BBS水木清华站∶精华区
发信人: arale (IQ博士之超级无敌小云篇:)), 信区: Unix
标 题: Unix的管理安全(下)[转]
发信站: BBS 水木清华站 (Fri Dec 10 09:21:32 1999)
加强安全管理
实际上安全的管理就是把该关的功能关闭,该限制的文件限制访问
权限。从上面的介绍,fingerd应当关掉或被替换。关闭fingerd的
方法也很简单:注释掉/etc/inetd.conf文件中finger进程来禁止
finger,并重新启动inetd进程。或者在Internet上下载一个新的
fingerd程序,它提供的信息可以让系统管理员放心。
如果要运行sendmail,请修改邮件发送配置文件(通常位于
/etc/sendmail.cf),将O PrivacyOptions=authwarnings改为
O PrivacyOptions=authwarnings,novrfy,noexpn,这样可以
关闭expn和vrfy的输出。
如果安装的操作系统没有shadow的话,建议安装shadow程序,
并确实保证shadow文件的安全。备份shadow文件时文件名不能
和shadow有关,最好备份到软盘上存放于安全地点。
希望国内的系统管理员们多看看黑客方面的消息,在这方面没有权
威。漏洞从来不是CERT或DDN发现的,等他们做出反应时,对于
那些敏感的地方来说可能已经太晚了。知识是从细心地搜索中学来
的,经常上网是不可缺少的。
安全建议
从安全角度考虑,经常做telnet、ftp等需要传送口令的重要机密
信息应用的主机应该单独设立一个网段, 以避免某一台个人机被攻
破,被攻击者装上sniffer, 造成整个网段通信全部暴露。有条件的
情况下, 重要主机装在交换式集线器上,这样可以避免sniffer偷听
密码。
专用主机只开专用功能,如运行网管、数据库重要进程的主机上不
应该运行如sendmail这种bug比较多的程序。网管网段路由器中
的访问控制应该限制在最小限度,与系统集成商研究清楚各进程必
需的进程端口号, 关闭不必要的端口。
对用户开放的各个主机的日志文件全部定向到一个syslogd
server上, 集中管理。该服务器可以由一台拥有大容量存贮设备的
Unix或NT主机承当。定期检查备份日志主机上的数据。
网管不得访问Internet。并建议设立专门机器使用ftp或WWW下
载工具和资料。
提供电子邮件、WWW、DNS的主机不安装任何开发工具,避免
攻击者编译攻击程序。
不向用户提供pine、elm、 mail、 vi等命令或环境, 登录只提供
更换口令的功能。
网络配置原则是“用户权限最小化",例如关闭不必要或者不了解
的网络服务, 不用电子邮件寄送密码。
下载安装最新的操作系统及其它应用软件的安全和升级补丁,安装
几种必要的安全加强工具,例如tcpwrapper, tripwire,john
等,限制对主机的访问,加强日志记录,对系统进行完整性检查,
定期检查用户的脆弱口令,并通知用户尽快修改。
定期检查系统日志文件,在备份设备上及时备份。
定期检查关键配置文件(最长不超过一个月)。
重要用户的口令应该定期修改(不长于三个月),不同主机使用不
同的口令。
制定完整的系统备份计划,并严格实施。
制定详尽的入侵应急措施以及汇报制度。发现入侵迹象,立即打开
进程记录功能(process accounting),同时保存内存中的进程
列表(psaef)以及网络连接状态(netstatn),保护当前
的utmp、 wtmp、lastlog、 sulog等重要日志文件,有条件的
话,立即打开网段上另外一台主机监听网络流量,尽力定位入侵者
的位置。如有必要,断开网络连接。在服务主机不能继续服务的情
况下,应该有能力从备份磁带中恢复服务到备份主机上。
结束语
我很欣赏在某一个安全方面的个人主页上看到的一句话,大意如
下:为了网络的安全,请您随手锁门。
我个人认为,在攻击强度不大时,随手锁门比换一把大锁唱空城计
更有效。在网络安全方面应当“不以善小而不为,不以恶小而为
之”。
--
hehe.....阿拉蕾来乐落... :))
IQ博士--之小云情结 :P
※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 210.39.3.50]
BBS水木清华站∶精华区