詳解保護Linux服務器七步驟
對于那些安裝Linux操作系統的人,主要是想有一個安全的操作系統,怎樣才能擁有一個安全的Linux服務器呢?許多剛接觸Linux的網絡管理員發現,他們很難由指向點擊式的安全配置界面轉換到另一種基于編輯復雜而難以捉摸的文本文件的界面。
本文列出七條管理員能夠也應該可以做到的步驟,從而幫助他們建立更加安全Linux服務器,并顯著降低他們所面臨的風險。
請任何大型機構的網絡管理員對Linux和網絡操作系統(如Windows NT或Novell)進行比較,可能他會承認Linux是一個內在更加穩定,擴展性更強的解決方案。可能他還會承認,在保護系統免受外部攻擊方面,Linux可能是三者中最難配置的系統。
這種認識相當普遍——許多剛接觸Linux的網絡管理員發現,他們很難由指向點擊式的安全配置界面轉換到另一種基于編輯復雜而難以捉摸的文本文件的界面。多數管理員充分認識到他們需要手工設置阻礙和障礙,以阻止可能的黑客攻擊,從而保護公司數據的安全。只是在他們并不熟悉的Linux領域內,他們不確定自己的方向是否正確,或該從何開始。
這就是本文的目的所在。它列出一些簡易的步驟,幫助管理員保障Linux的安全,并顯著降低他們面臨的風險。本教程列出了七個這樣的步驟,但您也可以在Linux手冊和討論論壇中發現更多內容。
保護根賬戶
Linux系統上的根賬戶(或超級用戶賬戶)就像是滾石演唱會上的后臺通行證一樣——它允許您訪問系統中的所有內容。因此,值得采取額外的步驟對它加以保護。首先,用密碼命令給這個賬戶設置一個難以猜測的密碼,并定期進行修改,而且這個密碼應僅限于公司內的幾個主要人物(理想情況下,只需兩個人)知曉。
然后,對/etc/securetty文件進行編輯,限定能夠進行根訪問的終端。為避免用戶讓根終端“開放”,可設置TMOUT當地變量為非活動根登錄設置一個使用時間;并將HISTFILESIZE當地變量設為0,保證根命令記錄文件(其中可能包含機密信息)處于禁止狀態。最后,制訂一個強制性政策,即使用這個賬戶只能執行特殊的管理任務;并阻止用戶默認以根用戶服務登錄。
提示:關閉這些漏洞后,再要求每一個普通用戶必須為賬戶設立一個密碼,并保證密碼不是容易識別的啟示性密碼,如生日、用戶名或字典上可查到的單詞。
安裝一個防火墻
防火墻幫助您過濾進出服務器的數據包,并確保只有那些與預定義的規則相匹配的數據包才能訪問系統。有許多針對Linux的優秀防火墻,而且防火墻代碼甚至可直接編譯到系統內核中。首先應用ipchains或iptables命令為進出網絡的數據包定義輸入、輸出和轉寄規則。可以根據IP地址、網絡界面、端口、協議或這些屬性的組合制訂規則。這些規則還規定匹配時應采取何種行為(接受、拒絕、轉寄)。規則設定完畢后,再對防火墻進行詳細檢測,保證沒有漏洞存在。安全的防火墻是您抵御分布式拒絕服務(DDoS)攻擊這類常見攻擊的第一道防線。
使用OpenSSH處理網絡事務
在網絡上傳輸的數據安全是客戶-服務器構架所要處理的一個重要問題。如果網絡事務以純文本的形式進行,黑客就可能“嗅出”網絡上傳輸的數據,從而獲取機密信息。您可以用OpenSSH之類的安全殼應用程序為傳輸的數據建立一條“加密”通道,關閉這個漏洞。以這種形式對連接進行加密,未授權用戶就很難閱讀在網絡主機間傳輸的數據。
禁用不必要的服務
大多數Linux系統安裝后,各種不同的服務都被激活,如FTP、telnet、UUCP、ntalk等等。多數情況下,我們很少用到這些服務。讓它們處于活動狀態就像是把窗戶打開讓盜賊有機會溜進來一樣。您可以在/etc/inetd.conf或/etc/xinetd.conf文件中取消這些服務,然后重啟inetd或xinetd后臺程序,從而禁用它們。另外,一些服務(如數據庫服務器)可能在開機過程中默認啟動,您可以通過編輯/etc /rc.d/*目錄等級禁用這些服務。許多有經驗的管理員禁用了所有系統服務,只留下SSH通信端口。
使用垃圾郵件和反病毒過濾器
垃圾郵件和病毒干擾用戶,有時可能會造成嚴重的網絡故障。Linux有極強的抗病毒能力,但運行Windows的客戶計算機可能更易受病毒攻擊。因此,在郵件服務器上安裝一個垃圾郵件和病毒過濾器,以“阻止”可疑信息并降低連鎖崩潰的風險,會是一個不錯的主意。
首先安裝SpamAssassin這個應用各種技術識別并標注垃圾郵件的一流開源工具,該程序支持基于用戶的白名單與灰名單,提高了精確度。接下來,根據常規表達式安裝用戶級過濾,這個工具可對收件箱接收的郵件進行自動過濾。最后再安裝Clam Anti-Virus,這個免費的反病毒工具整合 Sendmail和SpamAssassin,并支持電子郵件附件的來件掃描。
安裝一個入侵檢測系統
入侵檢測系統(IDS)是一些幫助您了解網絡改變的早期預警系統。它們能夠準確識別(并證實)入侵系統的企圖,當然要以增加資源消耗與錯誤線索為代價。您可以試用兩種相當知名的IDS:tripwire,它跟蹤文件簽名來檢測修改;snort,它使用基于規則的指示執行實時的信息包分析,搜索并識別對系統的探測或攻擊企圖。這兩個系統都能夠生成電子郵件警報(以及其它行為),當您懷疑您的網絡受到安全威脅而又需要確實的證據時,可以用到它們。
定期進行安全檢查
要保障網絡的安全,這最后一個步驟可能是最為重要的。這時,您扮演一個反派的角色,努力攻破您在前面六個步驟是建立的防御。這樣做可以直接客觀地對系統的安全性進行評估,并確定您應該修復的潛在缺陷。
有許多工具可幫助您進行這種檢查:您可以嘗試用Crack和John the Ripper之類的密碼破解器破譯您的密碼文件;或使用nmap或 netstat來尋找開放的端口;還可以使用tcpdump探測網絡;另外,您還可以利用您所安裝的程序(網絡服務器、防火墻、Samba)上的公開漏洞,看看能否找到進入的方法。如果您設法找到了突破障礙的辦法,其他人同樣也能做到,您應立即采取行動關閉這些漏洞。
保護Linux服務器是一項長期的任務,完成上述步驟并不表示你可以高枕無憂。還需要你經常的去維護你的Linux服務器。
Linux操作系統的強大功能讓很多人選擇去應用它,這就不得不說說Linux防火墻,Linux防火墻的安全性能讓很多用戶所鐘愛。你應用Linux防火墻可以實現不讓其他主機掃描本機。
如果企業網絡中有獨立防火墻的話,再也可以實現類似的限制。如有些企業部署了入侵檢測系統可以主動的阻止可疑的惡意行為,如NMAP掃描等等。但是NMAP命令結合一些選項使用,卻可以跟Linux防火墻或者入侵檢測系統躲貓貓。
雖然有的管理員質疑NMAP開發者提供這些選項的意圖,這些選項容易被攻擊者利用。但是工具沒有好壞,就看人怎么利用了。一些系統管理員往往利用NMAP命令的這些選項來提高網絡部署的安全性。如我就喜歡利用這個命令來跟防火墻等安全軟件玩躲貓貓的游戲。也就是說筆者偽裝成一個攻擊者,來測試這些安全系統能否阻擋我的攻擊或者能否在安全系統日志內留下我的蹤跡。換個角度思考,或許就能夠發現企業的安全漏洞。
類似的選項有很多。出于篇幅的限制,不能夠過多的闡述。我就只拿一些常用的選項來進行說明。
一、把報文進行分段。
像防火墻等類似的安全設備,都可以用來過濾掃描報文。但是這個過濾的策略并不是很安全。如現在利用NMAP命令的-f選項,可以將Tcp頭分段在好幾個包中。如此的話,防火墻或者入侵檢測系統中的包過濾器就很難過濾這個TCP包。從而可以讓SNMP掃描命令跟這些安全措施玩躲貓貓的游戲。
當使用-f選項時,一個20字節的TCP頭會被分割成三個包,其中兩個包分別有TCP頭的八個字節;另外一個包具有TCP頭剩下的四個字節。通常情況下安全措施所采用的包過濾器會對所有的IP分段進行排隊,而不會直接使用這些分段包。由于對報文進行了分段,那么這些過濾器就很難識別這些包的類型。然后這些包會在主機處重新進行整合,變成一個合法的TCP包。在大多數情況下這些安全措施應該禁止這些包。因為這些包會給企業的網絡帶來很大的性能沖擊,無論是防火墻或者終端設備都會受到影響。如Linux系統的防火墻中有一個配置項,就可以通過禁止對IP分段進行排隊而限制對TCP包進行分段。
可見nmap –f命令對防火墻等安全措施具有一定的欺騙性。我們剛好可以利用這個命令來測試我們所采用的安全軟件是否真的安全。據我了解,雖然這個安全隱患已經出現許多年了,但是現在不是所有的安全產品都能夠對此進行有效的預防。所以采用這個-f選項可以幫助系統管理員一針見血的判斷所采用的安全產品能否應對這個可能的攻擊。如在防火墻上設置禁止掃描,然后系統管理員再利用nmap –f命令無法得到應有的結果時,則表明防火墻策略有效。但是相反其仍然可以正常的返回結果(可能時間會長一點),則表明nmap –f命令可以成功的跟防火墻玩貓貓。系統管理員需要注意一下Linux防火墻的安全性了。
二、利用假的IP地址進行掃描。
通常情況下像防火墻或者客戶端電腦都可以記錄下訪問者的相關信息,如IP地址等等。為此如果采用nmap命令來進行掃描的話,那就會在防火墻或者客戶端主機上留下掃描著的IP地址。留下這個“罪證”對于掃描著可就非常不利了。另外在防火墻的配置上,系統管理員可能允許某個特定的IP地址可以進行掃描作業。而其他IP地址發出的掃描數據包都會被過濾掉。在這種情況下,無論是為了隱藏自己的真實身份,又或者是冒用合法地址進行NMAP掃描,都需要用到一種叫做源地址哄騙的技術。
說到這種技術,我不得不說說最近出現的一種手機詐騙手段,跟這個源地址哄騙非常類似。有時候我們會接到朋友打過來的電話或者發過來的短消息,要求我們匯錢過去。雖然此時手機上顯示的是朋友的手機號碼,其實發短信的人不一定是你的朋友。因為現在有一種技術可以把發送者的手機號碼進行修改。發送者想顯示什么號碼就是什么號碼。其實這個源地址哄騙跟這個手機號碼欺騙是類似的道理。通過“nmap –s 掃描者IP地址 被掃描者IP地址”這種方式,攻擊者可以把自己的IP地址隱藏掉,而采用一個假冒的IP地址。無論這個IP地址是否在網絡中存在,都可以使用。在防火墻或者操作系統的日志上顯示的都是偽裝過的那個IP地址。
為此在選購防火墻等安全產品的時候,Linux系統管理員可以利用nmap –s命令來測試防火墻是否具有應對源地址哄騙攻擊的手段。如先在Linux防火墻上啟用日志功能,然后利用nmap –s命令來掃描防火墻或者其他主機設備。再去查看相關的日志。看看這個日志中紀錄的IP地址信息是偽裝的IP地址還是掃描者真實的IP地址。通過這種方式就可以簡單的判斷出防火墻等安全產品能否應對類似的源地址欺騙攻擊。雖然日志記錄的攻擊者真實身份有點像放馬后炮,但是對于我們迅速查找攻擊者,防止其再次發動攻擊具有很大的價值。為此一些安全產品中需要具備一些源地址哄騙的預防功能。
三、利用誘餌實現隱蔽掃描。
通過源地址哄騙可以隱藏掃描者的身份,不過這種技術的話在一次掃描過程中之能夠偽裝一個IP地址。而目前比較流行的隱藏IP地址的方法是使用誘餌主機。簡單的說,非法供給者可以采用網絡中正在使用的幾個IP地址當作自己的IP地址,對網絡主機進行掃描。而安全設備的話,并不知道哪個IP地址是真實的IP地址。如在防火墻上可能會紀錄某個IP地址的5-8個端口掃描。這是一種比較隱蔽的隱藏自身IP地址的有效手段。
更有趣的是攻擊者還可以把自己的真實IP地址也放入進去,以增加攻擊的挑戰性,挑戰防守者的智慧。如系統管理員可以通過ME選項將自己的IP地址放入到誘餌IP地址當中。通常情況下把自己的IP地址放在靠后的位置,則防火墻就很難檢測到這個真實的IP地址。不過這個誘餌的IP地址數量不在于多,而在于精。如把這一些具有比較高的權限的IP地址(如在Linux服務器上根據IP地址來實現一些防火墻策略)加入到誘餌主機列表中,將起到出奇制勝的效果。而過多的誘餌地址反而會使得掃描時間過長或者結果不準確。最要命的是可能會導致被掃描網絡性能下降,從而引起對方網絡管理員的注意。
其實誘餌技術現在也有了預防的方法。如通過路由追蹤、響應丟棄等方法,可以用來防止攻擊者使用誘餌隱蔽掃描。有時候這種安全機制對于企業很重要。因為誘餌隱蔽攻擊不但可以秘密收集到企業網路主機的重要信息,為其后續攻擊做好準備。而且nmap –D命令還容易引起SYN洪水攻擊。如當非法攻擊者所采用的誘餌主機并不在工作狀態時,就會對目標主機發起SYN洪水攻擊。這是一個比較危險的攻擊手段。
既然現在已經有了解決方案來應對誘餌隱蔽掃描,那么Linux系統管理員或者網絡工程師所要做的就是來測試防火墻或者其他的安全產品是否提供了類似的解決方案。有時候往往不能夠光靠對方業務員的描述,而需要我們來進行測試。那么利用這個nmap 命令顯然可以幫助我們來進行這方面的測試。
在nmap命令中,類似的選項還有很多。如可以通過source-port選項,來實現源端口哄騙;如利用date-length選項,在發送報文時附加有害的數據;通過spoof-mac選項,實現MAC地址哄騙,這個跟源地址欺騙結合可以讓MAC地址與IP地址捆綁等安全策略失效;等等。這些選項如果被非法攻擊者利用,無疑會威脅到Linux網絡的安全。但是,如果我們能夠事先采用這些選項來測試自己網絡與主機的安全性,并率先把這些漏洞補上了。
那么非法攻擊者也只好無功而返了。所以我認為工具無所謂好壞,主要就看使用者的心態了。為此我建議各位不妨利用NMAP命令跟自己企業的Linux防火墻等安全產品玩玩躲貓貓的游戲,來判斷一下所謂的安全防護體系是否真的安全。
計算機世界里微軟稱霸,不過Linux也走出了自己之路,你是在應用Linux桌面系統么?你對于Linux桌面系統了解么?Linux是GNU/Linux桌面系統的泛稱,其典型代表是Ubuntu 9.10發行版。計算機預裝Linux是人們多年來的夢想。如今,這個夢想終于實現了。此話當真?
Ubuntu 9.10中的各類程序bugs,目前還有7萬6千個左右,呈現波浪式下降趨勢。根據明顯的道理,如果局限在某一特定款式的計算機硬件體系上,這種bugs總數將急劇下降。Dell公司內部有一支力量強大的測試團隊,掃除程序bugs,實現完美預裝,專門對付這種局面。近日,Dell推出mini 10和mini 10v兩種新款式的上網本,預裝 Ubuntu 9.10(Dell修訂版)桌面系統,被業內專家(如:Steven J. Vaughan-Nichols)稱為上網本之精品(見Dell官方網站)。
Dell的這兩款新機型,采用Intel最新的低功耗Pine Trail芯片組(Atom N450,1.66GHz),可連續運行10小時(6-Cell電池),11.1英寸顯示屏,1GB內存,64GB固態硬盤,重3磅,無線上網,支持藍牙,6種外觀顏色,等等,定價僅為299美元。從mini 10的18張不同角度的圖片來看,這款新機型一定讓你心動。
從2007年5月,Dell公司就出售Ubuntu電腦,至今已有兩年半了。Dell mini 10上網本宣告了一個新時代的到來:低價格、高性能的上網本登上了歷史舞臺,這是新一代上網本的標桿性代表作。這種產品為何不能到中國來銷售?原因很簡單,2千元人民幣買回家,再裝上盜版Win 7,身價頓時就會倍增(5千元人民幣一臺)。在購置電腦方面,某些國人很舍得花錢,上網本也要預裝Win 7旗艦版(6千元一臺),顯得個人身價很高。這些人的手機也要玩數千元款式的新潮手機(我的新手機360元),他們對Linux電腦根本不屑一顧。
我相信,我周邊的人并不都是很富裕,對4~5千元的上網本也會嫌貴。由此,我主張大家玩U盤。昨晚,我去喀納斯專賣店(www.Kanasshop.com)轉悠了一趟,發現4GB的自啟動U盤才85元人民幣一塊,其實,一般而言,Ubuntu 9.10中文定制版只占U盤的800多MB的空間(專門壓縮格式),用2GB的U盤就已足矣,價格還有進一步下降的余地。一塊小小的U盤(比如,內裝Mint 8)可使你的電腦煥然一新,何樂而不為?
說明:Live USB(即自啟動U盤,不是LiveCD)的本意就是直接從U盤啟動操作系統,未必一定要包含操作系統的安裝功能。如果你想把U盤內容安裝到自己的硬盤上去,那就得自己另外想法子了。也許在未來Linux桌面系統也學會趕超微軟。
【編輯推薦】
