发信人: zenyw (hyln), 信区: Security 标 题: Linux操作系统十大高级安全管理技巧 下 发信站: 中国Cisco技术论坛 (Thu Apr 27 10:07:36 2006) Linux操作系统十大高级安全管理技巧 下 [color=red][size=3]Linux操作系统十大高级安全管理技巧 下 购买空间顶级域名:39元 /年[/color][/size] [img]http://bbs.ccxx.net =1&Uin=320047791&Site=天桥小袁&Menu=yes][color=blue][size=3]和我交流 [/color][ /size][/url] 六、反攻击检测 系统主要通过阻止入侵企图来防止入侵,而反攻击系统则可以反向进行端口扫瞄或发 起其它的攻击,这一着让入侵者不仅入侵阴谋未能得逞,反而“引狼入室”,招致反攻击 。 有些安全系统如AbacusSentry具有一定的反攻击能力。比如有的站点有了防止用户通 过telnet进行连接,在应答telnet连接请求时,系统将返回一些不受欢迎的恶意信息。这 只是一种最简单也是最轻微的反攻击措施。 一般情况下并不提倡使用反攻击功能,因为这样的反攻击措施很容易被非法利用来攻 击其它的系统。 七、改进登录 服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别,使用一个 更安全的登录服务器来取代Linux自身的登录工具也可以进一步提高安全。 在大的Linux网络中,最好使用一个单独的登录服务器用于syslog服务。它必须是一个 能够满足所有系统登录需求并且拥有足够的磁盘空间的服务器系统,在这个系统上应该没 有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志文件的 能力。 ● 安全syslog即使使用单独的登录服务器,Linux自身的syslog工具也是相当不安全 的。因此,有人开发了所谓的安全log服务器,将密码签名集成到日志中。这会确保入侵者 即使在窜改系统日志以后也无法做到不被发现。现在最常用的用于取代syslog的安全log服 务器称为“安全syslog(ssyslong)”,用户可以从CoreSDI站点http://bbs.ccxx.net om/ssylog处下载这个工具。这个守护程序实现一个称为PEQ-1的密码协议来实现对系统日 志的远程审计。即使在入侵者获得系统超级用户权限的情况下也仍然可以进行审计,因为 协议保证了以前以及入侵过程中的的log信息没有审计者(在远程可信任的主机上)的通知 无法被修改。 ● syslog-ng另一个取代syslog的工具是syslog-ng(下一代的syslog)。这是一个更 加可配置的守护进程,它提供了密码签名来检测对日志文件的窜改。密码安全登录服务器 和远程审计功能一起可以使入侵者极难进行日志窜改并且非常容易被检测到这样的不良企 图。用户可以从www.babit.hu/products/syslog-ng.html处下载这个工具。 八、使用单一登录 系统维护分散的大网络环境中的多个用户帐号对于系统管理员来讲是一件非常头疼的 事情。现在有一些单一的登录(signon)系统不仅可以减轻管理员的负担,而同时还提高 了安全级别。 网络信息服务(NIS)是一个很好的单一登录系统,它在Sun公司的YellowPage服务的 基础上发展来的,它的基本安全特性不够健状,由于不断有一些bug和脆弱性被公布,因此 有人戏称它为网络入侵者服务(NetworkIntruderService)。NIS的更新版本NIS+原NIS的 不足进行了改进,现在已经有了用于Linux的NIS+版本。 Kerberos也是一种非常有名的单一登录系统。Kerberosv4具有一些很有名的安全漏洞 ,如入侵者可以离线进行穷尽攻击Kerberoscookie而不会被发现。Ketberosv5大大进行了 改进,不会再有v4的问题。 在大的网络中,象NIS和Kerberos这样的单一的登录系统虽然有有利的一面,但也有它 不利的一面。一方面,在不同系统上都具有认证机制有助于隔离该功能并且减少它与其它 服务相互之间的影响。另一方面,一旦一个系统中的某个帐号被破坏,所有可通过这个帐 号访问的系统都将同样遭到破坏。因此在单一的登录系统中特别要求具有较高防猜测水平 的口令字。 [color=red][size=3]购买空间顶级域名:39元/年[/color][/size] [img]http://bbs.ccxx.net =1&Uin=320047791&Site=天桥小袁&Menu=yes][color=blue][size=3]和我交流 [/color][ /size][/url] 基于Windows的网络在WindowsNT域系统中有自己的单一登录系统。Linux系统可以根据 Windows系统进行认证。这允许用户在Windows系统下修改、维护和管理它们的帐号和口令 字并且修改结果会在同时在UNIX登录中得到体现。如使用pam_smb,Linux系统可以根据Wi ndowsSMBDomain进行认证。这在以Windows网络管理为中心的网络中是相当方便的,但它也 带来了Windows认证系统自身的一些不安全性。 九、掌握最新安全产品和技术 作为一个系统管理员,还必须时刻跟踪Linux安全技术的发展动向,并且适时采用更先 进的Linux安全工具。目前国际上有许多有关Linux安全的研究和开发项目,目前至少有三 个安全Linux项目已经启动,每个项目的目标都有自己的侧重点,它们分别是: ● 安全Linux(SecureLinux)安全Linux(www.reseau.nl/securelinux)项目的目标 是提供一个用于Internet服务器系统的安全的Linux分发。该项目管理者正寻求在这个产品 中集成强大的密码和一些额外的Web服务器功能。既然它是在美国之外创建的,人们可望能 够得到改进的密码安全而不会受到美国安全产品出口法律的限制。 ● BastilleLinuxBastilleLinux(www.bastille-linux.org)项目寻求在Linux环境中 建立一个类似OpenBSD的标准。该项目宣称的目标是为台式机创建一个安全的分发,使网络 管理者可以不用担心用户的安全。 ● Kha0sLinuxKha0sLinux(www.kha0s.org)正寻求创建了一个具有强加密和类似Op enBSD的安全政策的最小的安全Linux分发。该小组目前正在它的Web站点上请求全球用户和 厂商的参与和合作。 除此之外,下面两点对于管理员提高Linux安全管理水平也是十分有用的: 访问安全Linux邮件列表现在有许多关于Linux安全的邮件列表,如securedistros@nl .linux.org、Kha0s-dev@kha0s.org等,经常访问这些邮件列表可以得到大量的安全信息。 还有另一个通用的邮件列表是security-audit@ferret.lmh.ox.ac.uk,它是专门讨论 源代码的安全审计的。这个列表可能与其它的邮件列表有大量的重复,但如果想了解源代 码审计和相关的安全问题的话还是很值得一读的。 十、多管齐下 任何一种单一的安全措施其防范能力都是有限的,一个安全的系统必须采取多种安全 措施,多管齐下才能更好的保证安全。假如一个Linux系统采取了以上各种安全措施,那么 要想侵入你的系统,攻击者将不得不绕过防火墙、避开入侵检测系统、跳过陷井程序、通 过系统过滤器、逃过你的日志监视器、修改文件系统属性、破坏安全登录服务器才能最终 达到目的。由于其中任何一个环节都可能激发报警,因此入侵者要想侵入这样的系统而又 不被发现几乎是不可能的。 双线空间全面升级,公司网站改版,为庆祝厦门公司成立,现在天桥数据促销活动。 50M 产品价格: 原价99元/年 促销价79元/年 100M 产品价格: 原价159元/年 促销价139元/年 200M 产品价格: 原价369元/年 促销价199元/年 300M 产品价格: 原价429元/年 促销价299元/年 500M 产品价格: 原价899元/年 促销价399元/年 1G 产品价格: 原价1289元/年 促销价599元/年 2G 产品价格: 原价2889元/年 促销价999元/年 各位站长不好意思 只宣布一次 请谅解! [color=red][size=4]购买空间顶级域名:39元/年[/color][/size] 客服部,全天侯为您服务! [img]http://bbs.ccxx.net =1&Uin=320047791&Site=天桥小袁&Menu=yes][color=blue][size=4]和我交流 [/color][ /size][/url] 客服部,全天侯为您服务! 欢迎您来 http://bbs.ccxx.net http://bbs.ccxx.net 做人要厚道! 详情请在线咨询:[color=red][size=4]QQ:320047791[/color][/size] EmaiL:tq19@tqidc.com 联系电话:[color=red][size=3]0371--65388187 -803[/color][/size] [color=blue][size=3] 销售部 联单联系人: 叶先生 [/color][/size] 双线空间全面升级,公司网站改版,为庆祝厦门公司成立,现在天桥数据促销活动。 -- ※ 来源:.中国Cisco技术论坛 bbs.ccxx.net [FROM: 221.14.247.41] |