Obwohl das Design von Linux Sicherheit als ein anderes Betriebssystem hat einige inhärente Vorteile, aber es keineswegs sicher, wie die vorherige Ansicht, dass "absolute Sicherheit" in den letzten Jahren, Linux-basierte Security-Events oft auftreten. "Technologie", Teil des Linux-Sicherheitsprobleme wurden allmählich einige Diskussionen als Teil des Inhalts dieser Zusammenfassung worden und eine weitere Ergänzung der laufenden Periode wir von Dr. Li Yang IKT-Systeme aufgefordert, eine umfassende Einführung in die Linux sicher eine Reihe von Grundsätzen und Methoden zur Sicherheitskontrolle .
Im Jahr 2004 ist eine britische Security-Unternehmen in diesem Jahr fand im Januar um die Sicherheit des Angriffs zu untersuchen, in einem erfolgreichen Angriffen auf die Sicherheit, rund 80% (insgesamt 13.654 Mal verwendet) einen erfolgreichen Angriff auf Linux-Servern, und nur erfolgreicher Angriff von 2005 mal dem Windows-Server. Bericht, dass die Sicherheit für Linux, die Zahl der erfolgreichen Angriffe auf dem Vormarsch, da viele Unternehmen das Linux-System verwenden nicht richtig konfigurieren, verwalten Linux ist. Der Bericht sagt: Das Problem ist in ihrem Netz, anstatt sich Linux. Diese Studie bestätigt erneut die Aspekte der Sicherheit einen wesentlichen Punkt: Die erste ist eine Frage der Sicherheit der Menschen, dann ist die Technologie. Die Welt, gibt es keine absolute Sicherheit System, wenn es nicht gut verwaltet wird, ist nicht richtig konfiguriert, auch FreeBSD sind noch angegriffen, überfallen. Dieser Bericht wird veröffentlicht, Benutzer kommentierte: Von diesem Gesichtspunkt aus, ob Linux oder Windows, das größte Problem in der Sicherheit ist nicht das Produkt selbst, sondern Menschen, die keinen praktischen Nutzen von einigen grundlegenden Sicherheits-Prinzipien haben wie die "Default zu asecuremode "," Anwendung des Grundsatzes der geringst möglichen Privilegien ", so achten Sie auf die regelmäßige Patch. Patch ist absolut notwendig, nicht nur Patches Windows, Linux müssen noch Patch, immer noch Sicherheitslücken. Diejenigen, die so lange wie Linux kann Windows wieder ersetzen zu glauben und für alle diejenigen, die sich zurücklehnen und entspannen, think again.
Nach London Sicherheits-Analyse-und Beratungsunternehmen mi2g einer aktuellen Umfrage von November 2003 bis Oktober 2004 gab es 24 Millionen Angriffen. Die Fernbedienung manuelle Hacker-Angriffe, die beide Angriffe, aber auch durch Viren, Würmer oder andere bösartige Programme anzugreifen. Die Ergebnisse zeigten, dass 65% der Angriffe auf Linux-Systemen ausgerichtet, gab es 154 846 Angriff, 25% der Angriffe auf Windows ausgerichtet. Das sicherste Betriebssystem sollte auf BSDUnix Betriebssystem basieren. Mi2g sagte, das führende Linux-System am stärksten betroffen, weil der funktionalen Komponenten des Betriebssystems Angriff ist zu fragmentiert, weil sie von verschiedenen Firmen haben unterschiedliche Eigenschaften. Die Ergebnisse fanden auch, dass die Nutzer am meisten Angriffe auf einzelne Nutzer und kleine Unternehmen. Der Angriff Anteil betrug 80%, während die mittlere Unternehmen, um nur 8,5% der Angriffe verglichen. Nach Mi2g sagte ihre Analyse von Daten vor allem aus Nordamerika, Europa und Asien, Banken und Versicherungen, und umfasst auch die Überwachung von Daten und internen Daten vor Hackern.
Im Jahr 2005, eine weitere maßgebliche Bericht - "2005 North American Linux und Windows TCO Vergleich Report, Part 2: Hardening Security Is Schlüssel zur Verringerung der Risiken und TCO" auf Linux-und Windows-Sicherheit im Vergleich, sind sie in Nordamerika 550 Unternehmen zu untersuchen und sicherheitspolitische Situation und stellt einige wichtige Schlussfolgerungen, die folgende Linux-bezogene und haben einige nützliche Schlussfolgerungen an:
● Es gibt kein Betriebssystem ist erwiesen, hack-Beweis sein, dass nachgewiesen wird, nicht zu gefährden, Linux und kann auch beeinträchtigt werden, deshalb brauchen Schutz;
● menschlicher Fehler (einschließlich der Nichteinhaltung der Sicherheitsvorschriften, nicht die notwendigen Sicherheitsmaßnahmen, ist die Durchführung von regelmäßigen Sicherheitsprüfungen und rechtzeitige Patch arbeiten, etc.) ein wichtiger Faktor führt zu unsicheren Systemen;
● Angriff gegen Linux, zeigte die Tendenz weiter steigend.
Der Bericht gibt auch konkrete Tipps:
● Stärkung der Ausbildung des Personals, einschließlich des Sicherheits-Bewusstseins, der sicheren Verwendung von Werkzeugen, Verfahren für die Sicherheits-Training, etc.;
● Zeit für Patch-Systeme vor Angriffen und Viren;
● Durchführung von regelmäßigen Sicherheits-Audits und Risiko-Assessment-System.
Aus dem oben angegebenen mehreren autoritativen Sicherheitsbericht, können wir sehen, dass, "es ist kein unbelüfteten Wand", Linux-Betriebssystem als Software-und Windows-Betriebssystem, ist es unvermeidlich, Schlupflöcher. Mit ihrer zunehmenden weltweiten Einsatz ist die aktuelle Angriffe gegen die wachsende Zahl von sicherheitsrelevanten Zwischenfällen steigen, die Situation ist sehr düster. Um der steigenden Entwicklung in der Technologie, zahlreiche unorganisierte und Netzwerk-Umfeld, um das Linux-System Sicherheit zu gewährleisten, müssen wirksam Erholung nach der Veranstaltung im Vorfeld Prävention und Arbeit, die weitgehend davon abhängen, menschliche Faktoren. Wer soll das erste Element der Sicherheit des Systems zu bestimmen.
Sicherheit unter Linux in den Schutz-Prozess, der Industrie wurde durch Jahre der Akkumulation gegangen, es gibt viele wichtige Grundsätze und Instrumente können von System-Management, um Netzwerk-Management zu lernen ist eine reifere Erfahrung. Dadurch wird der Autor eigene Erfahrungen zu verbinden, geben diese wichtigen Grundsätze und Instrumente für die Nutzer als Referenz verwenden, möchten, dass Benutzer in der Lage sein, den Prozess des Gebens oberste Priorität zu verwenden, und die Praxis lässt sich nach ihren neuen, effektiven Methode.
1, um unnötige Netzdienste
Frühe Versionen von Linux, hat jeder einen anderen Netzdienst ein Service-Programm (Daemon, Daemon) laufen im Hintergrund, die neuere Version mit einem einzigen / etc / inetd-Server-Programm, um diese Rolle zu spielen. Inetd ist die Abkürzung für Internet-Daemon, es überwacht auch mehrere Netzwerk-Ports nach außen kam, als die Verbindung erhalten Informationen über die Umsetzung der entsprechenden TCP-oder UDP-Netzwerk-Dienste. Aufgrund der einheitlichen Kommando inetd, so Linux TCP oder UDP in den meisten Dienstleistungen werden in / etc / inetd.conf-Datei festgelegt. So ist der erste Schritt, um unnötige Dienste überprüfen / etc / inetd.conf-Datei zu entfernen, nicht den Dienst mit einem "#"-Nummer.
In der Regel zusätzlich zu HTTP, SMTP, Telnet und FTP, sollten andere Dienste beseitigt, wie Simple File Transfer Protocol TFTP, Netzwerkspeicher und Empfangen von E-Mail für IMAP verwendet / ipop Transfer Protocol, zu finden und Suchen von Informationen mit der Gopher und verwendet in Zeitsynchronisation und Zeit so tagsüber.
Es gibt auch Berichte das System staatlicher Leistungen, wie Finger, Efinger, systat und netstat, etc., während das System ist sehr nützlich zur Fehlerbehebung und die Suche nach Kunden, sondern auch eine Tür für Hacker bieten. Zum Beispiel kann der Hacker nutzen den Finger auf die Telefonrechnung des Nutzers Service nutzen das Verzeichnis sowie weitere wichtige Informationen finden. Daher sind viele Linux-System wird ganz oder teilweise streichen dieser Dienste, um die Sicherheit des Systems verbessern abgesagt.
Inetd Neben der Verwendung von / etc / inetd.conf-Eintrag, um das System zusätzlich zu den Dienstleistungen mit / etc / services der Port vom Dienst verwendete Datei finden gesetzt. Daher muss der Anwender sorgfältig zu prüfen, die Datei auf den Hafen zu einer Sicherheitslücke vermieden werden.
In späteren Versionen von Linux (z. B. nach Red Hat Linux 7.2), die von xinetd für Netzwerk-Service-Management ersetzt. (Zu xinetd spezifische Verwendung in dieser Zeitung zu finden 4. Juli 2005 Nr. 25 C11-Version von "verwenden xinetd Netzwerk-Anwendungen zu verwalten", oder besuchen Sie www2.ccw.com.cn/05/0525/d/0525d04_1.asp )
Unter Linux gibt es zwei verschiedene Typen von Dienstleistungen: Die eine ist nur dann durchgeführt, wenn erforderlichen Dienstleistungen, wie Finger-Dienstleistungen, die andere ist nie in die Umsetzung der Service gestoppt worden. Die letztere beim Booten gestartet und kann daher nicht auf ihren Dienst inetd stop Veränderungen verlassen, sondern kann nur die Datei / etc / rc.d / rc [n]. D / Datei oder Run Level-Editor, um es zu ändern. NFS-Server auf File-Services und der Bereitstellung von Nachrichtendiensten, NNTP News gehören zu diesen Dienstleistungen, wenn auch nicht notwendig, ist es am besten, diese Dienste zu entfernen.
Natürlich muss die Storno, welche Dienste nicht zu verallgemeinern, entsprechend der tatsächlichen Anwendung zu sein, aber das System-Administratoren müssen sich bewusst sein, der Sicherheit Probleme, denn sobald das System kann ein Schritt in die ordnungsgemäße Durchführung der Lecksuche und Sanierungsmaßnahmen werden Arbeiten Das ist wichtiger.
2, strenge Audit-Systems Login
Vor Eintritt in die Linux-System, müssen alle Benutzer, sich anzumelden, das heißt, Nutzer müssen eine Benutzerkennung und ein Passwort eingeben, und erst nach Überprüfung durch das System, kann der Benutzer das System eingeben.
Wie bei anderen Unix-Betriebssystemen, wird Linux in der Regel nach dem Passwort verschlüsselt gespeichert in der Datei / etc / passwd-Datei. Linux-System können alle Benutzer Lese / etc / passwd-Datei, obwohl die Dokumente in verschlüsselten Passwort gespeichert wurden, aber noch nicht sicher. Es ist, weil der Benutzer vorhandenen Code-breaking-Tools nutzen können, um das Passwort zu erraten Brute-Force-Methode. Sicherere Methode ist, um den Schatten Datei / etc / shadow gesetzt, erlaubt nur ein privilegierter Benutzer die Datei zu lesen.
In dem Linux-System, wenn Sie die Schatten-Datei verwenden wollen, müssen Sie neu kompilieren alle Dienstprogramm, kann der shadow-Datei zu unterstützen. Diese Methode ist umständlich, relativ einfache Methode ist die Verwendung von Plug-in-Authentication Modules (PAM). Viele Linux-Systeme mit Linux-Tools kommen zu PAM-Prozess, es ist ein Authentifizierungsmechanismus können verwendet werden, um dynamisch ändern Authentifizierungsmethoden und Anforderungen, ohne Re-Compilation von anderen öffentlichen Programmen sein. Dies liegt daran, das geschlossene Paket mit dem Weg PAM-Authentifizierung alles über all die verborgenen Logik des Moduls werden, so ist es der beste Helfer mit der Shadow-Datei.
Darüber hinaus PAM gibt es viele Sicherheits-Features: Es kann die traditionelle Methode für die DES-Verschlüsselung anderen vermehrte Verschlüsselung umzuschreiben, um sicherzustellen, dass das User-Passwort nicht so leicht geknackt werden, es kann jeder Anwender die Computer-Ressourcen verwenden soll Decke; Es kann sogar einen Benutzer auf der Maschine Zeit und Ort.
Linux-Systemadministratoren müssen nur ein paar Stunden verbringen zu installieren und zu konfigurieren, PAM, erheblich verbessern kann die Sicherheit von Linux-Systemen, zu viele Angriffe außerhalb des Systems zu blockieren.
3, zur Aktualisierung der aktuellen Core-System
Linux als eine gute Open Source Software, deren Stabilität, Sicherheit und Verfügbarkeit sind äußerst zuverlässige Garantie der weltweiten Linux-Experte gemeinsam verwaltet ein ausgezeichnetes Produkt, und somit viele ihrer Vertriebskanäle, oft aktualisiert, Verfahren und System-Patches erscheinen, also um die Sicherheit des Systems zu erhöhen, sollten Sie regelmäßig eine Aktualisierung der System-Kernel.
Betriebssystem Linux Kernel ist der Kern seiner permanenten Speicher, der Rest wird verwendet, um das Betriebssystem zu laden und realisieren die grundlegenden Funktionen des Betriebssystems. Als Kern Steuerungsfunktionen von Rechnern und Netzwerken, so dass es die Sicherheit auf der Sicherheit des Systems.
Es gibt viele ältere Kernel-Versionen bekannte Sicherheitslücken, sondern auch nicht sehr stabil, nur die Version 2.0.x nicht mehr stabil und sicher ist (im allgemeinen ist die Zahl der Kernel-Version noch relativ stabil, während ungerade ist in der Regel Beta-Version, Benutzer sollten mehr Aufmerksamkeit, wenn verwendet bezahlen), ist die neue Version des Betriebssystems Effizienz deutlich verbessert. Kernel-Funktionen in der Menge, wählen Sie nur die notwendigen Funktionen, nicht alles akzeptieren, was all die Eigenschaften, sonst wäre es sehr Kern, nimmt nicht nur System-Ressourcen, sondern auch eine Chance für Hacker zu bleiben.
Im Internet, haben oft die neuesten Sicherheits-Patches, Linux System Administrator sollte darüber informiert werden, frequentiert von Sicherheits-News-Gruppen, die Zugang zum neuen Patch. Im Allgemeinen kann der Benutzer immer das Portal Red Hat (www.redhat.com), Debian Linux-Portal (www.debian.org), Turbolinux Portal (www.turbolinux.com), Slackware-Portal (www. Slackware .. com), SuSE-Portal (www.suse.com / index_us.html), markierte Fedora-Portal (fedora.redhat.com) und anderen hervorragenden Linux-Distributionen betrifft die Website, die Aktualisierung der System-Kern und die neuesten Sicherheitspatches Dies lässt sich besser gewährleisten die Sicherheit von Linux-Systemen.
4. Überprüfen Sie das Passwort
Set vergessen ist eine sehr wichtige Sicherheitsmaßnahme und nicht geeignet, wenn das Kennwort des Benutzers eingestellt ist, ist es leicht geknackt werden, insbesondere solche mit Super-User-Berechtigungen der Benutzer, wenn nicht ein gutes Passwort, das System führt zu großen Sicherheitslücken.
In der Multi-User-System, falls gezwungen, jeden Benutzer ein Passwort schwer zu erraten, zu wählen, wird wesentlich zur Verbesserung der Sicherheit des Systems. Allerdings, wenn das Programm passwd nicht zwingen kann jeder Benutzer auf der Maschine richtige Kennwort ein, um die Sicherheit Ihres Kennworts zu sorgen, können wir nur auf ein Passwort-Cracking-Programm verlassen.
In der Tat, Hacker, Passwort-Cracking-Programm ein Werkzeug in der Toolbox ist, ist es häufig englisches Wörterbuch, das Kennwort oder alle möglichen Wörter verwendet werden, wie ein Passwort in ein Passwort, mit dem Word-Programm verschlüsselt ist, dann das System mit dem Linux verwendet werden / etc / passwd Passwort-Datei oder die Datei / etc / shadow shadow-Datei verglichen, wenn gefunden, um das Kennwort übereinstimmen, können Sie sich die Codes.
Das Netzwerk kann eine Menge von Passwort-Cracking-Programme zu finden, ist bekannt, die Programme zu knacken. Anwender können die erste Implementierung des Passwort-Cracking-Programme, um herauszufinden, leicht von Hackern eigenen Passwörter knacken, Hacker knacken die erste als vorteilhaft korrigieren.
Derzeit werden die meisten Passwort-Cracking-Programme und gewalttätige Übergriffe durch ein Wörterbuch-Angriff, die die Benutzer-Passwort falsch eingestellt ist, anfällig für Wörterbuch-Attacken. Viele Anwender möchte meine englischen Namen, Geburtstag oder andere Kontoinformationen zu verwenden, um ein Passwort gesetzt, so Hacker kann durch ein Wörterbuch-Angriff oder eine mittels Social Engineering, um Passwörter zu knacken. So wird der Benutzer in den Prozess der Festlegung des Passworts sollten Nicht-Wörterbuch Charakter erscheinen in Kombinationen, und die Kombination von digitaler und Charakter, kombiniert Fall die Einstellung "Kennwort-Modus zu verwenden, wodurch die Schwierigkeiten bei der Passwort-Hacking. Außerdem können Sie regelmäßig Ihr Kennwort ändern, um das Passwort regelmäßig zu entkräften dem Weg zu ihrem eigenen Passwort schützen.
Mehrere spezifische Bezugnahme auf die Grundsätze wie folgt festgelegt:
● mindestens acht Zeichen lang vergessen, vergessen oft wie möglich. Wenn Sie MD5-Passwörter, sollte es mindestens 15 Zeichen lang sein. Bei der Verwendung von DES-Passwörter verwenden Sie die längste Länge (8 Zeichen).
● gemischte Groß-und Kleinbuchstaben. Linux ist case sensitive, so Misch Fall wird das Niveau der starke Passwörter zu erhöhen.
● gemischten Buchstaben und Zahlen. Addieren Sie die Zahlen in das Kennwort ein, besonders in der Mitte auf "Hinzufügen" (nicht nur am Anfang und Ende) kann die Robustheit des Passworts zu erhöhen.
● zählen andere Zeichen als Buchstaben und Zahlen und :&,$, Sonderzeichen wie das Kennwort kann deutlich verbessert die Robustheit der (bei Verwendung von DES-Passwörter nicht verwenden können, diese Zeichen).
● Wählen Sie ein Passwort Sie sich erinnern können. Wenn Sie nicht Ihr Passwort vergessen haben, dann ist es nutzlos, egal wie gut die Verwendung von kurzes Gedächtnis, oder andere Methoden, um sie an das Kennwort erinnern.
● Verwenden Sie nicht das Wort nur in der Anzahl oder Passwort.
● Verwenden Sie keine vorgefertigten Vokabeln, wie Namen, Wörterbuch Wörter, oder sogar Drama oder Roman Begriffe, auch wenn beide Enden der Zahlen verwenden, sollten vermieden werden.
● Verwenden Sie nicht die Sprache der Worte. Passwort knacken Programm oft mehrsprachiges Wörterbuch zu überprüfen, ihren Wortschatz Liste. Abhängig von der Sprache zur Erreichung der Zwecke des Schutzes der das Passwort nicht normal arbeiten.
● Verwenden Sie nicht den Begriff Hacker.
● Verwenden Sie keine persönlichen Informationen. Wenn der Angreifer kennt Ihre Identität, dann ziehen Sie das Kennwort wird sehr einfach. Das Folgende ist ein Passwort, wenn Sie die Art der Informationen zu schaffen, sollten vermieden werden: nichts daran ändern, bestehende Wortschatz, gute Passwörter sind immer Reverse gebräuchliche Wörter entziffern, so schwache Passwörter werden nicht umkehren es sicherer, nicht zeichnen Sie Ihre Passwörter niemals das Passwort auf dem Papier, im Auge behalten es war mehr sicher; nicht alle Maschinen verwenden das gleiche Passwort auf jedem Rechner ein anderes Passwort verwenden ist äußerst wichtig, so dass, wenn ein System Lecks, und alle Andere Systeme sind nicht unmittelbar bedroht.
5. Legen Sie den Benutzer-Account die Sicherheitsstufe
Neben dem Passwort, das Benutzerkonto der Sicherheitsstufe hat, weil in Linux kann jedes Konto verschiedene Berechtigungen gegeben werden, so eine neue Benutzer-ID, sollte der Systemadministrator benötigt, um unterschiedliche Zugriffsrechte auf das Konto zu erteilen, und integriert in unterschiedliche Nutzergruppen.
Ein Teil der Linux-Systemdateien können Sie festlegen, damit das Flugzeug und die Besatzung nicht auf der Liste erlaubt. Unter der Liste der Personen auf der Ebene, in der / etc / hosts.allow gesetzt, eine Liste von Personen, die nicht auf der Ebene, in der / etc / hosts.deny gesetzt erlaubt erlaubt. Darüber hinaus Linux automatisch betreten darf oder nicht darf, um die Ergebnisse aufgezeichnet nach / var / log / secure file geben, kann der Systemadministrator Zugriff auf verdächtige Einträge entsprechend kennzeichnen.
Jedes Konto ID sollte die verantwortliche Person. In dem Unternehmen, wenn zuständige Mitarbeiter ID links, sollte der Administrator umgehend entfernen Sie das Konto aus dem System. Viele Einbrüche sind nicht auf den langen Wegen dieser Nutzung.
Unter den Benutzer-Account, hat der Hacker Root-Rechte Lieblings-Konto, dieses Super-User das Recht zu ändern oder zu löschen, alle System-Einstellungen können in das System verhindert werden. Daher Root-Rechte auf keinen Fall vor dem zu geben, muss sorgfältig geprüft werden.
Linux-System / etc / securetty Datei enthält eine Reihe von root-Account kann auf Terminal-Namen anmelden. Zum Beispiel, Red Hat Linux-System, den Startwert des Papiers erlauben nur die lokale virtuelle Konsolen (rtys) Login auf Vorrechte Wurzel, aber nicht zulässt, Remote Benutzer root-Berechtigungen. Best nicht, um die Datei zu ändern, wenn wir die Erlaubnis von einem entfernten sich als Root anmelden müssen, ist es am besten erst einloggen auf eigene Rechnung, und verwenden Sie dann Befehl su zu Super-User zu aktualisieren.
6, umsichtiger Umgang mit "r" Remote Manager
In dem Linux-System, eine Reihe von r-Präfix Dienstprogramm wie rlogin, rcp, etc.. Sie sind sehr leicht von Hackern genutzt werden, um das System, das sehr gefährlich ist, nicht zu berücksichtigen Wurzel einzudringen ist absolut offen für das Dienstprogramm. Diese Dienstprogramme verwendet werden. Rhosts oder hosts.equiv Zustimmung zu geben, so stellen Sie sicher, dass root-Account wird nicht in diesen Dateien innerhalb inbegriffen.
Da die R-Präfix Hackern Remote-Kommando ist der bessere Weg, um Systeme angreifen, sind viele Sicherheits-Tools entwickelt, um die Sicherheitslücken der Adresse. Zum Beispiel können PAM Instrument zur r-prefix-Dienstprogramm verwendet werden, wirksam zu verbieten es, es in / etc / pam.d / rlogin-Datei mit Anweisungen Login zuerst genehmigt werden müssen, so dass alle Nutzer des Systems nicht nutzen können ihr eigenes Haus Verzeichnis. rhosts.
7, durch verschlüsselte Übertragung
Da das Abkommen war ursprünglich als unreif ausgelegt, ohne Berücksichtigung der Existenz des Netzwerks wird ein so ernstes Sicherheitsproblem entwickelt werden, so wie FTP, Telnet und andere Dienste werden im Klartext-Passwörter und Daten übermittelt, so dass wir versuchen sollten, benutzen Sie den vorliegenden Sicherheitstechnologie, die Übertragung von Daten-Verschlüsselung. Shell SSH ist die Abkürzung für die Sicherheit, kann sie sicher verwendet werden, um zu ersetzen rlogin, rsh und rcp und andere öffentliche Programme eine Programmgruppe werden. SSH benutzt öffentliche Schlüsseltechnologie zur Netzwerk-Kommunikation zwischen zwei Hosts Nachricht Verschlüsselung und Authentifizierung mit dem Schlüssel als Werkzeug.
Da SSH die Informationen über das Netzwerk zu verschlüsseln, kann es verwendet werden, um sicher auf dem Remote-Host einloggen, und in zwei sicheren Übertragung von Informationen zwischen Rechnern. In der Tat, SSH kann nicht nur zum Schutz der Sicherheit der Kommunikation zwischen dem Linux-Host, können Windows-Anwender sicher über SSH eine Verbindung zu einem Linux-Server. (Der gezielte Einsatz von SSH in dieser Zeitung am 12. September gefunden werden kann, bis 2005 Nr. 35 C10-Version von "verwenden SHH die Sicherheit der Datenübertragung unter Linux zu erreichen", oder besuchen Sie www2.ccw.com.cn/05/0535/d / 0535d04_3.asp)
8. Begrenzung der Macht der Super-User
Wir bereits erwähnt, ist die Linux root im Mittelpunkt der Schutz, wegen seiner unbegrenzten Macht, ist es am besten nicht zu gehen einfach Super-User-Lizenz sein. Allerdings, einige Installations-und Wartungsarbeiten müssen Root-Privilegien erfordern, in diesem Fall können Sie andere Werkzeuge, um solche Nutzer auf einige Super-User-Privilegien zu ermöglichen. sudo ist solch ein Werkzeug.
Das sudo erlaubt es normalen Benutzern, um die Konfigurationseinstellungen des Benutzers eigenes Passwort zu lesen, um mal wieder einloggen, um Super-User-Privilegien zu erhalten, aber nur eine begrenzte Anzahl von Befehlsausführung. Zum Beispiel, die Anwendung von sudo, können Sie ließ Manager verwalten Bandsicherung jeden Tag Zeit, um sich an das System zu Super-User-Privilegien zu erhalten, um den Backup-Dokumentation durchzuführen, aber nicht nur die Root-Privilegien für andere Arbeit tun können.
sudo ist nicht nur eingeschränkten Benutzerrechten, sondern auch jedes Mal, wenn Sie sudo-Befehl Datensatz ausgeführt, unabhängig von der Umsetzung der Richtlinie ist der Erfolg oder Misserfolg. In großen Unternehmen, manchmal gibt es viele Leute die Verwaltung der verschiedenen Teile des Linux-System hat jeder Manager Behörde sudo Root-Rechten auf bestimmte Benutzer mit der Fähigkeit, von sudo anmelden, können Sie verfolgen, wer was gemacht hat und welche Teile des Systems ändert.
Es ist bemerkenswert, dass sudo nicht einschränken alle Nutzerverhalten, besonders wenn einige einfache Anweisungen, wenn es keine Grenze gesetzt, gibt es für Missbrauchspotential. Zum Beispiel, in der Regel verwendet, um die Inhalte der Datei anzuzeigen / etc / cat-Kommando, wenn sie die Superuser-Rechte haben, ein Hacker können es verwenden, zu modifizieren oder löschen Sie einige wichtige Dateien.
Die Nutzung des Programms, werden wir "in vollem Umfang nutzen Linux Sicherheits-Tools" einen ausführlichen Artikel über seine.
9, achten und folgen den Spuren der Hacker
Wenn Benutzer einen Vielzahl von sorgfältig mit dem Linux-Konfiguration (häufigste Log-Management-Optionen assoziiert) und installieren Sie die erforderlichen Sicherheitsmaßnahmen nach dem Werkzeug-, Linux-Betriebssystem Sicherheit es viel verbessert, aber es gibt keine Garantie zur Verhinderung die mehr qualifizierte Netzwerk Hackern.
In normalen Zeiten, Netzwerk-Manager sollten stets aufmerksam und achten Sie auf alle Arten von verdächtigen Umständen, und die verschiedenen Systeme auf Zeit und überprüfen Sie die Log-Dateien, einschließlich allgemeiner Informationen über das Protokoll der Netzwerkverbindung anmelden, Dateiübertragung und User-Login anmelden, einloggen. Bei der Prüfung dieser Protokolle, sollten wir darauf zu achten, ob die Anomalie Rekord. Zum Beispiel:
● normaler Benutzer einloggen, mitten in der Nacht;
● abnorme Protokollierung, wie Protokolldatensätze nur die Hälfte der Schnitt, oder die Log-Dateien werden gelöscht;
● Web site Benutzer in das System von der ungewohnten;
● durch falsche Passwort oder Benutzerkonto Fehler wurde aufgegeben abmelden, insbesondere wiederholten und fortgesetzten Versuche zum Scheitern verurteilt, aber es gibt eine gewisse Art von Versuch und Irrtum-Methode;
● illegale Nutzung oder unsachgemäße Verwendung von Super-User-Privilegien Befehl su;
● Neustart oder starten Sie den Dienst Datensätze.
Diese Fragen müssen an den Systemadministrator jederzeit den Benutzer Login-Status und die Log-Dateien überwachen, viele der Abweichung vom normalen Verhalten der Indizien sollte auf einen hohen Grad an Aufmerksamkeit führen. (Siehe spezielle Methoden Zeitung 20. Juni 2005 Nr. 23 C15-Version von "mit Hilfe des Log-System auf Linux Security schützen" Artikel, oder besuchen Sie www2.ccw.cow.cn/05/0523/d/0523d04_2.asp)
10, mit einer Firewall, IDS und anderen Schutzmaßnahmen kombiniert
Firewall, IDS und anderen Schutzmaßnahmen Technologie wurde bereits erfolgreich in allen Bereichen der Netzwerk-Sicherheit angewendet, und hat ein sehr ausgereiftes Produkt. Zurzeit ist die verteilte Firewall eine neue Firewall-Architektur, die die folgenden Produkte beinhaltet:
● Netzwerk-Firewall: denn zwischen internen und externen Netzwerken (die traditionelle Grenze Firewall) und die interne Netzwerk-Schutz-Produkte zwischen Subnetzen, die sich von einer Besonderheit des ehemaligen wird benötigt, um das interne Netzwerk unterstützen können IP-und Nicht- IP-Protokoll.
● Host-Firewall: für Netzwerk-Server und-Desktops für den Schutz, kann der Aufnahmemitgliedstaat vom physischen Standort innerhalb des Netzes auch in dem internen Netzwerk werden, wie der Hosting-Server oder mobile Büro Laptop.
● Centre Management: border Firewall ist nur ein einziges Netzwerk Device Management ist vor Ort. Verteilte Firewalls, jeder Firewall als Sicherheits-Monitoring-Mechanismus der unterschiedlichen Anforderungen entsprechend Vorkehrungen zur Gefahrenabwehr im Netz an jeder gewünschten Position, aber insgesamt ist es eine einheitliche Sicherheitspolitik Planung und Management, Vertriebs-und Sicherheitspolitik log Die Zusammenfassung sollte alle Funktionen der zentralen Verwaltung. Center-Management ist eine verteilte Firewall-System und ein wichtiges Merkmal des Kerns.
In dem Linux-System gibt es einen eingebauten Netfilter / iptables-Firewall-Architektur, durch die rationale Verteilung kann auch Gastgeber für die Effektivität der Firewall. (Der Einsatz der Technologie finden Sie in dieser Zeitung 9. Mai 2005 Nr. 17 C10-Version von "Linux-Firewall-Mechanismus im Rahmen der Anwendung der" einen Artikel, oder besuchen Sie www2.ccw.com.cn/05/0517/d/0517d04_2.asp)
Für die IDS, es durch das Computer-Netzwerk oder Computer-System, um Informationen über einige wichtige Punkte zu sammeln und zu analysieren, herauszufinden, ob das Netzwerk oder System of Conduct in Verletzung der Sicherheitspolitik und Zeichen des Angriffs. Eingestuft sind je nach Technologie und Features, Intrusion-Detection-System kann in folgende Kategorien unterteilt werden:
● Host-based Intrusion Detection System: die Input-Daten aus dem System Audit-Logs, in der Regel kann nur erkennen, das Auftreten von Host-Invasion.
● Netzwerk-basierte Intrusion Detection System: seine Eingabe von Daten aus dem Netzwerk des Informationsflusses, um die Störung zu erkennen aufgetreten Segment.
● Mit den beiden Datenquellen verteilten Intrusion Detection System: die Fähigkeit, gleichzeitig analysiert die Audit-Logs aus dem Host-System und Network Intrusion Detection System Datenstrom, in der Regel verteilte Architektur, bestehend aus mehreren Teilen.
In dem Linux-System gibt es entsprechende leichte Snort, verwenden Sie es schnell und effizient durchzuführen Schutz. (Auf den gezielten Einsatz von Snort, bitte die Zeitung 11. April 2005 Nr. 13 C16-Version von "Snort Tower wurde mit Hilfe der Linux-Server-Sicherheit", den Artikel, oder besuchen Sie sehen www2.ccw.com.cn/05/0513/d/0513d04_1 . asp)
Brauchen Sie für die Leser, dass: In den meisten Anwendungen Situationen, müssen wir den integrierten Einsatz dieser beiden Technologien zu erinnern, weil eine Firewall ist gleichbedeutend mit der ersten Schicht der Sicherheit, ist es nur ein einfacher Vergleich von IP-Adresse und Port-Paare, um den Netzwerkverkehr filtern IDS und spezifischere, muss es durch spezifische Päckchen (einige oder alle), um den Netzwerkverkehr filtern, ist die zweite Ebene der Sicherheit. Kombinierte Anwendung von ihnen können sich ergänzen, und spielen ihre jeweiligen Vorteile. Derzeit sind viele Security-Produkte auf die Verknüpfung zwischen der Forschung in progress basiert, ist dies eine viel versprechende Richtung.
11, bewahren Sie den neuen Tracking-Technologie und ihre Schwachstellen
Computertechnik, Kommunikationstechnik Netzwerk und Netzwerk-Angriff und Verteidigung der technologischen Entwicklung hat nicht aufgehört. Linux Open-Source-Software als eine hervorragende, schnelle Entwicklung eigener, während die Sicherheit ihrer Existenz in der Zukunft allmählich Anwendungen ausgesetzt werden. Hacker konzentrieren sich auf neue Technologien zu einem gewissen Grad, höher als die unseren Schutz Personal, so um die Netzwerk-Angriff und Verteidigung des Krieges in einer guten Position, um das Linux-System Sicherheit zu schützen, sind wir verpflichtet, ein hohes Maß an Wachsamkeit zu erhalten und für neue Technologien großer Sorge. Insbesondere die Verwendung von Linux als zentrale Business Systems Enterprise den Systemadministrator, durch eine Reihe von maßgeblichen Seiten-und Linux-Foren über das System so bald wie möglich, um einige neue Technologien und Schwachstellen von einigen neuen System von Informationen, vorbeugende Maßnahmen, Früherkennung nehmen Maßnahmen, die Lücke zu den meisten seiner kurzen Zeitraum zu blockieren und in der Praxis ständig zu verbessern Sicherheit Fertigkeiten erscheint, ist dies die bessere Lösung und einen Ausweg, einfach unter Berufung auf einige der vorhandenen Werkzeuge ist nicht genug .
12 intelligenten Verteidigung, zur Gewährleistung der Sicherheit
Computer-Sicherheit aus der Perspektive der Welt, gibt es keine absolute luftdicht, 100% sichere EDV-Systeme, Linux-System ist keine Ausnahme. Die Anwendung der oben genannten Sicherheitsvorschriften, obwohl das Linux-System erheblich verbessern kann die Sicherheit, so dass Hacker und Computerspieler im Allgemeinen nicht einfach eingegeben werden, aber nicht unbedingt zu stoppen desto mehr kluge Hacker, so dass die Benutzer brauchen die Flexibilität, benutzen Sie den integrierten Grundsätze und basiert auf den tatsächlichen Szenarien angepasst werden, um eine bessere Effizienz zu erreichen ist verbessert.
Li Yang, Ph.D. Institut für Computing Technology der Chinesischen Akademie der Wissenschaften. Seine Forschungsinteressen umfassen umfangreiche Netzwerk Sicherheit der Informationen, Software und Theorie. Hat im Bereich der Netzwerk-Informationen Sicherheit Forschung und Entwicklung engagiert. In einer Reihe von "National Natural Science Foundation Project" beteiligt, dem "National 863 planen", "Nationale Sicherheit in der Informationstechnik 242 planen", eine große nationale Forschungs-und Entwicklungsprojekte.