发信人: zenyw (hyln), 信区: Security
标  题: Linux操作系统十大高级安全管理技巧 上
发信站: 中国Cisco技术论坛 (Thu Apr 27 10:08:20 2006)


Linux操作系统十大高级安全管理技巧 上

[color=red][size=3] Linux操作系统十大高级安全管理技巧 上 购买空间顶级域名：39元
/年[/color][/size]
[img]http://bbs.ccxx.net
=1&Uin=320047791&Site=天桥小袁

&Menu=yes][color=blue][size=3]和我交流 [/color][/size][/url]

Linux操作系统十大高级安全管理技巧

由于Linux操作系统是一个开放源代码的免费操作系统，因此受到越来越多用户的欢迎。随
着Linux操作系统在我国的不断普及

，有关的政府部门更是将基于Linux开发具有自主版权的操作系统提高到保卫国家信息安全
的高度来看待，因此我们不难预测

今后Linux操作系统在我国将得到更快更大的发展。虽然Linux与UNIX很类似，但它们之间
也有一些重要的差别。对于众多的习

惯了UNIX和WindowsNT的系统管理员来讲，如何保证Linux操作系统的安全将面临许多新的
挑战。本文介绍了一系列实用的

Linux安全管理经验。 

　　一、文件系统 

　　在Linux系统中，分别为不同的应用安装单独的主分区将关键的分区设置为只读将大大
提高文件系统的安全。这主要涉及

到Linux自身的ext2文件系统的只添加（只添加）和不可变这两大属性。 

　　● 文件分区Linux的文件系统可以分成几个主要的分区，每个分区分别进行不同的配
置和安装，一般情况下至少要建立/

、/usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。
如果/usr中有任何文件发生了改变

，那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boo
t和/sbin的安装和设置也一样。在安

装时应该尽量将它们设置为只读，并且对它们的文件、目录和属性进行的任何修改都会导
致系统报警。 
当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等，其自身的性质就决定
了不能将它们设置为只读，但应该

不允许它具有执行权限。 

　　● 扩展ext2使用ext2文件系统上的只添加和不可变这两种文件属性可以进一步提高安
全级别。不可变和只添加属性只是

两种扩展ext2文件系统的属性标志的方法。一个标记为不可变的文件不能被修改，甚至不
能被根用户修改。一个标记为只添加

的文件可以被修改，但只能在它的后面添加内容，即使根用户也只能如此。 

　　可以通过chattr命令来修改文件的这些属性，如果要查看其属性值的话可以使用lsat
tr命令。要想了解更多的关于ext2文

件属性的信息，可使用命令manchattr来寻求帮助。这两上文件属性在检测黑客企图在现有
的文件中安装入侵后门时是很有用

的。为了安全起见，一旦检测到这样的活动就应该立即将其阻止并发出报警信息。 

　　如果你的关键的文件系统安装成只读的并且文件被标记为不可变的，入侵者必须重新
安装系统才能删除这些不可变的文件

但这会立刻产生报警，这样就大大减少了被非法入侵的机会。 

　　● 保护log文件当与log文件和log备份一起使用时不可变和只添加这两种文件属性特
别有用。系统管理员应该将活动的

log文件属性设置为只添加。当log被更新时，新产生的log备份文件属性应该设置成不可变
的，而新的活动的log文件属性又变

成了只添加。这通常需要在log更新脚本中添加一些控制命令。 

　　二、备份 

　　在完成Linux系统的安装以后应该对整个系统进行备份，以后可以根据这个备份来验证
系统的完整性，这样就可以发现系

统文件是否被非法窜改过。如果发生系统文件已经被破坏的情况，也可以使用系统备份来
恢复到正常的状态。 

　　● CD-ROM备份当前最好的系统备份介质就是CD-ROM光盘，以后可以定期将系统与光盘
内容进行比较以验证系统的完整性

是否遭到破坏。如果对安全级别的要求特别高，那么可以将光盘设置为可启动的并且将验
证工作作为系统启动过程的一部分。

这样只要可以通过光盘启动，就说明系统尚未被破坏过。 

　　如果你创建了一个只读的分区，那么可以定期从光盘映像重新装载它们。即使象/boo
t、/lib和/sbin这样不能被安装成只

读的分区，你仍然可以根据光盘映像来检查它们，甚至可以在启动时从另一个安全的映像
重新下载它们。 

　　● 其它方式的备份虽然/etc中的许多文件经常会变化，但/etc中的许多内容仍然可以
放到光盘上用于系统完整性验证。

其它不经常进行修改的文件，可以备份到另一个系统（如磁带）或压缩到一个只读的目录
中。这种办法可以在使用光盘映像进

行验证的基础上再进行额外的系统完整性检查。 

　　既然现在绝大多数操作系统现在都在随光盘一起提供的，制作一个CD-ROM紧急启动盘
或验证盘操作起来是十分方便的，它

是一种十分有效而又可行的验证方法。 

、改进系统内部安全机制 
[color=red][size=3]购买空间顶级域名：39元/年[/color][/size]
[img]http://bbs.ccxx.net
=1&Uin=320047791&Site=天桥小袁

&Menu=yes][color=blue][size=3]和我交流 [/color][/size][/url]
　　可以通过改进Linux操作系统的内部功能来防止缓冲区溢出攻击这种破坏力极强却又最
难预防的攻击方式，虽然这样的改

进需要系统管理员具有相当丰富的经验和技巧，但对于许多对安全级别要求高的Linux系统
来讲还是很有必要的。 

　　● SolarisDesigner的安全Linux补丁SolarisDesigner用于2.0版内核的安全Linux补
丁提供了一个不可执行的栈来减少缓

冲区溢出的威胁，从而大大提高了整个系统的安全性。 

　　缓冲区溢出实施起来是相当困难的，因为入侵者必须能够判断潜在的缓冲区溢出何时
会出现以及它在内存中的什么位置出

现。缓冲区溢出预防起来也十分困难，系统管理员必须完全去掉缓冲区溢出存在的条件才
能防止这种方式的攻击。正因为如此

，许多人甚至包括LinuxTorvalds本人也认为这个安全Linux补丁十分重要，因为它防止了
所有使用缓冲区溢出的攻击。但是需

要引起注意的是，这些补丁也会导致对执行栈的某些程序和库的依赖问题，这些问题也给
系统管理员带来的新的挑战。 

　　不可执行的栈补丁已经在许多安全邮件列表（如securedistros@nl.linux.org）中进
行分发，用户很容易下载到它们等。 

　　● StackGuardStackGuard是一个十分强大的安全补丁工具。你可以使用经StackGuar
d修补过的gcc版本来重新编译和链接

关键的应用。 

　　StackGuard进行编译时增加了栈检查以防止发生栈攻击缓冲区溢出，虽然这会导致系
统的性能略有下降，但对于安全级别

要求高的特定应用来讲StackGuard仍然是一个十分管用的工具。 

　　现在已经有了一个使用了SafeGuard的Linux版本，用户使用StackGuard将会更加容易
。虽然使用StackGuard会导致系统性

能下降约10～20%，但它能够防止整个缓冲区溢出这一类攻击。 

　　● 增加新的访问控制功能Linux的2.3版内核正试图在文件系统中实现一个访问控制列
表，这要可以在原来的三类（owner

、group和other)访问控制机制的基础上再增加更详细的访问控制。 

　　在2.2和2.3版的Linux内核中还将开发新的访问控制功能，它最终将会影响当前有关e
xt2文件属性的一些问题。与传统的

具有ext2文件系统相比它提供了一个更加精确的安全控制功能。有了这个新的特性，应用
程序将能够在不具有超级用户权限的

情况下访问某些系统资源，如初始套接等。 

　　● 基于规则集的访问控制现在有关的Linux团体正在开发一个基于规则的访问控制（
RSBAC）项目，该项目声称能够使

Linux操作系统实现B1级的安全。RSBAC是基于访问控制的扩展框架并且扩展了许多系统调
用方法，它支持多种不同的访问和认

证方法。这对于扩展和加强Linux系统的内部和本地安全是一个很有用的。 

　　四、设置陷井和蜜罐 

　　所谓陷井就是激活时能够触发报警事件的软件，而蜜罐（honeypot）程序是指设计来
引诱有入侵企图者触发专门的报警的

陷井程序。通过设置陷井和蜜罐程序，一旦出现入侵事件系统可以很快发出报警。在许多
大的网络中，一般都设计有专门的陷

井程序。陷井程序一般分为两种：一种是只发现入侵者而不对其采取报复行动，另一种是
同时采取报复行动。 

　　设置蜜罐的一种常用方法是故意声称Linux系统使用了具有许多脆弱性的IMAP服务器版
本。当入侵者对这些IMAP服务器进

行大容量端口扫瞄就会落入陷井并且激发系统报警。 

　　另一个蜜罐陷井的例子就是很有名的phf，它是一个非常脆弱的Webcgi-bin脚本。最初
的phf是设计来查找电话号码的，但

它具有一个严重的安全漏洞：允许入侵者使用它来获得系统口令文件或执行其它恶意操作
。系统管理员可以设置一个假的phf

脚本，但是它不是将系统的口令文件发送给入侵者，而是向入侵者返回一些假信息并且同
时向系统管理员发出报警。 

　　另外一类蜜罐陷井程序可以通过在防火墙中将入侵者的IP地址设置为黑名单来立即拒
绝入侵者继续进行访问。拒绝不友好

的访问既可以是短期的，也可以是长期的。Linux内核中的防火墙代码非常适合于这样做。
 

　　五、将入侵消灭在萌芽状态 

　　入侵者进行攻击之前最常做的一件事情就是端号扫瞄，如果能够及时发现和阻止入侵
者的端号扫瞄行为，那么可以大大减

少入侵事件的发生率。反应系统可以是一个简单的状态检查包过滤器，也可以是一个复杂
的入侵检测系统或可配置的防火墙。 

　　● AbacusPortSentryAbacusPortSentry是开放源代码的工具包，它能够监视网络接口
并且与防火墙交互操作来关闭端口

扫瞄攻击。当发生正在进行的端口扫瞄时，AbacusSentry可以迅速阻止它继续执行。但是
如果配置不当，它也可能允许敌意的

外部者在你的系统中安装拒绝服务攻击。 

　　AbacusPortSentry如果与Linux中透明的代理工具一起使用可以提供一个非常有效地入
侵防范措施。这样可以将为所有IP

地址提供通用服务的未使用端口重定向到PortSentry中，PortSentry可以在入侵者采取进
一步行动之前及时检测到并阻止端口

扫瞄。 

　　AbacusPortSentry能够检测到慢扫瞄（slowscan），但它不能检测到结构化攻击（st
ructuredattack）。这两种方式最终

目的都要试图掩盖攻击意图。慢扫瞄就是通过将端口扫瞄分散到很长的时间内来完成，而
在结构化的攻击中，攻击者试图通过

扫瞄或探测多个源地址中来掩盖自己的真实攻击目标。 

　　正确地使用这个软件将能够有效地防止对IMAP服务大量的并行扫瞄并且阻止所有这样
的入侵者。AbacusSentry与Linux2.2

内核的IPChains工具一起使用时最有效，IPChains能够自动将所有的端口扫瞄行为定向到
PortSentry。

　　Linux2.0内核可以使用IPChains进行修补，AbacusPortSentry也可以与早期的2.0版内
核中的ipfwadm工具一起使用，

ipfwadm在2.2版本以后被IPChains取代了。 

　　AbacusPortSentry还可以被配置来对Linux系统上的UDP扫瞄作出反应，甚至还可以对
各种半扫瞄作出反应，如FIN扫瞄，

这种扫描试图通过只发送很小的探测包而不是建立一个真正的连接来避免被发现。 

　　当然更好的办法就是使用专门的入侵检测系统，如ISS公司的RealSecure等，它们可以
根据入侵报警和攻击签名重新配置

防火墙。但这样的产品一般价格较高，普及的用户承受起来有困难。


六驾马车! 拉动双线! 架起天桥!


天桥科技推出双线空间+超低价域名组合，有6大特色：

1，南电信北网通双线单IP的接入环境，不存在域名解析烦恼;

2，支持ASP，ASP.NET，PHP，CGI，支持FSO，ZEND2.5，JMAIL，动易2005SP2等组件，可以
灵活确定建站方案;

3，提供WEB页面的空间管理支持，可自主修改FTP密码、WEB站点状态和邮局管理密码;

4，随时可以升级IIS连接数、空间大小，甚至升级产品类型;

5，购买空间直接赠送企业邮局;  

6，享受域名特价39元的优惠;

多款产品类型，总有一款适合您，心动不行如行动，
客服三部，全天侯为您服务！  [color=red][size=4]购买空间顶级域名：39元/年[/colo
r][/size]
[img]http://bbs.ccxx.net
=1&Uin=320047791&Site=天桥小袁

&Menu=yes][color=blue][size=4]和我交流 [/color][/size][/url] 
客服部，全天侯为您服务！  
欢迎您来 http://bbs.ccxx.net   http://bbs.ccxx.net

做人要厚道!
详情请在线咨询：[color=red][size=5]QQ：320047791[/color][/size]
EmaiL:tq19@tqidc.com
联系电话：[color=red][size=5]0371--65388187 -803[/color][/size]
[color=blue][size=4] 销售部 联单联系人: 叶先生    [/color][/size]
双线空间全面升级,公司网站改版，为庆祝厦门公司成立,现在天桥数据促销活动。
--

※ 来源:．中国Cisco技术论坛 bbs.ccxx.net [FROM: 221.14.247.41]