Linux服务器和网络安全
最危险的威胁,内部网络是互联网接入。网关系统(或其他硬件设备)和至少两个网络接口,一个接口连接到因特网的(通过一个ISP连接)和至少一个接口连接到一个内部的区段。就像一个网关允许交通,走出你的局域网到因特网,它还允许从互联网流量到你的局域网。诀窍是只让你想要在你的局域网流量,并不是件容易的壮举。你可以承担法律责任,如果有人黑客进入你的局域网和窃取机密数据(社会保障号码、信用卡号码等),你保持在你的客户或客户。蠕虫或木马可以种发送密码或其他敏感信息在互联网上向等待嗅探器。风险是许多和后果可能威胁到很贵公司的存在。它并不少见,大型机构如银行和保险公司拒绝紧迫的指控黑客只是因为他们不想负面新闻和信心的丧失,他们将受到公诉的结果由地方检察官。
“多宿主”(多连接)系统,例如网关并不是唯一的安全风险。一个服务器,它仅仅是连接到互联网,比如一个Web服务器,也在被入侵的风险。你可能不在乎一些黑客在defaces裂缝和您的Web页面。你只是重新加载页面。但还有其他的,更可怕的,攻击并不少见:
您的服务器可以用作一个基地的袭击的其他系统可以启动。
您的电子邮件服务器可以被用作一个中继垃圾信息散布者。
你的系统可以偷偷地用作一个IRC(聊天服务器或为其他一些应用程序性能图象密集偷来自两您的服务器和网络连接。
你可能是目标的DoS(拒绝服务)攻击从而导致你的服务器(电子邮件或网络),和你的网络连接,无用的。
互联网服务器,使用SSL来收集敏感信息,比如信用卡号码或账号和密码都是黑客的目标,为了访问设备,这个数据存储。(SSL仅保护传输中的HTTP流量。它不为操作系统或服务器安全。)
解决安全问题是其中的一个例子,“一盎司的预防功夫即可抵过一磅的治疗”。黑客可以做不可估量的损害,如果他们进入您的系统或网络。而且因为黑客学习他们的贸易在地下电子社区,如果你发现一个进入你的系统,你可以打赌他们会让其他人知道它。
如果你的公司有公有地址空间与一个可用的IP你可能想要做个小测试只是笑。做一个full-boat Debian安装(包括所有你能想到的互联网应用程序),将在互联网上的系统。它不需要域名与DNS记录,只是一个静态的公共IP地址。它设定了与Apache,Sendmail,wu_ftpd、telnet和任何其他的服务运行,就让它坐在那里。检查/ var / log /消息文件每个星期左右,看看它需要多长时间黑客找它,开始使用它。在我尝试此他们把所有的两周。因为没有办法告诉他们做什么他们访问期间,你最好完全wack分区,做一个硬盘上安装从头开始当你需要复用系统作为一个生产服务器。
建立这样一个系统实际上是一个新的安全工具,新兴的。这叫做设置一些“蜜罐”。黑客被吸引到honey-pot的,因为它是最灵敏,而且正在制定远离你的生产服务器。你的honey-pot部署之前,您可能想要挂一个磁带驱动器系统做一个完整的备份,这样你就能回到原态一旦泄露。再一次,三个人才是没有办法真的什么都知道,黑客可能做的到你的系统一旦他们得到这样唯一安全的事情要做的就是重新开始。监控你的honey-pot定期将让你知道当事情发生,这样你就可以用更加关注你的生产服务器。
不要总是假定“不可信”网络你试图保护自己远离是互联网。如果你有vpn或其他类型的网络连接建立商业伙伴或者甚至其它部门在同一个公司,你必须留心为未经授权的访问尝试这些网络。“不要相信任何人”是一个很好的要遵循的原则谈到系统和网络安全。
做你的家庭作业
随着所获得的利益属于你自己的网络服务器带来相应的责任就如何保护这些服务器。覆盖这个主题超出以外的其它任何肤浅的方式超出了任何单一的Web页面的范围。这里我们唯一现存的概述一些常见的工具,用于帮助确保一个互联网连接服务器。这绝不是全面的和应该只作为介绍这个主题。
安全措施可以分为以下四个广泛的分类:
操作系统配置——“加固”操作系统
应用程序配置——确保你做的服务器应用程序可以只做他们应该做什么
周边安全——配置您的网络基础设施防火墙与dmz
物理安全——只有经过授权的用户和系统应该访问的网络基础设施
不同的出版物可能分类事物的不同,但是这是产生的后果很小。重要的是,这样做可以让你“分而治之”的方法来处理所有的各方面参与保护网络,它的服务器上,并对它们所包含的信息。
OS配置
硬化操作系统涉及许多事情不仅是特定于操作系统,但可能经常会随从一个“味”的一个操作系统到另一个。典型的步骤包括:
禁用所有默认的帐户和分组,是不需要的。当一个操作系统安装它建立了相当多的用户帐户和组默认情况下。(试着登录到你的Debian系统使用用户名新闻和能走多远,你可以浏览你的系统的文件系统和哪些文件可以猫对屏幕)。有一条线,在/ etc / passwd文件中,每个用户。每行包含不同的信息由冒号(:)分隔与最后一个项目被用户的默认shell(通常在Bash shell)。禁用用户帐户,只要改变默认的shell / bin /假,所以他们不能登录。
改变你的启动配置,因此只有必要的服务正在运行。许多服务打开TCP / IP“港口”,黑客发现对系统运行时端口扫描。(许多应用程序负责开始服务)。关闭所有不必要的港口是常见的做法。您可以运行一个端口扫描器从另一个系统来对付你的服务器来查看哪些端口是打开的。
配置文件系统安全(使用chmod和chown命令),因此只有最低限度的文件和目录的访问是允许的。
利用强大的(大小写混合,alpha-numberic long)上的密码帐户都是必要的。
不要使用通用名称组水平已经很高了访问(例:“管理员”)。
使用TCP wrappers(tcpd会)来运行互联网守护进程并正确配置主机。允许和主机。否认文件来限制访问。
不要运行GUI如果你不需要一个从未离开一个GUI运行在服务器没有被用于交互式控制台会话。
服务器控制台注销的,当她们不被使用。这是网络系统来说尤其重要。
页:
[1]