您所在的位置:读书频道 > 操作系统 > Linux > 1.2.8 安全性设置

1.2.8 安全性设置

2007-12-05 09:50 鸟哥 机械工出版社华章公司 字号:T | T
一键收藏,随时查看,分享好友!

《鸟哥的Linux私房菜——服务器架设篇》(第二版)第一章讲了架站之前所需的技能分析,本文是安全性设置。

AD:

1.2.8  安全性设置

前面说过,网络的安全越来越需要关注。那么如何架设好一个相对安全的网站呢?您至少需要有下面介绍的这些概念。

1. 严格规范用户的密码设置规则

“猜密码”仍是一个不可忽视的入侵手段!例如,SSH如果对Internet开放的话,您又没有将root的登录权限关闭,那么对方将可能以root身份尝试登录您的Linux主机,这个时候对方最重要的步骤就是猜出root的密码了。如果root的密码设为“1234567”,想不被入侵都很难。所以需要严格地规范用户密码的设置。那么如何规范严格的密码规则呢?可以这样做:

(1)修改/etc/login.defs文件里面的规则,让用户需要每半年更改一次密码,且密码长度需要长于8个字符。
(2)利用/etc/security/limits.conf来规范每个用户的相关权限,让您的Linux可以较为安全一点。
(3)利用pam模块来额外地进行密码的验证工作。

2. 利用Super daemon与TCP Wrappers管理服务权限

如果使用xinetd这个super daemon,或者是直接使用tcp wrappers的函数库,那么您将可以直接使用/etc/hosts.allow以及/etc/hosts.deny来管理是否能够登录系统的某个daemon的权限!在hosts.allow(deny)里面,能够限制的有IP、网段、网域等的配置,如此一来,可以让您的daemon提供有限的信任网段,这就会更安全一些。

3. 利用netfilter防火墙

除了/etc/hosts.allow(deny)之外,利用防火墙机制iptables来为主机配置单机防火墙是很重要的。如果Linux的Kernel是2.4.xx以上版本(包含2.6),防火墙机制为iptables,如果是2.2.xx版本的话,则是使用ipchains。如果不是因为特殊需求的话,目前我们大概都会建议大家使用iptables这个机制,它不但配置较为简单,而且功能更为强大。

4. 持续进行软件包修补

让我们做一个简单的假设:架设了防火墙,是否就高枕无忧了?如果您的答案是“是”,那么仔细地看下面的内容!如果您的主机有开放WWW也就是80端口,既然要开放80端口,当然防火墙就需要开放客户端连接。也就是说,虽然您架设了防火墙,可以抵挡非80端口以外的联机,不过,不论来自何方的联机,只要连接到您的80端口,那么该联机就会予以通过。万一这个WWW软件被侦测出有漏洞的话,由于您的80端口是允许大家连接的,结果别人就可以利用WWW的漏洞成功地入侵您的主机了。这样说可以理解为什么系统管理员需要常常更新软件以修补漏洞了吧。
无论如何,以现今的网络功能及维护来看,架设一个“功能很强”的主机,还不如架设一个“稳定且安全”的主机。因此,对于主机的安全要求就更加严格了。就鸟哥的观点来看,如果您的主机是用来替您赚钱的,例如某些研究单位的大型Cluster运算主机,那么架设一个让您觉得很不方便的防火墙系统,都是合理的。因为主机被入侵就算了,若数据被窃取,那问题就严重了。

【责任编辑:雪花 TEL:(010)68476606】

回书目   上一节   下一节

分享到:

  1. Linux服务器配置全程实录
  2. 揭秘--优秀PPT这样制作

热点职位

更多>>

热点专题

更多>>

读书

网络工程师必读——网络系统设计
本书是一本真正意义上的网络系统设计图书,从网络系统设计角度全面介绍了整个网络系统设计的思路和方法,而不是像传统网络集成类

最新热帖

更多>>

51CTO旗下网站

领先的IT技术网站 51CTO 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院 区块链第一聚合媒体 zhijiapro