21.20.42  安全的技巧和思想克里福斯版的Linux安全

本章讨论的安全问题范围很广，种类很多。理想情况下，您应该在您的环境里解决所有这些问题。不过，如果您的时间或者耐性不够的话，这里有6条综合起来看是要给予考虑的最重要的安全问题，外加一些附带的要遵守的规则（大多数系统管理员都应该切实消化本章的全部内容，或许还要不只一次地这样做）。

（译者注：克里福斯（CliffsNotes）是John Wiley & Sons出版公司旗下的著名品牌，以出版面向学生的速成读物而著称。）

21.20.24.1  包过滤

如果您把Linux系统通过Internet接入连接到网络上，您必须在Linux系统和外界之间有一台过滤数据包的路由器或者防火墙。另一种替代的做法是，使用Linux系统自带的iptables配置包过滤机制（在21.20.131节讨论）。无论采用什么样的实现，包过滤器都应该只允许这样的流量通过：它们的目的地是您专门想在这台Linux系统上提供的必要服务。

21.20.24.2  不必要的服务

在默认安装中打开什么网络服务这个问题上，各种版本的Linux的认识有很大的不同。大多数发行版本都带有几种不必要的服务。因此，要由您来考察系统上已经启用的各种服务，并且关闭没有绝对必要的那些服务。从netstat和fuser这两条命令开始是一条不错的途径。为了切实搞清楚一个攻击者能看到哪些服务，可以从一台远程主机用端口扫描程序对您的系统进行扫描。研究/etc/inetd.conf文件（或者，在Red Hat上是/etc/xinetd.d下的文件）应该是您要做的第一步20.10.1节介绍的nmap就是一个安全工程师的理想端口扫描程序。

21.20.24.3  软件补丁

所有的主流Linux发行版本都会定期发布与安全有关的软件包，通常每月两次通常每月数次。您必须紧密地关注与您所用的Linux版本系统软件（以及您正在运行的任何软件）相关的补丁，并且立即安装它们。要记住，在一旦有了补丁出现之前，“坏小子们”已经知道了这个漏洞好几个星期了，补丁本身可能就已经太晚了。

21.20.24.4  备份

不要太指望RAID盘阵，而是要把数据中心的数据备份到别处去。您必须定期对您所有的系统做备份，这样一来，如果发生了安全事件，您就能够有效地恢复系统。镜像、RAID或者“热待机（hot standby）”技术都不足以取消备份。第109章里介绍了怎样做备份的知识。

21.20.24.5  口令

我们简单的人用简单的方法。这里有一个简单的方法：每个账号都必须有口令，它必须是不容易猜出来的口令。可惜通过Internet发送可重复使用的明文口令已经不再是安全的了，所以如果您允许远程登录系统，就必须使用SSH或者其他有身份验证的系统或者其他能保护远程访问安全的系统（在21.20.911.3节讨论）。

21.20.24.6  警惕性

为了保证您系统的安全，您必须定期地（通常是每天）监视它的健康状况、网络连接、进程表和全部状态进程表和总体状态。使用本章后面讨论的强大工具来定期做自我评测。安全问题倾向于从小处开始，逐步扩大，所以确定异常越早，解决效果就越好。

21.20.24.7  普遍原则

有效的系统安全性扎根于常识，这就像对付房子里老鼠的骚扰，下面是您可能用到的一些规则。

—  不要把老鼠可能感兴趣的东西留在厨房的桌子上过夜。乳酪和花生奶油是老鼠最喜欢的。

—  不要在房子内提供老鼠可以造窝的地方。地板上成堆的脏衣服是做窝的好地方。

—  沿着您从眼角经常瞥见老鼠出没的墙边设置陷阱。

—  每天检查鼠夹，重新装上诱饵并处理被夹扁的老鼠。已满的鼠夹捉不住老鼠，还会发出怪味。

—  避免使用商业诱杀毒药来处理这种情况。它们会让死老鼠留在墙里，或者毒死您的狗。传统的老鼠夹最好。

—  养一只猫！

您可以使用同样的规则（嗯，稍微做点修改）来保护您Linux系统。您可以像下面这样把它们重写一下：

—  不要把黑客或好管闲事的职员可能感兴趣的文件放在系统中。商业机密、人员档案、薪酬数据、选举结果等，如果它们在线的话必须小心地处理。用加密的方式保护这样的信息，比起简单地试图防止未经授权的用户访问包含它的文件，可以提供高得多的安全度。

—  不要把黑客或好管闲事的职员可能感兴趣的文件放在系统中。商业机密、人员档案、薪酬数据、选举结果等，如果它们在线的话必须小心地处理。用加密的方式保护这样的信息，比起简单地试图防止未经授权的用户访问包含它的文件，可以提供高得多的安全度。

—  站点的安全策略中应该指定如何处理敏感的信息。请参考第2930章和RFC2196（站点安全性手册）本章介绍的中的一些建议安全标准（20.3.2节），获得一些建议。

—  不要为黑客提供可以在系统中造窝的地方。黑客常常攻入一个系统，然后把它用作进入其他系统的根据地。有时候，黑客可能会用您的网络来掩盖自己攻击真实目标的踪迹。能公开访问但确有安全漏洞的服务、任何人都有写权限权的匿名FTP目录、多人共用的帐号以及选择口令不佳的账号多人共用的账号以及被遗忘的系统，都是在鼓励造窝活动都是在鼓励黑客的筑巢活动。

—  设置陷阱以检测入侵和入侵企图。像tripwiresamhain、tcpdxinetd和John the Rippercrack这样的工具（在21.20.810节中介绍）可以帮助您跟得上处理潜在的问题。

—  严密监视由这些安全性工具生成的报告。在一份报告中被忽略的小问题，有可能在下一份报告发出送之前变成灭顶之灾。

—  自学有关Linux系统安全的知识。传统的“know-how”、用户培训和常识都是站点安全计划中最重要的部分用户培训和常识都是站点安全规划中最重要的部分。把外面的专家请带进来，帮助填补空缺，但一定要在您的密切监视和批准之下。

v—  四处搜寻，寻找不寻常的活动。调查任何看起来不寻常的事情，比如奇怪的日志消息或某个账号活动的变化（活动频繁，在古怪的时间活动，或者也许在账号主人的休假期间活动）。