0" height="25" width="90"></a>
<a href="http://linux.vbird.org/linux_security"><img src="0240network-secure-1_files/icon_security.jpg" nosave="" border="0" height="25" width="90"></a>
<a href="http://phorum.vbird.org/" target="_blank"><img src="0240network-secure-1_files/icon_forums.gif" nosave="" border="0" height="25" width="90"></a>
<a href="http://linux.vbird.org/adsl"><img src="0240network-secure-1_files/icon_adsl.gif" nosave="" border="0" height="25" width="90"></a>
<br><font size="-1" color="#000066">Designed by <a href="mailto:vbird@tsai.adsldns.org">VBird</a>
during 2001-2004.&#160; Aerosol Lab.</font></center>
</body></html>