Linuxのセキュリティの設計よりもいくつかの他のオペレーティングシステムでは、それは近年では、"絶対的な安全保障"前のビューの特定の手段をによっていくつかの固有の利点がありますが、Linuxベースのセキュリティイベントが頻繁に発生。 Linuxのセキュリティ問題の"技術"の部分は徐々にこの要約の内容の一部としていくつかの議論をされているさらに我々は博士李ヤン研究所コンピューティングによる体系と原則の数に包括的な導入、Linuxとメソッドのセキュリティを確保するために招待現在の期間を補完する。
2004年には、成功のセキュリティ攻撃では、今年1月の攻撃の安全性を調べるために行われた英国のセキュリティ会社が、約80%(13654回の合計)は、Linuxサーバー上で攻撃が成功、2005年度だけ成功した攻撃ですWindowsサーバー。レポート多くの企業が適切に設定していないLinuxを管理するLinuxシステムを使用するためは、Linuxのセキュリティは、上昇に成功した攻撃の数があります。報告によると:この問題は、ネットワークでは、Linux自体ではなく、です。本研究では、再び基本的なポイントの安全性の側面を確認する:最初の人間の安全保障の問題ですし、技術です。世界では、ない完全なセキュリティシステム場合、うまく管理されていません、正常にも、まだ攻撃されている、侵略FreeBSDの構成ではありません。このレポートは、ユーザーがコメント:このような観点から、かどうかのLinux、またはWindows、セキュリティの最大の問題は、製品そのものではなく、デフォルトの"などのいくつかの基本的な安全原則のない実用を持つ人ではない公開されて最小のasecuremodeに"、"適用原則は、特権"ので、定期的なパッチに注意を払う。パッチは、絶対に必要な、Windowsのみ、Linuxはまだパッチを適用する必要がある、まだセキュリティの脆弱性を持ってパッチを持っていないです。人は、同じLinuxは一度Windowsを置き換えることができます長いと信じてすべての人々と座ってリラックスし、もう一度考えてみてください。
ロンドンのセキュリティ分析とコンサルティング会社の最近の調査を手作業による、2003年11月から2004年10月によれば、2400万の攻撃があった。ウイルス、ワーム、またはその他の悪意のあるプログラムの攻撃によってリモートマニュアルハッカーの攻撃は、両方の攻撃だけでなく、。その結果、攻撃のLinuxシステムを対象とした65%が、そこに154 846攻撃は、攻撃のWindowsを対象とした25%を示した。最も安全なオペレーティングシステムがBSDUnixオペレーティングシステムに基づいている必要があります。手作業によるは、Linuxシステムでは、ほとんどのオペレーティングシステムの機能コンポーネントのために攻撃を受けやすく、彼らはさまざまな企業から、異なる特性を持っても断片化されているリードと述べた。結果はまた、発見が個々のユーザのユーザほとんど攻撃や中小企業ユーザー。中小企業は、攻撃のわずか8.5%に比べて攻撃の割合は80%だった。手作業によるによると言った中にもいくつかの監視データやハッカーからの内部データを含む北アメリカ、ヨーロッパ、アジア、銀行、保険機関、主からのデータの分析。
2005年には、別の権威報告書は - "2005年北米LinuxとWindowsのTCOの比較レポート:第2回強化セキュリティキーの"LinuxとWindowsのセキュリティに比べリスクとTCOを削減することが、彼らは北米の550企業は、セキュリティの状況を調査し、いくつかの重要な結論を出すには、次のLinux関連いくつかの有用な結論与えている:
●存在しないオペレーティングシステムがハッキング防止であることが証明、つまり、妥協することは証明されている、Linuxはまた、分けることができますので、保護を必要とする。
安全規制の不遵守を含む●ヒューマンエラーは、(必要な安全対策を講じるしない、定期的な安全性をチェックし、タイムリーなパッチ工事等の実装は)important因子安全システムをリードしている。
Linuxに対する●攻撃は、増加傾向を示した。
報告書はまた、特定のヒントを提供します:
安全意識、ツールの安全な使用を含め、スタッフの訓練の●強化、訓練のための安全手順など。
攻撃やウイルスに対するパッチシステムに●時間;
定期的な安全監査およびリスク評価システムの●実装。
上記のいくつかの権威の安全解析レポートから、我々は、"そこに換気されていない壁は"ソフトウェアおよびWindowsオペレーティングシステムとして、Linuxオペレーティングシステムではない、それは避けられない抜け穴であることがわかります。その使用が増加し、世界では、セキュリティインシデントの増加数に対する現在の攻撃が、状況は非常に厳しいものとなっ高まっている。注文は、多数のは、ネットワーク環境では、巻き込まLinuxシステムのセキュリティを確保するため、予防と復旧作業に主に人的要因に依存するイベント後、良い仕事をする必要がある技術の開発を増加させる。誰がシステムのセキュリティの最初の要素を決定することです。
Linuxのセキュリティは、業界の蓄積の多くの年を経験しているプロセスを保護するために、多くの重要な原則と方法管理システムからネットワーク管理に学ぶことができるより多くの経験では成熟している。これは、これらの重要な原則とツールを参照の使用のユーザーに利用する著者自身の経験を組み合わせることが、を最優先することのプロセスを使用できるように、ユーザーが欲しいと実践が、新しい、効果的な方法に応じて設定要約できます。
1、不要なネットワークサービスを排除する
Linuxの初期のバージョンは、それぞれ別のネットワークサービスをサービスプログラム(デーモン、デーモン)をバックグラウンドで実行している、単一の/ etc / inetdサーバのプログラムが役割を果たすこととそれ以降のバージョン。 inetdは、インターネットデーモンの略です、それはまた、外の世界に複数のネットワークポートを監視し、対応するTCPまたはUDPネットワークサービスの実装に接続情報を受信した。統一されたコマンドのために、サービスのほとんどでので、Linux TCPまたはUDPをinetdは/ etc / inetd.confをÅの設定ファイルにあるそこで、最初のステップは、/ etc / inetd.confファイル、"#"の数とサービスを不必要なサービスのチェックを削除しないことです。
一般的には、ほかには、SMTP、telnetのhttpにとftp、他のサービスは、単純なファイル転送プロトコルのtftp、ネットワークストレージと受信メールなどの電子メールをimapのために/ ipop転送プロトコル、検索、情報を検索をゴーとuseを張って使用廃止すべきである時刻同期と時間のように昼間。
システムは非常にトラブルシューティングと顧客を見つける便利ですがまたいる、しかし、指、efinger、systatとnetstatなどのシステム状態のサービスを、報告もハッカーへの扉を提供します。たとえば、ハッカーがユーザーの電話サービスを、同様に他の重要な情報のディレクトリを使用して見つけるために指を使うことができます。したがって、多くのLinuxシステムの全部またはこれらのサービス注文システムのセキュリティを強化するには、キャンセルの一部をキャンセルされます。
inetdは/ etc / servicesにポートをサービスで使用さ見つけるためにファイルを使用に加えて、システムサービスを設定するには/ etc / inetd.confにエントリを使用する以外に。したがって、ユーザーは慎重にポートをセキュリティの抜け穴を避けるために設定するファイルを調べる必要があります。
例えば、Linuxのそれ以降のバージョン(で、レッドハットは、Linux 7.2)、ネットワークサービスの管理のためのxinetdによって置き換え後。 (オンxinetdは、特定の使用は、この新聞に7月4日使用してxinetdは"、2005年第25 C11のバージョン"ネットワークアプリケーションを管理、または訪問www2.ccw.com.cn/05/0525/d/0525d04_1.asp見つけることができます)
Linuxでは、2つの別のサービスの種類は:1つは場合にのみ指サービスなどの必要なサービスは、、他のは、サービスのimplementationで停止されたことが実行されます。後者はブート時に開始し、したがって、彼らのサービスの変更を停止するinetdを頼ることはできないが、のみのD / Aまたは実行レベルエディタを変更するファイルの/ etc / rc.d / rcは[n]を変更できます。 NFSサーバーは、ニュースサービスの提供ファイルサービスを提供するために、ニュースのNNTPはこのようなサービスに属し、必要に応じていない場合、それは最高のこれらのサービスを削除することです。
もちろん、実際のアプリケーションに応じてサービスが一般化することはできません特定のキャンセルは、することが、必要のあるシステム管理者は、安全上の問題の認識のため一度、システムは、リークの検出と是正の秩序ある行動でステップの作業することができますする必要がありますこれは、より重要です。
2、厳格な監査システムのログイン
Linuxシステムを入力する前に、すべてのユーザーが、それは、ユーザーがユーザーIDとパスワードを入力し、検証only後に、システムによって、ユーザは、システムへ侵入できる必要がありますがログインする必要があります。
他のUnixオペレーティングシステムと同様にパスワードは、暗号化された後、/ etc / passwdファイルに格納され、Linuxは一般的にされます。 Linuxシステムは、すべてのユーザが読むことができます/ etc / passwdファイルを、ドキュメントが暗号化パスワードに格納されているが、まだ安全ではありません。ユーザーはブルートフォースメソッドパスワードを推測する既存のコードを最新のツールを使用することができますので、です。より安全な方法は、shadowファイルを/ etc / shadowを設定することが、唯一の特権ユーザーがファイルを読み取ることができます。
あなたはshadowファイルを使用する場合のLinuxシステムでは、あなたはユーティリティプログラムのすべてのことを再コンパイル、影のファイルをサポートする必要があります。このメソッドは、面倒な、比較的単純な方法は使用して、プラグイン認証モジュール(PAM)をします。多くのLinuxシステムでは、LinuxのツールでPAMを処理するために来て、それが認証メカニズムは、動的に他の公共プログラムの再コンパイルを必要とせず認証方法と要件を変更することができます。これは、PAMは、認証モジュールのほぼすべての隠されたロジックされる方法でクローズドパッケージ、それはshadowファイルで最高のヘルパーですので。
また、PAMは多くのセキュリティ機能があります:それはユーザのパスワードは簡単にクラックされていないことを保証するother more強力な暗号化メソッドのtraditional DES暗号化メソッドを書き換えることができます。これは、各ユーザーがコンピュータのリソースを使用するよう設定することができます天井が、それも、マシンの時間や場所にユーザーを設定することができます。
Linuxシステム管理者にのみインストールするとPAMを構成する数時間を過ごすには、大幅にLinuxシステムのセキュリティを向上させることができる、システム以外の多くの攻撃をブロックする必要があります。
3、最新のコアシステムを更新する
Linuxの良いオープンソースのソフトウェア、その安定性、セキュリティ、および可用性がLinuxの世界で非常に信頼性の保証され、共通のマスタでは、したがって、その流通経路と手順を定期的に更新された多くの優秀な製品を維持するシステムのパッチは、したがって、注文システムのセキュリティを高めるために、定期的にシステムのカーネルを更新してください表示されます。
Linuxオペレーティングシステムのカーネルは、その永続的なメモリの中核となる、残りは、オペレーティングシステムを読み込むために、オペレーティングシステムの基本的な機能を実現されます。コンピュータとネットワークのコア制御機能なので、それは、セキュリティシステムのセキュリティ上のだとして。
多くのカーネルのバージョンは、以前の既知のセキュリティの脆弱性が、ですが、また非常に安定していないだけ2.0.xのバージョンは、むしろ安定とsafe(一般inは、カーネルのバージョンのnumberは、も比較的安定しながらoddですが一般的ですベータ版は、ユーザーは)もっと注意を使用払う必要があります、作業効率の新バージョンも大幅に改善されます。セット内のカーネル関数は、のみ、すべてのすべての機能を受け入れていない、それ以外の場合は非常にコアのみのシステムリソースを占有ではなく、また機会がハッカーの宿泊になってくると必要な機能を選択します。
インターネットでは、多くの場合、Linuxシステムの管理者は、セキュリティのニュースグループは、新しいパッチへのアクセスが頻繁に知らされなければならない最新のセキュリティパッチがあります。一般的に、ユーザは常にポータルは、Red Hat(www.redhat.com)、Debian Linuxはポータル(www.debian.orgの)、ターボリナックスポータル(www.turbolinux.com)、Slackwareのポータル(ドケビニュース保つことができるslackwareの.. comなど)、SuSEの(/ index_us.html www.suse.com)ポータルは、Fedoraのポータルは、(fedora.redhat.com)と他の優秀なLinuxディストリビューションの懸念サイトは、システムのコアを更新し、最新のセキュリティをマークしてパッチこれは良いLinuxシステムのセキュリティを確保することができます。
4、パスワードをチェック
、特にスーパーユーザーのアクセス許可ユーザーは、いない場合は適切なパスワードと、システムが大きな原因となります解読さに設定するパスワードは非常に重要な安全対策とは適していないユーザのパスワードが設定されている場合、それは簡単ですセキュリティの脆弱性。
マルチユーザーのシステムでは、各ユーザーにパスワードが推測することは困難を選択し、大幅にシステムのセキュリティを強化する強制します。 passwdプログラムはマシン上で、パスワードのセキュリティを確保するために適切なパスワードをすべてのユーザーを強制することはできますただし、私たちは、パスワードクラッキングプログラムに頼ることができる。
実際には、ハッカーは、パスワードクラッキングプログラムはツールボックスのツールですが、それは一般的に暗号化プロセスの言葉を使って暗号化され、英語の辞書、パスワード、またはすべての単語をパスワードとして使用されることがありますされ、そのLinuxシステムで/ etc / passwdのパスワードファイル、または/ etc / shadowのシャドウファイル比較場合は、パスワードと一致するが、あなたはコードを取得することができます。
ネットワークパスワードの多くのプログラムをクラッキング見つけることができる、よく知られているプログラムがクラックされます。ユーザーは、パスワードの最初の実装を容易にハッカーがプログラムを見つけるために割れ自身のことができますパスワードを解読、ハッカーが有益であることがより修正するために最初の亀裂。
現在のところ最もパスワードクラック用プログラム、およびユーザーのパスワードが誤って、辞書攻撃に対して脆弱設定されて辞書攻撃の手段で暴力的な攻撃。多くのユーザはパスワードを設定する私の英語の名前、誕生日やその他のアカウント情報を使用するように、ハッカーは辞書攻撃によって可能性がありますので、またはソーシャルエンジニアリングの手段はパスワードをクラックする。だから、ユーザーがパスワードを設定する過程で、非辞書の文字を組み合わせで表示される、デジタルおよび文字を組み合わせ、パスワードが設定モードの場合を組み合わせて使用する必要が、パスワードのハッキングの難易度を増加している。また、定期的にパスワードを変更することができます、定期的にパスワードは、自分のパスワードを保護する方法を無効にする。
原則として着手するいくつかの特定の参照は、次の:
8文字以上で、可能な限り、パスワードの●パスワードの長さ。使用して、MD5パスワード、それは少なくとも15文字にする必要がある場合。使用してDESのパスワードは、最長の長さ(8文字)を使用してください。
●混合大文字と小文字。 Linuxは大文字小文字を区別ので、混合の場合、強力なパスワードのレベルを高めることです。
●混合文字と数字。中央を中心にパスワードの数字を、追加(始まりと終わりではないだけで)パスワードの堅牢性を高めることができる追加します。
●文字が文字と数字:&,$,とパスワードを大幅の堅牢性を高めることができるように 特殊文字以外は、(使用してDESのパスワードはこのような文字を使用できない場合)。
●選んであなたは覚えているパスワードです。あなたは、どんなに良いことがない使用メモリの使用の短縮形、または他の方法には、パスワードを思い出すのに役立つているパスワードを思い出すことができない場合。
●は、パスワードまたは番号でのみ言葉を使用しないでください。
●名前、辞書にある単語、あるいはなどドラマや小説の用語場合でも、両端が数値を使用して既製の語彙を使用避けるべきしないでください。
●単語の言語を使用しないでください。パスワードクラックプログラムが頻繁に辞書多言語の語彙リストを確認します。依存の言語でパスワードを正常に動作しない保護の目的を達成する。
●という用語はハッカーを使用しないでください。
●個人情報を使用しないでください。攻撃者は、その後は非常に簡単になるに使用するパスワードを派生させるあなたの身元を知っている場合。以下は、パスワード情報の種類を回避する必要があります作成することです:既存の語彙を元に戻すことか、良いパスワードは、常に、それ以上の確保逆しないように脆弱なパスワードを共通の単語を解読逆です。パスワードを、never記録しないパスワードがダウンして紙の上で、心の中で、より安全だったよう、すべてのマシンは、各マシン上で異なるパスワードを使用して同じパスワードを使用しないで非常に重要ですので、その場合は、システムのリーク、すべての他のシステムはすぐに脅かされていません。
5、ユーザーアカウントのセキュリティレベルが設定され
パスワードに加えて、ユーザーアカウントは、Linuxのためのセキュリティレベルを持ち、それぞれのアカウントがいるので、新しいユーザーIDは、システム管理者が必要アカウントに異なるアクセス許可を与えることに基づいている必要があります、異なるアクセス許可を与えることができる別のユーザーグループに統合。
Linuxシステムファイルの一部が、あなたは飛行機とクルーは、リストで許可されていないように設定することができます。人数/ etc / hosts.allowに設定すると、人数の/ etc / hosts.denyにセット内の平面上に許可されていないの一覧で平面上に許可されるリストの中に。また、Linuxは自動的に、または入力する結果を/ログイン/ファイルを確保するの/ varに記録を入力することはできませんが許可されますと、システム管理者が不審に応じて特定のレコードにアクセスすることができます。
各アカウントIDが人が責任を負う必要があります。スタッフIDの担当に残っている場合、企業では、管理者はすぐにシステムからアカウントを削除する必要があります。多くの侵入は、このそれらの長いアカウントを使用するされていません。
ユーザーアカウントのうち、ほとんどのハッカーのように、このスーパーユーザ権利を編集したり削除するシステムのさまざまな設定をrootアカウントのアクセス許可を持ってすることができますシステム妨げられることなくです。したがって、すべてのアカウントの前に、慎重に考慮する必要がroot権限を与える。
Linuxシステムの/ etc / securettyファイルは、端末名にログオンすることができますrootアカウントのセットが含まれます。例えば、Red Hat Linuxシステムは、ファイルの初期値は、ローカルの仮想(rtysを)ログイン権限をrootにコンソールが、許可権限をrootにリモートユーザを許可していません。私たちは、rootとしてのリモートログの許可があれば、ファイルを変更する最高ではない、それは最高の一般会計に最初のログすることであり、次にスーパーユーザーにアップグレードする秀コマンドを使用します。
"r"のリモートマネージャの6、慎重な使用
Linuxシステムでは、rloginのようなのr -接頭辞ユーティリティ、一連のrcpは、など。彼らは非常に簡単にハッカーが絶対ユーティリティに開かれている非常に危険なシステムを、アカウントをrootにしない侵入するために使用されます。これらのユーティリティを使用しています。rhostsファイル、またはhosts.equivファイルの承認を入力するので、内でこれらのファイルに含まれていないことを確認rootアカウントを確認します。
より良い方法のシステムを攻撃するrの接頭辞のハッカーは、リモートコマンドとして、多くのセキュリティツールはセキュリティの脆弱性に対処するように設計されます。たとえば、PAMのツールは、R -接頭辞ユーティリティを効果的にログイン方法と、それに/ etc / pam.d以下/ rloginのファイルを禁止するので、システム全体が、ユーザーは自分の家を使用することはできるように承認されなければ使用することができますディレクトリにあります。rhostsファイルを。
7、暗号化通信により
契約はもともと未熟として、既存のネットワークはそのような深刻なセキュリティ問題に開発される考慮しないように設計されたとして、我々は、使用しようとする必要がありますのでので、FTP、Telnetのその他のサービスとしてクリアテキストのパスワードやデータは、転送される現在のセキュリティ技術は、データの暗号化伝送。シェルSSHは、安全のために短い場合は、それは安全やrsh、rcp、およびその他のパブリックプログラムのプログラムグループをrloginを置き換えるために使用することができます。 SSHは、ネットワーク通信に2つのホストのメッセージの暗号化と認証の間にキーを持つ公開鍵技術を使用してツールとして。
SSHは、ネットワーク上で情報を暗号化するので、安全にリモートホストへのログオンに使用することができます、ホスト間の情報の2つの安全な伝送します。実際には、SSHの唯一のLinuxホスト間の通信のセキュリティを保護することはできません、Windowsユーザーが安全にSSH経由でLinuxサーバに接続することができます。 (SSHの特定の使用は9月12日にこの新聞で見つけることができますが、使用SHHの"2005年第35号C10のバージョンは、Linuxの下で"は、データ伝送のセキュリティを達成するために、またはwww2.ccw.com.cn/05/0535/d~~V参照してください/ 0535d04_3.asp)
8、スーパーユーザーの力を制限する
我々は、前述のとおり、ルートは、Linuxが保護の焦点は、その無限の力のために最高の簡単スーパーユーザライセンスが外出しないように、それはです。しかし、いくつかのインストールとメンテナンスの手順は、この例では、スーパーユーザー特権を必要としなければならないいくつかのスーパーユーザのアクセス許可にこのようなユーザーを有効にする他のツールを使用できます。 sudoはこのようなツールです。
sudoは一般ユーザは、ユーザ自身のパスワードの構成設定を読みとし、一度ログオンすると、スーパーユーザー特権を取得できますが、命令の実行の限られた数です。たとえば、sudoのアプリケーションは、あなたが管理者はバックアップ時間は毎日システムのバックアップのマニュアルを実行するには、スーパーユーザー権限を取得するためにログオンするテープを管理するだけでなく、することができますスーパーユーザ権限を他の作業を行うにはこともできます。
sudoは限られたユーザーの権限ではなく、あなたが使用して、各時間は、sudoに関係なく、指令の実施の成功または失敗されたレコードを実行コマンド。大企業では、時には多くの人々がLinuxシステムのさまざまな部分を管理している、各マネージャは、あなたは誰が何をした追跡できる権限を特定のユーザー能力をsudoをからのログインをsudoのスーパーユーザ特権を使用していると、システムの変更の一部。
それは、sudoは、特にいくつかの簡単な指示がない設定の制限は、可能性がある濫用されるすべてのユーザーの行動を制限されません注目される。彼らはスーパーユーザ特権を持ってたとえば、一般的なは/ etc / catコマンドファイルの内容を表示するために、ハッカーは変更したり、いくつかの重要なファイルを削除することができます使用されます。
プログラムの使用は、私たちは"、"についての詳細資料をLinuxのセキュリティツールの活用をする彼。
9、注意を払って、ハッカーの足跡を追い
ユーザーが)は、慎重にLinuxの設定(最も一般的なログ管理オプションに関連付けられての様々な設定後に必要なセキュリティの保護は、Linuxオペレーティングシステムをインストールするセキュリティを改善するために多くのをしない保証はありません防ぐためとして詳細熟練ネットワークハッカー。
通常回では、ネットワーク管理者は常に気を抜けないし、不審な状況のすべての種類に注意を払うと、時間に様々なシステムや、ログに関する一般的な情報を含むログファイルをチェックし、ネットワーク接続のログには、転送、ユーザのログインログ、ログファイルを。これらのログ調べでは、私たちが注意を払うかどうかを異常に時間の記録。例:
1泊分の真ん中に●通常のユーザのログ;
●が異常、ログレコードカット、またはログファイルの半分などが削除されますログ。
●Webサイトのユーザーは、なじみのないからシステムを入力します。
●誤ったパスワードまたはユーザーアカウントのエラーのため、ログアウト、放棄され、特に繰り返し続けての試みに失敗するが、そこに試行錯誤法の特定のモードは、
●不正使用またはスーパーユーザー権限のsuコマンドの不適切な使用。
●再起動または再起動サービスレコード。
これらの問題は、ユーザーのログイン状態は、ログファイルを表示するいつでもシステム管理者を監視するため、出発の手がかりの正常な動作から多くの注目度の高いにつながるはずだ必要があります。 (参照してください特定のメソッド新聞6月20日""の記事、または訪問www2.ccw.cow.cn/05/0523/d/0523d04_2.asp)Linuxのセキュリティを保護するためのログシステムを使用して、2005年第23号C15をバージョン
10、ファイアウォール、IDSなどの保護対策と組み合わせて
ファイアウォール、IDSと他の保護技術は、正常にネットワークセキュリティのすべての領域に適用されており、非常に成熟した製品をしています。現在、ファイアウォール、分散ファイアウォールは、次の製品を含む新しいアーキテクチャです。:
●のネットワークファイアウォールは:間の内部と外部ネットワーク(伝統的な境界ファイアウォール)元of機能からdifferent、サブネット、間の内部ネットワークの保護のproducts for内部ネットワークを持つことサポートする必要がIPアドレスと非IPプロトコル。
●ホストファイアウォール:ネットワークのサーバおよびデスクトップ保護のため、ネットワーク内のホストの物理的な位置はまた、内部ネットワークでは、ホストサーバーまたはモバイルオフィスのラップトップのようなことがあります。
●センターの管理:境界ファイアウォールの1つだけのネットワークデバイス管理は、ローカルです。セキュリティメカニズムとして、各ファイアウォールのセキュリティRenheのさまざまな要件のネットワークが必要位置に配置さに応じて興の監視のための分散ファイアウォールが、全体的なセキュリティ戦略は、あなたが計画と管理統一され、セキュリティポリシーの配布およびログ要約では、中央管理のすべての機能が必要です。センターの管理は分散型ファイアウォールのシステムとコアの重要な機能です。
Linuxシステムでは、組み込みNetfilterの/ iptablesのファイアウォールのアーキテクチャでは、合理的な配分を通じて、ファイアウォールの有効性にホストを再生できます。 (技術の使用は、5月9日の記事、または訪問www2.ccw.com.cn/05/0517/d/0517d04_2.asp"の適用を受ける)は、Linuxのファイアウォール機構"の2005年第17号C10のバージョンを、この新聞を参照してください
セキュリティポリシーの動作や攻撃の兆候に違反したIDSのためには、コンピュータネットワークまたはコンピュータシステムを介して、いくつかの重要なポイントに、情報を収集し、分析し、ネットワークやシステムから発見した。技術や機能に応じて分類され、侵入検知システムは、次のカテゴリに分けることができます:
●ホストベースの侵入検知システム:システム監査からの入力データは、通常はホストの侵略の発生を検出することができます記録されます。
●ネットワークベースの侵入検知システムは:情報の流れのネットワークからの入力データ、侵入を検出するセグメントが発生しました。
●2つのデータソースを侵入検知システムを分散:能力を同時に監査を分析する使用してホストシステムとネットワーク侵入検知システムのデータストリームから、一般的に、分散型アーキテクチャを複数の部分から構成ログ。
Linuxシステムでは、対応する軽量Snortのが、すぐに使用して効率的に保護を行っています。 (Snortの特定の使用では、新聞が4月11日Snortの塔"2005年の第13 C16はバージョンのLinuxサーバーのセキュリティを使用して建設され、"資料、またはwww2.ccw.com.cn/05/0513/d/0513d04_1を訪れる参照してくださいの。asp)
ファイアウォールのセキュリティの最初の層に相当するので、:ほとんどのアプリケーションの状況では、我々はこれらの2つの技術を統合する必要がある読者を思い出させる、必要、それが/ポートのペアのネットワークトラフィックをフィルタリングするIPアドレスのみの単純な比較は、とIDSより具体的には、それが特定のパケット(一部またはすべて)を介してネットワークトラフィックをフィルタリングする必要があるセキュリティの2番目の層です。それらの併用は、補完的なことができ、それぞれの利点を果たしている。現在、多くのセキュリティ製品は、進行中の研究との連携に基づいて、これは有望な方向である。
11、新しいトラッキング技術とその脆弱性を維持する
コンピュータ技術、ネットワーク通信技術とネットワークの攻撃と防御の技術開発が停止していません。独自の優れた、急速な発展としてのLinux、オープンソースのソフトウェアは、将来のアプリケーションでその存在の安全性は徐々に公開されますが。ネットワーク攻撃と防衛戦争の順序では、Linuxシステムのセキュリティを保護するため有利な立場を得るためにので、ハッカーは、新技術に焦点をいくつかの範囲に、私たち保護に関わるスタッフも、です、我々は警戒の高レベルを維持するために、新しい技術が必要です大きな懸念。重要なビジネスシステム、エンタープライズシステム管理者としてのLinuxの特に使用すると、できるだけ早くいくつかの新技術や新しい情報の脆弱性を得るには、予防措置を、早期取るにいくつかの権威のWebサイトやシステムについてのLinuxフォーラムを必要とするアクションは、欠陥は、時間の短い期間のmostをブロックすると、実際には常にセキュリティのスキルをimprove表示されたら、このは、よりよい解決策ところでアウト、simplyいくつかの既存toolsのon頼っているが十分にできないです。
12包括的な防衛、安全を確保するため
世界の観点からコンピュータのセキュリティは、存在しない絶対的な気密、100%安全なコンピュータシステムは、Linuxシステムが例外ではない。 Linuxシステムが大幅に安全性を向上させることができますが、上記の安全規則を適用するように一般的にハッカーは、コンピュータのゲーマー、簡単に入力することができない、必ずしもより洗練されたハッカーを停止しないため、ユーザーは使用する柔軟性を必要とする統合原則、実際のシナリオに基づいて効率の向上を達成するために調整がされるように改善されます。
李ヤン博士科学技術中国のアカデミーコンピューティング研究所。研究テーマは、大規模なネットワーク情報セキュリティ、コンピュータソフトウェアと理論が含まれます。持っては、ネットワーク情報セキュリティ研究開発の分野に従事。持っては国家自然科学基金プロジェクト"の数"、"国家863計画"、"国家242情報セキュリティ計画"と他の主要な状態の研究開発プロジェクトに携わって。