20.9 形形色色的安全事务

作者: [美]Evi Nemeth Garth Snyder Trent R.Hein 出处:人民邮电出版社 　2008-04-24 10:32　   砖    好    评论  条 　进入论坛

阅读提示：《linux系统技术手册》第20章为您展示的是安全，本节为您介绍的是形形色色的安全事务。

20.9  形形色色的安全事务

下面各小节提出了与安全相关的多种主题。它们中的大多数是对管理员有帮助的功能，但如果不加以检查就可能成为给黑客提供“建窝材料”的坏功能。

20.9.1  远程事件日志

系统日志工具（syslog）能把内核和用户进程的日志信息转发给一个文件、一组用户或网络上的另一台主机。请考虑设置一台安全的主机来充当中央日志机器，分析日志文件，以及为感兴趣事件发电子邮件。这项预防措施可以防止黑客通过重写或清除日志文件来抹掉他们的行踪。有关系统日志的更多信息请参见第10章。

20.9.2  安全终端

Linux可以进行配置，限制root只能登录特定的“安全”终端。禁止root在SSH、VPN或者其他远程连接上登录是明智的。网络伪终端也往往设置为禁止root登录。

安全通道通常按照配置文件/etc/securetty中的一张TTY设备列表来设置。还有可能用/etc/ security/access.conf文件中的配置项把非root用户限制在特定位置登录，或者用/etc/security/time.conf文件中的配置项限制他们在特定时间登录。

系统管理员仍然能正常登录，使用sudo获得对超级用户的权限的。

20.9.3  /etc/hosts.equiv和~/.rhosts

hosts.equiv和~/.rhosts文件定义的主机在管理上是彼此“等价的”，用户无需键入口令即可（通过rlogin）登录和（通过rcp）复制文件。在UNIX和谐和睦的时代，这个工具程序一度得到普遍使用，但每个人最后都感到它非常讨厌，并且认识到这可不是个好主意。
幸好SSH协议实际上消除了客户使用不安全的等效程序telnet、rsh和rlogin。它的用法在本章后面介绍。

rlogin的一些替代软件（包括SSH!）如果配置不正确的话，它们会注意.rhosts和/etc/hosts.equiv内的配置。为了增加安全性，您可以为每位用户（包括root）创建/etc/hosts.equiv文件和一个不可写的、长度为0的~/.rhosts文件。如果存在一个文件并且没有被人碰过，那么估计它在凌晨3:00时的状态总要比估计一个不存在的文件的状态容易一些。当您在跟踪入侵者和他们攻破系统的企图时，这一点区别是至关重要的。

20.9.4  安全与NIS

除了用作本节的标题之外，这两个名词永远不应该一起使用。NIS（Network Information Service，网络信息服务，以前叫做黄页）是一种Sun的数据库发布工具，许多站点用它来保存和发布像/etc/group、/etc/passwd和/etc/hosts这样的文件。很遗憾，其“易于信息访问”的性质使它成为吸引黑客的诱饵。

更安全和可靠地发布这些文件的一种方法是创建像“netadmin”这样的一个登录名，并把这些文件最新的副本放在目录~netadmin下。然后您可以在每台客户机上运行一个cron调用的脚本来用scp复制文件、检查完整性和安装文件。scp是SSH的一部分，参考20.11.3节了解有关SSH的更多知识。

20.9.5  安全与NFS

NFSv4是IETF对Sun公司以前的协议所做的一种扩展，它具有很强的安全性，而且有其他一些比早先的实现更好的优点。虽然该协议尚不完善，但是开发工作开展顺利，所以在Linux 2.6内核中包含了NFSv4。
NFS的老版本都使用一种安全性很弱的模型。参考16.1.7节了解更多有关NFS安全的知识。使用showmount -e可以看到哪些文件系统被导出了，导出给谁了。每个被导出的文件系统都应该有一个访问列表，并且所有的主机名都应该用全名。

20.9.6  安全与sendmail

sendmail是一个庞大的程序，它要以root权限运行（至少原来是这样）。因此，sendmail常常成为黑客攻击的目标。要确保在所有系统上运行的都是最新版本的sendmail。因为安全问题是发行新软件版本最可能的原因之一，所以，除了最新版本外，所有版本的sendmail都可能有问题，有关sendmail的更多信息请参见第19章。

专门和sendmail安全性有关的细节在18.12节介绍。您可以从www.sendmail.org获知特定版本的信息。

20.9.7  安全与备份

定期的系统备份是任何网点安全计划的一个重要组成部分。要保证所有分区都被定期地转储到磁带上了，而且还要在异地保存一些备份。如果发生重大的安全事故，您可以恢复到一个未受污染的检验点。有关备份的更多信息请参见第9章。

备份也可以成为一种安全风险。因为一旦把磁带安装到驱动器上，任何人都可以读取它的内容，所以您必须妥善严密地保管所有的备份磁带。备份时考虑使用加密。如果您在考虑签订合同使用一种存储设施，那么先要求实际试用一下。

20.9.8  病毒与蠕虫

Linux一直都最不容易感染病毒。Linux上只有很少的一些病毒（其中大部分的本质还是学术研究性质的），而且没有哪种病毒对Linux造成了Windows上司空见惯的那种损失。尽管如此，仍然没有阻止某些防病毒厂商去预测Linux平台将被恶意软件所摧毁—当然，除非您以一个特殊的指导价，购买这些商家的防病毒产品。

Linux上少有恶意软件的真正原因还不清楚。有些人认为Linux只是因为比其桌面竞争对手的市场份额低，因此没有成为病毒制造者感兴趣的目标。其他人则坚持认为Linux受访问控制的环境限制了自行传播的蠕虫或者病毒的扩散破坏。

后一种观点有一定道理。因为Linux把系统中可执行程序的写权限限制在文件系统一级，没有特权的用户账号不能影响到环境的其他地方。除非病毒代码是以root身份运行的，否则其作用范围就会大大地受到限制。于是最关键的一点就是不要用root账号做日常的工作。

或许与人们的直觉相反的是，在Linux服务器上运行防病毒软件有一个正确的理由，即保护您本地的Windows系统免于受到专门针对Windows的病毒的侵害。邮件服务器可以扫描电子邮件中的附件有没有携带病毒，文件服务器能够扫描共享文件看是否受到病毒感染。不过，这些解决方案应该作为对桌面机器防病毒保护的一种补充，而不能代替后者。

Tomasz Kojm开发的ClamAV是一种用于Linux的流行的免费防病毒产品。这种得到广泛使用的GPL软件是一套完整的防病毒工具库，带有成千上万种病毒的特征。您可以从www.clamav.net下载到最新版的ClamAV。

20.9.9  特洛伊木马

特洛伊木马是一种表里不一的程序。特洛伊木马的一个例子是名为turkey的程序，很久以前在Usenet流传。这个程序说它将在您的终端屏幕上绘制一幅火鸡图片，但实际上它会删除您主目录下的文件。

另一个引起更大争议的特洛伊木马的例子是，2004年和2005年索尼公司发布的许多音乐光盘中带的保护版权的软件。这种指导思想上就有错的行为的目的是阻挠共享音乐的人，索尼公司在未征得听音乐的人同意的情况下，在Windows系统上安装了保护软件。这个软件给电脑主机引来了可以被蠕虫和病毒利用的安全漏洞。

特洛伊木马的不完整碎片不时会出现在主要的Linux软件包中。sendmail、tcpdump、OpenSSH和InterBase都发布了有关其产品中出现恶意软件的安全建议。这些特洛伊木马一般植入恶意代码，让攻击者能随心所欲地访问受害者的系统。还好，大多数软件商都会在一两周内纠正软件，并发出安全建议。对于Linux主机上运行的任何网络软件包，都要关注其安全邮递列表。

在列出Linux界过去几年中发现的与安全有关的异常行为的数量后发现，引起人们注意的是特洛伊木马的事故是如此之少。这种情况在很大程度上要归功于Internet通信的速度。明显的安全性问题往往很快被发现并广泛讨论。在知名的Internet服务器上，恶意的软件包不会被保留太久。

可以肯定的是，任何被发现怀有恶意的软件都会在Internet上得到广泛讨论。如果您希望在安装软件之前快速确认一下，可以用这个包的名字在您最喜欢的搜索引擎上搜索一下。

20.9.10  Rootkits

最熟练的黑客总是会试图掩盖他们的踪迹，避免自己被发现。他们经常希望能连续利用您的系统非法扩散软件、探测其他网络或者发起针对其他系统的攻击。他们经常使用“rootkit”来帮助自己不会被检测到。索尼公司的特洛伊木马就利用了类似rootkit的功能来防止自己被用户发现。

rootkit是隐藏重要系统信息（如进程、硬盘或者网络活动）的程序和补丁。它们有许多种风格，复杂程度也千变万化，简单到替换应用程序（如被黑过的ls和ps版本），复杂到几乎不可能被发现的内核模块。

基于主机的入侵检测软件，如samhain（下面会介绍）是一种监视系统是否有rootkit出现的有效手段。虽然有程序能帮助系统管理员把rootkit从一个被感染的系统中删除，但是考虑到做一次彻底的清理工作所花费的时间，更节省时间的做法是保存数据、重新格式化硬盘，从头开始装系统。最高级的rootkit知道常见的删除程序，会试图破坏它们。

回书目   上一节   下一节