文章內容

Linux服務器系統最佳安全實踐

發布時間: 2012/8/7 17:53:54

　　維護一個企業級的安全的計算環境需要設計策略和過程從而使得對系統和數據的未授權訪問降至最低。為了保護基于Linux的計算機資產免于這些威脅，像許多其它以安全為核心的過程一樣，你必須知道你想保護什么以及別人可能會如何嘗試獲取訪問。成功的安全管理是心態。也就是說，像壞孩子那樣思考。
　　在本文中，我們將會討論基于Linux的服務器系統的風險評估。
　　確保你的Linux服務器系統安全的第一步是正確地評估所面臨的風險。只有這之后企業才能部署一套有效的防護措施來預防、偵測，并且如果需要的話對于可能發生的違規正確地做出反應。
　　首先，辨識需要保護的Linux資產。
　　資產可能包括硬件、軟件、數據或像email或Web站點主機這樣運轉的服務。每個資產都具有價值，要么是貨幣價值要么是未來可能帶來收入。
　　接著，辨識每個資產面臨的潛在威脅。
　　威脅可能來自組織的內部或外部。一些內部威脅只不過是偶然的，但是有些可能是惡意的。
　　對于資產的威脅依賴于攻擊的動機和攻擊者如何獲得對資產的訪問。動機可能是純粹的挑戰，傷害資產的擁有者，或是為了謀利。攻擊者可能想訪問你的數據或只是拒絕合法用戶的訪問。每個威脅都有被利用的必然的可能性，這通常與資產的價值相關。雖然在組織內廣泛地了解和變化會有困難，但是使用一個風險管理框架來給每個辨識的威脅分配一個可能性，會幫助你對緩和這些風險需要采取的行動進行優先級安排。
　　盡管不可能列出所有潛在的威脅途徑，但一份最常見風險的概述能讓你開始自己的風險評估。
　　最棘手的威脅途徑是用戶。
　　盡管有各種的保護機制，人們仍然會被愚弄或被要挾做出不恰當的行為。用戶的意識、培訓和訪問權限是緩和任何Linux風險的重要部分。
　　密碼在任何計算環境中經常代表著最常見的軟肋。
　　為了辨識不安全的登錄密碼，運行如John the Ripper這樣的密碼有效性檢查器。應用和數據庫的密碼也應該檢查“可被破解性”或是進行修改以便滿足這樣的需求。同時，辨識Linux服務器上不需要的訪問授權。例如，如果密碼文件（/etc/passwd）被遠程地分發（通過rcp/rcopy程序或NIS服務），用戶可能會對從未使用的服務器具有登錄訪問權限，從而創造了毫無好處的潛在的威脅途徑。
　　另外一個主要的威脅途徑是網絡。
　　任何能訪問你的本地網絡（物理的或是無線方式）的用戶有可能試圖連接到網絡上任何其它的資產。所有的Linux系統運行開放的網絡端口，并等待來自網絡查詢的程序。每個這種服務都代表者一個威脅途徑，要么通過欺詐的認證，或是由于軟件瑕疵可能錯誤地允許訪問。使用netstat命令來找到系統所有的開放端口。
　　使用Nmap工具掃描網絡上其它機器的開放端口。每個開放端口代表著一個威脅途徑，應該被關閉或是監控非法的訪問。不要忽視任何傳統的撥號訪問點。防火墻是可信網絡和不可信網絡（如因特網）之間的邊界。你的防火墻應該配置只在已知和需要的端口上傳輸數據。防火墻傳輸數據的每個端口同樣都是一個威脅途徑。
　　除了正常的監控以外，你還應該同時檢查日志來關聯需要的訪問。Lastlog命令顯示用戶的登錄信息。可以在路徑/var/log/messages下發現各種各樣的日志信息。許多應用和數據庫也提供記錄機制來追溯用戶的訪問。檢查這些日志，你可以觀察當前誰在使用和（可能）需要訪問特定的資源。
　　無論什么復雜的軟件都是有缺陷的，但是只有當缺陷以不受歡迎的行為表現它們時才會被了解。通常的bug只會破壞數據或是引起宕機，但是有一些會造成無法預料的后果，比如允許未授權的訪問。這明顯地表示為主要的危害。攻擊者不斷地搜索著這些類型的bug，而廠商們則在發現這些bug時，盡力快速地修補它們和提供軟件補丁。你所能做的是確保定期地檢查和更新你的操作系統和應用軟件。
　　檢查Linux服務器上軟件更新的過程依賴于應用或是Linux版本。例如Ubuntu版本的Linux提供一個更新管理器（通過菜單“系統>管理>軟件源”可以發現），可以配置每天進行檢查更新。你越經常性地檢查更新，你的漏洞窗口越小。同樣對于來自未校驗來源或作者的免費程序或軟件要小心謹慎。
　　需要監控和保持更新的最重要的軟件是面臨外部環境的軟件，如Web服務器和網絡應用（如VPN或SSH）。Web服務器軟件定期地檢測糟糕的配置和bug。Web應用可能會遇到惡作劇的輸入數據來進行不正當的應用。大多數的Web應用語言，像Perl、Python、Ruby或PHP有工具或可用的附件來凈化輸入數據以及禁止用戶輸入的代碼，如SQL或Java腳本。你的Web服務器或是其它面臨外部環境的應用接收來自用戶的數據都意味著可能的威脅。同樣，檢查這些程序產生的任何日志文件有助于你辨識合法和非法的訪問。