注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

谷搜互联网应用www.iguso.com

谷搜专注企业邮箱十二年

 
 
 

日志

 
 

主机能做哪些保护  

2014-11-21 10:19:59|  分类: Linux技术文章 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

主机能做哪些保护: 软体更新、减少网络服务、启动 SELinux

  根据本章前面的分析,现在你知道封包的流向以及主机基本需要进行的防护了。不过你或许还是有疑虑,那就是, 既然我都已经有了防火墙,那么权限的控管啦、密码的严密性啦、服务器软体的更新啦、SELinux 啦等等的, 是否就没有这么重要呢?毕竟它是封包进入的第一关卡!这关把关严格,后续可以稍微宽松吗?其实...你错了! 对于开放某些服务的服务器来说,你的防火墙『根本跟屁一样,是没有用的!』怎么说呢?

  软体更新的重要性

  让我们看一看的流程好了,假设你需要对全世界开放 WWW ,那么提供 WWW 服务的 httpd 这只程式就得要执行,并且,你的防火墙得要打开 port 80 让全世界都可以连接到你的 port 80 ,这样才是一部合理的 WWW 服务器嘛!问题来啦,如果 httpd 这只程式有资安方面的问题时,请问防火墙有没有效用?当然没有!因为防火墙原本就得要开放 port 80 啊!此时防火墙对你的 WWW 一点防护也没有。那怎办?

  没啥好说的,就是软体持续更新到最新就对了!因为自由软体就是有这个好处,当你的程式有问题时, 开发商会在最短的时间内取得志工提供的修补程式 (patch) ,并将该程式码补充到软体更新资料库中, 让一般用户可以直接透过网络来自动更新。因此,要克服这个服务器软体的问题,更新系统软体就对了。

  但是你得要注意,你的系统能否更新软体与系统的版本有关!举例来说,2003 年左右发布的 Red Hat 9 目前已经没有支援了, 如果你还是执意要安装 Red Hat 9 这套系统,那么很抱歉,你得要手动将系统内的软体透过 make 动作来重新编译到最新版, 因此,很麻烦~同样的, Fedora 最新版虽然有提供网络自动更新,但是 Fedora 每一个版本的维护期间较短,企业邮箱 你可能需要常常大幅度的变更你的版本,这对服务器的设定也不妥当。此时一个企业版本的 Linux distributions 就很重要啦! 举例来说,鸟站的主机截至目前为止 (2011/07) 还是使用 CentOS 4.x ,因为这个版本目前还是持续维护中。 这对服务器来说,是相当重要的!稳定与安全比什么都重要!

  认识系统服务的重要性

  同时思考一下第二章网络基础里面谈到的网络连线是双向这件事, 我们会得到一个答案,那就是在的第二个步骤中,如果能够减少服务器上面的监听接口, 此时因为服务器端没有可供连线的接口,用户端当然也就无法连线到服务器端嘛!那么如何限制服务器开启的接口呢? 第二章就谈到过了,关闭接口的方式是透过关闭网络服务。没错啊!所以了,此时能够减少网络服务就减少,可以避免很多不必要的麻烦。

  权限与 SELinux 的辅助

  根据网络上面多年来的观察,很多朋友在发生权限不足方面的问题后,都会直接将某个目录直接修订成为 chmod -R 777 /some/path/。 如果这部主机只是测试用的没有上网提供服务,那还好。如果有上网提供某些服务时,外贸企业邮箱那可就伤脑筋了!因为目录的 wx 权限设定一起后, 代表该身份可以进行新增与删除的动作。偏偏你又给 777 (rwxrwxrwx) ,代表所有的人都可以在该目录下进行新增与删除! 万一不小心某支程式被攻击而被取得操作权,想想看,你的系统不就可能被写入某些可怕的东西了吗? 所以不要随便设定权限啊!

  那如果由于当初规划的帐号身份与群组设定的太杂乱,导致无法使用单纯的三种身份的三种权限来设定你的系统时,那该如何是好? 没关系的,可以透过 ACL 这个好用的东西! ACL 可以针对单一帐号或单一群组进行特定的权限设定,相当好用哦! 他可以辅助传统 Unix 的权限设定方面的困扰哩。详情请参考基础篇的内容呦!

  那如何避免使用者乱用系统,乱设定权限呢?这个时候就得要透过 SELinux 来控制了。SELinux 可以在程序与档案之间再加入一道细部的权限控制,因此,即使程序与档案的权限符合了操作动作,但如果程序与档案的 SELinux 类型 (type) 不吻合时,美国空间那么该程序就无法读取该档案哦! 此外,我们的 CentOS 也针对了某些常用的网络服务制订了许多的档案使用规则 (rule),如果这些规则没有启用, 那么即使权限、SELinux 类型都对了,该网络服务的功能还是无法顺利的运作哦!

  根据这样的分析,我们可以知道,随时更新系统软体、限制连线接口以及透过启动 SELinux 来限制网络服务的权限,经过这三个简单的步骤,你的系统将可以获得相当大的保护!当然啦, 后续的防火墙以及系统登录档分析工作仍是需要进行的。本章后续将依据这三点来深入介绍。

  评论这张
 
阅读(6)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017