网络管理员指南 -1.网络介绍 - 5.维护你的系统 -1)系统安全

/ns/wz/net/data/20020808020935.htm

网络管理员指南 -1.网络介绍 - 5.维护你的系统 -1)系统安全

本文出自:http://www.linpus.com.tw 作者: Andrew Anderson

在一个网络环境下系统管理的另外一个非常重要的方面是保护的的系统和用户不受侵犯。疏忽的系统管理给不怀好
意者可乘之机:攻击的范围从密码猜测到Ethernet探听,毁坏包含从假的的邮件信息到数据的丢失或者是对你的用
户秘密的威胁。我们将讨论一些可能进入的内容的特殊的问题,以及一些常用的抵御方法。

本章将讨论处理系统安全的例子和基础技术。当然,题目不能涵盖所有你可能面对的所有的安全问题。它们只是描
述可能发生的一些问题。因此,阅读一本有关安全的书籍是非常必要的,特别是在一个网络系统中。极力推荐
Simon Garfinkel的 ``Practical UNIX Security'' (see [])。

系统的安全来自于好的系统管理。这包括所有权的检查以及所有重要文件和路径的进入许可。、监特权帐户的使用
等等。例如,COPS程序将检查你的文件系统和命令配置文件中不经常使用的许可或者其它的不规则。使用一个有特
定规则的用户密码套组使其不容易猜测也是一个聪明的做法。例如影子密码套组要求一个密码至少有5个字母,并且
要同时包含上面和下面的数字。

当使一个服务可以应用于网络,确定要给它一个“最小特权,”表示你不允许它代表做你不许可的事情。例如,你只
有在根或者是其它优先的帐户真正需要的时候才将setuid程序安装到它们上去。同样的,如果你只需要使用一个有很
大限制的应用程序,不要犹豫,把它限制在你的特殊应用程序允许的范围内。例如,如果你想要允许无磁盘主机从你
的机器启动,你必须提供TFTP(小文件传送服务)这样,在使用没有被限制的时候它们可以从/boot路径下下载基础
配置文件。这不是你想要的,为什么不限制TFTP服务到/boot路径呢?

根据同样的考虑,你可能想要限制特定的服务到用户使用特定的主机,表达来自于你的本地网络。在章节-,我们将介
绍tcpd,它可以在许多类型的网络应用中做这个工作。

另外一个重要的点是要避免“危险的”文软件。当然,任何你所使用的软件都可能是危险的,因为软件可能含有错误,
它们是聪明的人想要获得进入你的系统的许可。象这样的事情发生,并且没有完全的保护措施。这个问题对免费的软件
和商业化产品的影响是相同的。然而,那些要求特殊特权的程序本身比其他程序更为危险,因为如何循环漏洞都可以有
严重的后果。如果你在为网络目的安装一个setuid程序,你需要双北小心,不要漏掉文件中的任何内容,这样你就不会
节外生枝。

你可以不指定什么时候你的警觉失败,忽略你曾经如何谨慎。这样,你需要确定你尽早检查入侵者。检查一个系统记录
文件是一个好的开始,但是入侵者可能非常聪明,删除所有他或者她可能留下的任何明显的痕迹。然而,象tripwire这
样的工具可以让你检查重要的文件中的内容或者是许可是否被修改过。在后续的运行中,checksums被重新计算并与保存
的内容相比较以检查是否曾被修改。