基本的安全性
幸运的是,Linux有许多内置的安全性,它从Unix的先辈继承。用户帐户显然是彼此分开的。很容易配置一个Linux系统,以便普通用户在自己的用户空间之外拥有零权限。如果管理员或“root”帐户没有物理访问权限,并且没有适当的密码和登录策略,则该帐户实际上是不可接触的。
用户帐户安全
Root是系统中的头号用户。幸运的是,root权限只能通过使用像“sudo”这样的程序来显式共享。除此之外,在正常情况下,普通用户根本无法做到什么。但用户帐户也可能是妥协的来源,他们需要安全。我们可以从确保用户目录只能由账户所有者访问开始。要做到这一点,只能为用户创建具有读,写和执行权限的目录:
码:
drwx------ 101 bsmith bsmith 8192 Nov 9 17:53 bsmith
如果有人能够获得用户帐户的密码,这将使得浏览其他用户的文件以获取密码等可能的信息变得非常困难。它也会让合法用户在其他人的目录中徘徊。当然,为了获得root权限,可能只需要一个用户帐户。这可以通过利用已知的错误来完成。请记住,我们正在努力使它变得更加困难,但100%的安全是不可能的。
如果不允许,则禁止
运行Linux系统绝对不能与民主相提并论。根用户是独裁者。他或她允许的,是允许的。什么是不允许的话不会出现辩论。它是被禁止。如果你是root用户,而且你刚刚建立了一个系统,你应该做的第一件事就是去/ etc,打开hosts.deny文件。如果它不在那里,请在其中放置以下行。这应该是文件中的唯一行,除了注释:
码:
ALL : ALL
这从一开始就确立了没有人能做任何事情。也就是说,我们拒绝ALL。现在我们可以开始通过主机访问某些主机和用户了。
允许访问hosts.allow中的服务可以是基于服务的,基于主机/ IP的或者两者兼而有之。例如,如果您想允许通过IMAP登录邮件,可以将其添加到您的hosts.allow:
码:
imapd: ALL
由于您可能有漫游用户,因此在任何时候都不可能知道他们可能在哪里。例如,他们可能正在从酒店或公共无线点连接到机场。这将让任何人从任何地方登录(或至少尝试登录)到IMAP守护进程。由于邮件密码通常是以明文形式发送的,因此如果您的用户拥有与其帐户相同的邮件提取密码,则这可能是安全漏洞。他们的密码可能被嗅探,攻击者可以通过用户帐户在系统中立足。这当然不一定要发生。例如,我们可以建立一个使用虚拟帐户而不是真实帐户的邮件系统,将用户帐户和邮件帐户分开。虚拟邮件帐户也将使您不必为系统上的用户帐户。具有虚拟账户的邮件系统可以是非常有用的,我们将在这个高级课程的一个单独的部分处理。
还有一些措施,我们可以采取的hosts.allow文件本身将减缓攻击者下来。我们可以通过在hosts.allow中添加以下几行来限制通过主机名或IP访问其他服务。
码:
# acmeisp.com = Bob's ISP# 333.444.555.666 = Janet's home IP# 987.654.321.001 = Dave the outside consultantALL : 192.168., .acmeisp.com, 333.444.555.666, 987.654.321.001
我总是发现添加一些有关这些IP和主机属于谁的评论是个好主意。如果你最终结束与外部顾问戴夫的合同,你不再希望他能够接触到这台机器。通过这些评论,您可以更轻松地跟踪人们应该访问的内容以及应该删除的内容。当然,这只是一点点工作,但是安全性和你投入的工作一样好。相信我,攻击者有更多的时间在你的手上,所以任何额外的工作是值得的麻烦。
我们尽可能使用默认的工具和文件保护我们的机器,但仍然不够好。现在我们可以做什么,除了在不使用机器时拔掉我们的机器,就是建立一个一流的防火墙。
关注吕田论坛获取更多资讯
领取专属 10元无门槛券
私享最新 技术干货