加強Linux桌面安全
簡介
對計算機的惡意攻擊與日俱增。盡管編寫的用于攻擊 GNU/Linux 系統的病毒比 Windows 系統少得多,但 GNU/Linux 病毒確實存在。此外,可感染運行 Linux 的計算機的其他類型的惡意軟件的數量(以及純攻擊數量)也在不斷增長。最近 Wirenet.1 攻擊了運行 Linux 和 Mac OS X 的計算機。該惡意軟件盜竊了存儲在計算機上的 Internet 瀏覽器、電子郵件客戶端和即時消息工具中的密碼和其他信息。
增強Linux桌面安全性 使用易用的工具維護系統安全[圖文] http://www.linuxidc.com/Linux/2008-12/17702.htm
關于安全性的流言是如何流傳的
在惡意攻擊者的焦點是惡作劇時,Windows 系統是主要的目標,因為該系統容易使用,而且許多無經驗的用戶都購買它們。一些攻擊的動機是為 Microsoft 帶來負面形象,Microsoft 被認為是不支持開源社區的公司。這些攻擊在計算領域中助長了 Windows 安全性很脆弱的流言。
獨立于平臺的環境(比如 OpenOffice.org、Perl 和 Firefox)也未能幸免于難。舉例而言,我們在運行 Windows、Mac OS X 和 Linux 的機器上都發現了 Dropper.MsPMs — 一個惡意的 Java 歸檔 (JAR) 文件。
一些惡意的包是專為 GNU/Linux 編寫的。rootkit 是一個允許攻擊者獲得計算機上的 root(管理員)帳戶訪問權限的工具集合,它是和特洛伊密碼一樣的惡意軟件系列中的一部分。這些惡意軟件包具有不同的名稱,比如 tOrn 和 ARK。
防御惡意軟件
許多因素決定了系統的安全程度,但最重要的是系統的配置方式。本文將介紹 GNU/Linux 桌面的配置。通過執行一些步驟來正確配置您的計算機系統,從而保障計算機的安全。首先從反病毒保護開始。
安裝反病毒保護軟件:ClamAV
ClamAV 是一個開源 (GPL) 反病毒引擎,其設計目標是檢測特洛伊木馬、病毒、惡意軟件和其他惡意威脅。安裝它時,您可以指定希望手動運行該程序,還是通過將它連接到后臺進程讓它持續運行。對于桌面,以后臺進程形式運行該程序最為理想,因為在這種狀況下您仍然可以選擇執行手動掃描。
要將 ClamAV 安裝為持續運行的后臺進程,可執行以下步驟:
1.打開計算機并登錄。
2.在菜單欄中,單擊 Applications > Accessories > Terminal。
3.在啟動終端后,輸入以下命令:
- sudo apt-get install clamav-daemon
4.在系統提示您時,輸入您的密碼。
這么做會安裝一個名為 clamav-freshclam 的包,它是 ClamAV 應用程序的更新程序包。
5.您現在會看到一條消息,提醒您安裝該軟件時需要使用多大的磁盤空間。在提示符上輸入 Y 來開始安裝。
安裝流程只需兩分鐘的時間。完成安裝后,您將看到一個警報,指出您的病毒數據庫是 x 天以前的,您應該使用以下的一系列步驟來更新它。
6.在提示符下,運行命令 sudo freshclam。
運行 freshclam 會將病毒定義更新為最新版本。保持定義最新非常重要,因為這是 ClamAV 識別惡意軟件的方式。
病毒定義 是惡意軟件程序所獨有的代碼模式。反病毒掃描器將您文件的內容與病毒定義數據庫中的代碼模式進行比較。如果找到匹配值,該程序會提醒您計算機上有一個受感染的文件,并阻止該文件中的代碼執行。
如果惡意軟件的某個特定部分的定義未在您的病毒定義數據庫中,那么反病毒掃描器無法知道它就是惡意代碼,因此會讓它繼續運行,并承受執行它所帶來的損害。定期更新您的定義,以提供最全面的保護。
啟動 ClamAV
ClamTk:您的反病毒應用程序的 GUI
如果不喜歡從終端工作,那么可以選擇為 ClamAV 安裝一個名為 ClamTk 的 GUI。這個 GUI 可以使用 Ubuntu 中的 Add/Remove Applications 工具輕松安裝。完成安裝之后,單擊 Applications > System Tools > Virus Scanner 運行它。
在更新病毒定義后,就可以啟動 ClamAV 了。要對您的主文件夾運行手動掃描,可以轉到終端提示符并輸入 clamscan。完成 clamscan 命令后,您會看到一個關于掃描了多少目錄和文件以及找到了有多少受感染文件的報告。
要以后臺進程形式運行 ClamAV,可以轉到終端提示符并輸入 clamdscan。clamdscan 命令創建了一個名為 ClamAV 的用戶。然后,您可以將此用戶添加到擁有您想要掃描的文件的組中。
通過 rkhunter 防御 rootkit
GNU/Linux 用戶面對的最危險的惡意軟件或許是 rootkit。Rootkit Hunter (rkhunter) 和 chkrootkit 程序會在桌面上掃描可疑的文件,攻擊者可能安裝這些文件來獲取您計算機的控制權。
要安裝 rkhunter(查找并刪除 rootkit 的最優秀程序之一),可執行以下步驟:
1.要導航回終端,可單擊 Applications > Accessories > Terminal。
2.在終端 shell 中,輸入以下命令:
- sudo aptitude install rkhunter
3.在收到一條告訴您該軟件需要使用多少空間的消息后,輸入 Y 開始安裝。
rkhunter 安裝后,您可運行它來檢查桌面中的攻擊破壞。轉到終端提示符并輸入 sudo rkhunter --check。
如果 rkhunter 正確運行,您會看到一個在旁邊包含詞匯 OK 或 Warning 的目錄列表。啟動后,rkhunter 會執行多種類型的掃描。一次掃描完成后,按下 Enter 鍵開始下一次掃描。掃描類型包括:
- 目錄
- 桌面上的攻擊破壞
- 常用于后門訪問的端口
- 啟動文件、組和帳戶、系統配置文件和文件系統
- 應用程序
所有掃描都完成后,rkhunter 將為您提供一份報告,并使用結果創建一個日志文件。
和 ClamAV 一樣,您需要定期更新 rkhunter,以便它可以檢測最新的漏洞和攻擊破壞:
1.從終端輸入 sudo rkhunter --update。
2.在系統提示您時輸入您的密碼。
使用 Tiger 掃描您的系統
在安全性方面,建立基準是您可做的最重要的事情之一。從這里,您可以確定是否有任何內容被篡改,因為篡改會修改基準內容。如果安裝一個 Office 辦公套件,您也會修改基準,但您已經能批準進行此添加。如果在您的機器上安裝了一個惡意軟件,對基準的檢查也會發現這個惡意軟件。
大多數人都不了解如何手動創建其計算機配置的基準。但是,一個名為 Tiger 的程序會審核計算機系統,查看是否修改了任何內容。如果內容被修改,該軟件會提供一個錯誤代碼。
要將 Tiger 安裝在 Ubuntu 桌面上,請先打開終端。從這里運行以下命令:
sudo aptitude -y install tiger
該命令將 Tiger 軟件放在您的機器上。現在,您需要運行它。
在終端仍處于打開狀態的情況下,運行 sudo tiger 來創建一個安全問題報告,將該報告保存到 /var/log/tiger 中。該文件的名稱常常包含計算機的主機名,后跟日期和時間,例如 security.report.hostname.121220-8:46。該文件的名稱會在報告完成時提供給您。
要查看報告,可運行 sudo gedit 并包含 /var/log/tiger 和文件名。使用此示例,該命令為:
- sudo gedit /var/log/tiger/security.report.hostname.121220-8:46
該報告隨后會提供它找到的問題的錯誤代碼。您可以在線查找每個錯誤代碼的含義。
使用防火墻
您應采取的下一個預防性步驟是使用內置于操作系統中的防火墻。在默認情況下,Ubuntu 會在每個發行版上運行 iptables 作為防火墻。在安裝防火墻之后,該防火墻的默認設置會允許所有傳入和傳出的流量。要有效地使用防火墻,您需要創建規則來鎖定桌面。
您可以通過終端配置 iptables 來編寫防火墻規則,也可以使用一個稱為 Gufw 的 GUI,基于 Ubuntu 隨帶的 Uncomplicated Firewall (UFW) 程序來編寫防火墻規則。
打開終端并運行以下命令來安裝 Gufw:
sudo apt-get install gufw
完成安裝后,您可以從 System > Administration > Firewall 訪問它。打開并啟用 Gufw,默認情況下它處于禁用狀態。在標題 Actual Status 下,單擊 Enabled 復選框來打開它。這么做會將所有傳入流量都設置為 Deny。然后單擊 Add,依據您想要 UFW 如何處理某些類型的流量,基于 4 個可用選項來創建規則:
•Allow。系統允許從一個端口進入的流量。
•Deny。系統拒絕進入一個端口的流量。
•Reject。系統拒絕進入一個端口的流量,并傳達其流量被拒絕的連接系統的請求。
•Limit。如果某個 IP 地址嘗試在過去 30 秒內發起 6 個或更多的連接,系統會拒絕這些連接。
單擊 Add 時,會出現一個包含 3 個選項卡的窗口:Preconfigured、Simple 和 Advanced。Preconfigured 選項卡是創建規則的最輕松方式,因為您可以從一個下拉列表中選擇您希望允許或拒絕的流量
使用 Simple 選項卡,您可以告訴 UFW 您希望允許還是拒絕某些流量,然后選擇協議/服務和端口號。
您可以使用 Advanced 選項卡進一步調優規則。
備份和還原桌面文件
保護 GNU/Linux 桌面的另一個步驟涉及到建立一個備份和恢復流程。
在過去,您需要在大多數 Linux 發行版中安裝備份和恢復軟件。但是,擁有一個合理的災難恢復解決方案的需求已促使許多發行版在安裝中包含備份和恢復軟件。Ubuntu 依賴于 Duplicity,該程序使用了 rsync。為了讓事情變得更簡單,Ubuntu 隨帶了 Deja Dup,這是 Duplicity 的圖形前端。
要開始使用 Deja Dup,可單擊齒輪圖標中的 System Settings。在 System Settings 窗口中,單擊 Backup。
在打開自動備份之前,單擊 Storage 設置備份位置。您可以使用 Ubuntu One(一個云存儲選項),通過 FTP 將您的備份發送到另一個服務器,保存到本地文件夾,或者設置一個自定義位置。確定備份文件的最佳位置后,單擊 Folders 選擇想要備份的內容。這里有兩個選項:Folders to back up 和 Folders to ignore。可從每一欄添加或刪除任何文件夾。
現在,單擊 Schedule,告訴 Deja Dup 運行備份的頻率和它們的保留時間。您可以選擇每日、每周、雙周或每月備份一次,這些備份可存儲至少一周到至少一年,甚至是永久存儲。
現在,返回到 Overview 并將 Automatic backups 滑動到 On。這就是該軟件的全部操作。如果需要還原文件,可單擊 Restore,Deja Dup 會詢問您希望從何處、哪個日期還原,以及您希望將文件還原到哪個位置。通過時常還原文件來確保您的備份正常工作,這是一個不錯的想法。
安裝更新
許多對計算機的攻擊,都是在惡意的攻擊者在操作系統軟件或另一個軟件中找到漏洞時發起的。安全專家會查找這些漏洞,創建軟件補丁和更新來修補它們。
請保持您的軟件最新。大部分操作系統都有一個內置的功能來通知您更新何時可用,許多 GNU/Linux 發行版都包含這種類型的功能。單擊桌面菜單欄上的齒輪圖標,然后單擊 Software Up to Date 啟動 Update Manager。Update Manager 通常會在更新可用時自行打開。
在 Update Manager 窗口中,您可以單擊 Install Updates。您也可以單擊 Settings 來選擇更新頻率和想要更新的軟件。只要 Important security updates 復選框已被選中并且 When there are security updates 選項被設置為 Download and install automatically,默認選項就應該足夠用了。
通過密碼保護引導加載程序
使用 GNU/Linux 時,您可以引導計算機來更改 root 密碼,無需輸入一個密碼。這種方法被稱為單用戶模式。要通過密碼保護此功能,您有兩個引導加載程序選項:GRUB 和 LILO。如果使用 GRUB,那么您可以加密密碼,讓信息更加安全。LILO 的用戶沒有此選項。如果使用 GRUB,那么請執行以下步驟:
- 1.啟動終端。
- 2.在提示符下輸入 grub。
- 3.為了確保不會將要創建的密碼存儲為明文,可輸入 md5crypt。
- 4.在提示符下,輸入您想用于單用戶模式的密碼。然后您會獲得一個加密的密碼版本。不要關閉這個終端窗口 — 后續步驟中需要使用這個加密的密碼。
現在,您需要編輯 GRUB 配置文件。當然,首先要備份它:
1.輸入以下命令:
sudo cp /boot/grub/menu.lst /boot/grub/menu.lst-backup
2.在系統提示您時輸入您的密碼。
3.輸入以下命令:
- gedit /boot/grub/menu.lst
這會調出 GRUB 配置文件。
4.找到文件中顯示為 password --md5 的一行,將現有的密碼替換為您之前創建的加密密碼。
清單 1 顯示了在密碼更改時 GRUB 配置文件應該是什么樣的:
密碼更改后的 GRUB 配置文件
- # Set a timeout, in SEC seconds before
- automatically booting the default entry # (normally the first entry
- defined). timeout 3 ## hiddenmenu # Hides the menu by default (press ESC
- to see the menu) hiddenmenu # Pretty colours #color cyan/blue while/blue
- ## password ['--md5'] passwd # If used in the first section of the menu
- file, disable all interactive editing # control (menu entry editor and
- command-line) and entries protected by the # command 'lock' # e.g.
- password topsecret # password --md5 $1$jLhUO/$aW78kHK1QfV3P2b2znUoe/ #
- password topsecret # # examples # # title Windows 95/98/NT/2000
不同于 GRUB,LILO 不允許使用加密的密碼。如果使用 LILO 引導加載程序,那么可以執行以下步驟:
- 1.啟動終端。
- 2.在提示符下輸入 edit cat /etc/lilo.conf。
- 3.編輯器打開時,搜索密碼部分并在其中創建新密碼。
結束語
本文介紹了一些可幫助您加強 GNU/Linux 桌面的安全的工具。即使您安裝了所有可用的工具來保護計算機和其中存儲的數據,也應該掌握這些工具的使用。
請設定一個時間表來檢查 ClamAV 和 rkhunter 的更新。每周和在安裝新軟件時運行這些實用程序。為您的數據設置一個備份時間表,并關注計算機安全領域的最新趨勢(這一點最為重要)。新的漏洞不斷被發現。您需要與時俱進,采取適當的操作來保持計算機的安全。
