FreeBSD handbook中文版 10 安全
2008-02-23 08:02:01来源:互联网 阅读 ()
目录 10 安全
10.1 概要
10.2 介绍
10.3 确保FreeBSD 的安全特性
10.4 DES, MD5 和Crypt
10.5 S/Key
10.6 Kerberos
10.7 防火墙
10.8 OpenSSL
10.9 IPsec
10.10 openSSH
=============================================================
第10 章安全
=============================================================
(翻译中出现的任何问题或错误,请广大读者及时反馈给我:freebsdhandbook@163.com)
10.1 概要
这章将对系统安全概念作一个的基本介绍,还有一些通用的好的规则,和一些在
FreeBSD 下的高级主题。这儿提到的许多主题已经很好地应用于系统和Internet 的安全。
确保你的系统安全将保护你的数据,不至于被黑客所窃取。
FreeBSD 提供了许多工具和机制来确保你的系统和网络的安全。
读完这章,你将了解到这些:
. FreeBSD 的基本系统安全概念。
. FreeBSD 中可用的如DES 和MD5 这样的加密(crypt)机制。
. 如何设置S/Key,一种一次性的密码验证机制。
. 如何设置Kerberos,另一种密码验证机制。
. 如何使用IPFW 来创建防火墙。
. 如何配置IPSec。
. 如何配置和使用OpenSSH,FreeBSD 的SSH 执行方式。
在阅读这章之前,你必须了解:
. 了解基本的FreeBSD 和internet 概念。
10.2 介绍
安全是系统管理至始至终最基本的要求。所有的BSD UNIX 系统都有它自身内在的安
全性,建构和维护额外的安全机制,确保用户的“诚实”大概是系统管理最艰巨的工作之一。
机器仅保持着建构时最原始的安全性,而安全性必须要考虑到用户使用的便利性。通常
UNIX 系统能够支持巨大的并发用户处理,而这些处理中绝大部分是以服务器形式处理的----
这意味着外部的实体能够连接和互相交谈。昨天的小型电脑和主机变成了今天的桌面机,电
脑已连到局域网和互联网,安全就成了一个非常严峻的问题。
第1 页FreeBSD 使用手册
通过一个分层的方法,安全能够很好地实现。你所要做的就是创建很多的安全层,然后
仔细地监视系统以防入侵。你不要过多地创建安全层,否则你将会影响检测面。检测是许多
安全机制中最重要的方法。例如,在每一个二进制程序中,很难判断schg 标记,因为这样
会临时地保护二进制,它会妨碍对一个已经侵入的攻击者作一个很容易的检测,以至最终你
的安全机制根本检测不到攻击者。
系统安全也涉及到攻击的许多方面,包括试图摧毁或使一个系统无法使用。安全问题主
要被分成几类:
1, 拒绝服务的攻击;
2, 窃取用户的帐户;
3, 通过最近的服务器窃取root 帐户;
4, 通过用户帐户窃取root 帐户;
5, 创建后门;
拒绝式服务攻击是侵占机器所需资源的一种方法。有代表性的,D.O.S 攻击,是非常残
忍的攻击机制,它通过压倒性的流量来破坏服务器和网络堆栈,试图摧毁机器或使机器无法
使用。一些D.O.S 攻击利用在网络堆栈中的错误,仅用一个简单的信息包就可以摧毁一台机
器。这可以向内核添加一个错误补丁来修复。在一些不利的条件下,对服务器的攻击能够被
修复,只要适当地修改一下系统的选项来限制系统对服务器的负荷。顽强的网络攻击是很难
对付的。例如,一个欺骗性信息包的攻击,无法阻止入侵者切断你的系统与internet 的连接。
它不会使你的机器死掉,但它会把internet 管道塞满。
窃取用户帐户要比D.O.S 攻击更加普遍。许多系统管理员仍然在它们的服务器上运行着
基本的telnetd,rlogind,rshd,ftpd 服务。这些服务器默认情况下,不会通过加密连接来操作。
结果是如果你的系统有中等规模大小的用户,在通过远程登陆的方式登陆到你系统的用户
中,一些人的密码会被人窃取。仔细的系统管理员会从那些成功登陆系统的远程访问日志中
寻找可疑的资源地址。
假定,一个入侵者已经访问到了一个用户的帐户,入侵者就会使超级用户失效。然而,
事实是在一个安全的系统中,访问用户的帐户不应该给入侵者访问root 的权限。这个区别
是很重要的,因为没有访问root 的权限,入侵者是无法隐藏它的轨迹的,但可能不需要做
什么,就可以把用户的文件弄乱或使机器崩溃。窃取用户帐户是很普遍的事情,因为用户往
第2 页FreeBSD 使用手册
往不会对系统管理员的警告采取措施。
系统管理员应该牢牢记住,可能有许多潜在的方法会使root 失效。入侵者可能知道root
的密码,可以在一个以root 权限运行的服务器上找到一个错误(bug),就可以通过网络连
接到那台服务器上使root 失效,或者一旦入侵者已经侵入了一个用户的帐户,可以在自己
的机器上运行一个程序来发现服务器的漏洞,从而让他侵入到服务器使root 失效。如果入
侵者已经找到了方法使root 失效,入侵者就不需要安装一个后门。许多root 漏洞被找到之
后,入侵者会想尽办法去删除日期来清除自己的访问痕迹,所以很多入侵者会安装后门。后
门能给入侵者提供一个简单的重新获取访问系统的root 权限,但它也会给聪明的系统管理
员一个探测入侵的简便方法。认为入侵者不可能安装了后门,这种思想事实上对你的系统安
全是有害的,因为这样他就不会隔离从一开始就侵入系统的黑客发现的漏洞。
安全的管理方法应当使用象剥洋葱皮一样多层次,层层逼近的方法来实现,可以按下面
的方式进行分类:
1, 确保root 用户和其它用户帐户的安全;
2, 确保root 用户---以root 用户权限运行的服务器和suid/sgid 二进制程序的安全;
3, 确保用户帐户的安全;
4, 确保密码文件的安全;
5, 确保内核中内核设备和文件系统的安全;
6, 快速检测系统中发生的不适当的变化;
7, 偏执狂;
这一章的下一节将比较深入地讲述上面提到的每一个条目。
10.3 确保FreeBSD 的安全
下面这节将讲述确保系统安全的方法。
10.3.1 确保root 用户和其它用户帐户的安全
首先,如果你没有确保root 帐户的安全,请不要为确保其它用户的安全而烦恼。绝大
多数系统都会指派一个密码给root 用户帐户。第一件事是假定密码总是不安全。这并不意
味着你要把密码删掉。密码通常对用控制台访问机器是必须的。也就是说,你不应当让它用
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
