在這篇3部分的Linux防火牆安裝攻略中,你將能了解到安裝和配置Linux服務器和防火牆的一些知識。第一部分主要講的是如何選擇和安裝一個安全版本的Linux版本。第二部分的內容包含了如何覆蓋和更新舊的防火牆系統。第三部分的內容包含了安裝防火牆的實際過程。
第一部分:Linux下防火牆的選擇
第二部分:商業防火牆產品介紹
第三部分:Linux防火牆縱覽
第一部分:Linux下防火牆的選擇
這個部分介紹的是如何規劃安裝一個多功能防火牆和服務器的藍圖。如果你想要把你原來的Linux服務器,小型商務服務器的防火牆進行升級的話,這片文章同樣適合你。大家都很關心Linux底下防火牆的安全問題,這篇文章能讓你替代你原來的舊的服務器上的多功能防火牆。
為了更好的說明問題,我們將以實例來完成防火牆的安裝和設置。假設我們使用的是一套舊的客戶端服務器。這台舊的服務器是舊的486計算機,使用的是從Red Hat 5.1.升級到 5.2版本。客戶端采用的是基於Linux地GNU系統作為主要的郵件服務和防火牆。隨著時間的流逝,這台計算機已經不能適應日益增長的信息處理要求,它只能作為Web的mail服務 , anonymous FTP, login等服務了。所有這台計算機的系統和防火牆需要升級。
安全分析
在決定作什麼之前,我們先來對這套系統作一個簡單的安全分析。首先值得注意的是這台計算機只安裝有小型的應用軟件,它的硬件已經沒有太大的價值了。它裡面唯一重要的是原始資料和代碼,我們無論對這台計算機作出什麼樣的改動,都應當注意不要把它原來的數據弄丟失或受損。其次,對這台客戶端服務系統還要找出它原來安全隱患,比如秘密的“後門”,清除這些不安全的因素。然後才能重新安裝操作系統,分析Logs等等工作。
作這些工作是要很大的風險的,我們必須小心,按照以下步驟來完成。首先,我們將把CVS(source code revision control:源代碼修正控制系統)服務器功能從防火牆上分離開。這樣客戶端資源代碼不至於被這麼容易受到攻擊。我們還需要對資源代碼建立每天的安全備份,這也是為了保證數據的安全,減少潛在的資料丟失。最後,我們將安裝新的防火牆和較少的服務程序來大力改善站點的安全。
選擇好的操作系統版本
很明顯,操作系統版本有免費和非免費兩種可以供我們選擇,作為商業性的防火牆應用程序,我們可以選擇開發資源和多功能的操作系統,因為它們比較的便宜,並且是真正的,完整的操作系統。Linux和BSD是最好的選擇。
大家都知道OpenBSD是在操作系統中比較有名氣的安全機制。但是很多人對OpenBSD 的安裝和調試並不熟悉。它也是比較難以安裝的,而且,考慮到這台計算機作為客戶端服務器,使用它的很多人員(比如公司職員)都可能對BSD都沒有什麼實際經驗。這也是我們不決定使用OpenBSD的原因。
Red Hat 是一個不錯的選擇,因為舊的服務器上已經安裝了舊版本的Red Hat ,使用它的人員也習慣了操作Red Hat,但可惜的是Red Hat 不是一個專業安全Linux版本的操作系統。另外,Red Hat 裡面有很多可用的桌面環境軟件,向導軟件,這些對我們客戶端沒有太大用處的軟件只會占用硬盤空間和增加不安全因素,許多有經驗的黑客會利用這些漏洞來入侵計算機系統。所以我們也不決定使用Red Hat 來作為操作系統和防火牆。
那麼,什麼樣的操作系統采是我們的需要呢?來自Wirex Communications(http://immunix.org/)的Immunix是比較適合我們這台計算機的操作系統。 Immunix是基於Red Hat 6.2設計的Linux版本,具有Red Hat Linux的優點,它所有的程序的編譯都是通過StackGuard來編譯的。這樣能保護大多數的堆棧緩沖溢出的安全。另外,它的extra checking機制能提供10%的性能。同樣,Immunix包括了Red Hat 6.2機會所有的應用軟件。但在下載這些軟件的時候你必須要注冊。另外,我們還需要找到Trustix-這個小型的的服務器向導系統,它不包含GUI,例如,這個Trustix版本包含有許多安全服務,有郵件服務,FTP服務,實際上,Trustix也是我們的需要。
安裝Trustix 1.1
計算機的硬件配置為Pentium 133 MHz, 32 MB RAM , 2.5GB硬盤,兩塊以太網卡。一塊是PCI,另一塊是ISA卡。PCI網卡和客戶端的HUB連接。
安裝Trustix 1.1之前,首先要從ftp://metalab.unc.edu/pub/Linux/distributions/trustix/trustix-1.1/i586/images/bootnet.img下載一個啟動盤的IMG文件。用命令dd if=bootnet.img of=/dev/fd0可以順利啟動計算機。
我們遇到的第一個問題就是在Trustix網絡安裝的時候它會詢問關於以太網卡需要什麼驅動程序。這個問題比較容易解決,選擇正確的驅動程序即可。實際上這個問題並不大,無論是PCI還是ISA網卡,如果安裝驅動程序不正確,那網絡就無法連通,可以把網卡拔出來,換一個插槽或換一個驅動程序試一試,直到網絡通常為止。
接著,Trustix會詢問用戶選用哪一種網絡安裝模式,有 mirror,NFS mount,HTTP,和 FTP可供選擇。這是可以選擇mirror(鏡像)選項,但不幸的是安裝失敗了,那是因為客戶端不允許DNS在防火牆後面工作。Trustix 的安裝會使用主機名字來代替鏡像的IP地址,如果等待得時間超過5分鐘的超時設定,它會進行重試。但這樣並不能成功。
接著我們試著從Trustix FTP 官方站點上安裝FTP(文件傳輸協議)。這次也不知道是什麼原因失敗了。FTP在客戶端上不能夠使用。最後,當我們從Trustix 網站上下載了完整的Trustix版本,在本地計算機上重新安裝FTP,這次采獲得了成功,Trustix FTP 能正常的工作了。
總結了一下經驗,因為這些開發資源的版本如果不是從本地計算機上安裝,或是版本不完成,很容易造成安裝的失敗。花點時間來下載完成版本的Trustix看起來是值得的。
Trustix的分區工具(Disk Druid)非常直截了當,簡單易用,加上它的幫助文件很完整,在完成網絡安裝後的安全設置中沒有遇到太多的麻煩。在默認得情況下,Trustix 使用的是shadow passWords 和MD5散列法。Trustix公司聲明在使用ROOT來安裝Trustix的時候可以創建非ROOT用戶帳號。
在配置TCP/IP,time-zone,LILO的時候,我們可以選擇相應的軟件包進行安裝。安裝結束後總共用去了400MB的硬盤空間。再完成內核的編譯,硬盤空間占用到了500MB,這是非常合理和占用硬盤少的Linux版本了。
接著我們試著從Trustix FTP 官方站點上安裝FTP(文件傳輸協議)。這次也不知道是什麼原因失敗了。FTP在客戶端上不能夠使用。最後,當我們從Trustix 網站上下載了完整的Trustix版本,在本地計算機上重新安裝FTP,這次采獲得了成功,Trustix FTP 能正常的工作了。
總結了一下經驗,因為這些開發資源的版本如果不是從本地計算機上安裝,或是版本不完成,很容易造成安裝的失敗。花點時間來下載完成版本的Trustix看起來是值得的。
Trustix的分區工具(Disk Druid)非常直截了當,簡單易用,加上它的幫助文件很完整,在完成網絡安裝後的安全設置中沒有遇到太多的麻煩。在默認得情況下,Trustix 使用的是shadow passWords 和MD5散列法。Trustix公司聲明在使用ROOT來安裝Trustix的時候可以創建非ROOT用戶帳號。
在配置TCP/IP,time-zone,LILO的時候,我們可以選擇相應的軟件包進行安裝。安裝結束後總共用去了400MB的硬盤空間。再完成內核的編譯,硬盤空間占用到了500MB,這是非常合理和占用硬盤少的Linux版本了。