如何在互联网上保护 Linux 系统
前言
互 联网上有许多企业公司和组织采用 作为服务器平台。当这些服务器与互联
网连接以提供应用服务时,不可避免地会成为攻击目标。本文讨论 系 统安全配置的
一些关键步骤,以帮助你保护 系统。虽然在这里以 为例子,但也应该
适用于其它 发行版本。
安装
配置系统安全的头一步最好是在系统的开始——操作系统的安全。因为配置的是防火
墙,所以你绝对不能信任任何以前的系统安装和配置,而应该从全新安装开始,才能真正
保证系统安全的完整性。
使 你的系统处于单独(或隔离)的网络中。决不要让未受保护的系统连接到其它网
络或互联网中受到可能的攻击。按我个人的经验,一个连接到互联网的新安装系统可 以在
分钟内被扫描和入侵取得完全控制权。你可能需要另一台机器从互联网获取重要工具和
安全补丁等等,然后再从这些机器将其传送到单独的“配置网络” 中。
当把将要作为未来防火墙的机器放置于隔离的网络中时,就可以开始下一步了。 第
一步是选择操作系统将要安装的软件包。对于 ,提供了三种安装选择:
(工作站)、(服务器)、(定制,缺省选项)。我个人强
烈推荐“定制”,因 为这允许你选择添加哪些服务和硬盘如何分区。安装策略是在维持最大
化效率时进行“最小化”安装。系统中的软件越少,潜在的安全漏洞就会越少。例如,如果
你 不需要 或 ,就不要安装它。 系统有一个好处就是如果
你后来改变了想法,也是很容易添加所需软件包的。不管选择了哪种安装方式,手册页和
文档都应该是必不可缺的。虽然可能会使系统增加一点点风险,但它们有时确实
特别有用。
如果选择了“定制”安装,会被提示进行硬盘分区。我个人通常喜欢使根分区尽可能地
大,并且把所有东西都放在那里。然后,我们确实需要创建几个分区以保护根分区。因为
如果根分区被例如系统日志或电子邮件等数据塞满的话,就会出现拒绝服务,甚至有可能
使系统崩溃。
因 此,我总是推荐为! 设置一个单独的分区。! 是用于存放系统所有日志和电
子邮件的地方,将! 分区独立出来,就能够有效地保护根分区被这些 数据塞满。对于许
多网络环境,为! 分区设置不少于 "#$ 基本上就足够了。另外可以考虑为某些特定
的服务或应用创建或保留单独的分区,特别是敏感 的日志记录。如果系统中存在不可完全
信任的用户,也许应该为!% 创建单独的分区,这样可以避免恶意用户轻易攻击!根分
区。对于一台独立服务器以下是 一个分区实例:
!&'%(!&"#$)&(*'(%+#$)
评论0
最新资源