所謂“棒打出頭鳥”一點都不錯。當我們還在努力學習什麼是Linux時,絕然不會想到如今的Linux系統也成為了黑客口口聲聲要攻破的熱門話題。相比Windows系統而言,Linux系統穩定、成本低廉,最重要的是它相對安全。
於是,Linux忽如一夜春風來,為形形色色各種人群所用,花開千萬樹。當然隨之而來的也不僅僅是開源軟件的大肆發展,還有越來越多的安全問題。
作為極受歡迎的開源軟件,每當Linux出現安全漏洞時總是會有很多人主動將其修復,不過隨著問題的逐漸增多,及時地修補已很難實現。不過,一般認為,計算機網絡威脅主要來源於計算機病毒和黑客攻擊兩個方面,那麼就讓我們也從這兩方面入手,更加有目的性地進行Linux系統的安全防護工作。
拒絕來自病毒的威脅
病毒是任何系統都會首先遭遇的安全威脅。盡管我們熟知的很多Linux病毒並不會真正破壞Linux系統,但是它會感染到與之相鄰的Windows系統,同樣可以造成系統無法正常工作。
目前Linux下的防病毒軟件主要分為基於開放源代碼的防病毒軟件和商業防毒軟件兩大部分,前者有德國SEBASTIAN、H+BEDV AntiVir/X公司的Anti Vir Linux,後者包括GeCAD Software 的RAV Anti Virus Desktop For Linux v8等。
在上述的防病毒軟件中,最常用的產品是AntiVir Linux。軟件本身是基於命令行的工具,因此在一些高級參數配置上需要管理員較高的水平。在桌面級產品中,RAV Anti Virus Desktop For Linux v8是頗受用戶青睐的產品。
怎樣抵御黑客攻擊安裝系統時的分區
在各種常見的攻擊中,以緩沖區溢出為典型的安全漏洞攻擊數量最高。這種攻擊使得任何一個網絡用戶可能獲得主機的控制權。所以我們在安裝系統時就要注意分區的問題。
如果用root分區紀錄數據,如log文件和電郵,可能因為拒絕服務產生大量日志或垃圾郵件導致系統崩潰。所以建議為/var開辟單獨的分區,用來存放日志和郵件,以避免root分區被溢出。最好為特殊的應用程序單獨開一個分區,特別是可以產生大量日志的程序。另外建議為/home單獨分一個區,這樣它們就無法填滿/分區,從而避免了部分針對Linux分區溢出的惡意攻擊。
BIOS的設置
在BIOS設置中設定密碼,不接受軟盤啟動系統。此舉可阻止那些試圖用專門的啟動盤來進入系統的黑客。
用戶口令
這是一個老生常談的話題。無論什麼系統,用戶口令都是最基本的安全起點。雖然從理論上說,只要有足夠的時間和資源可以利用,就沒有不能破解的口令,但是一串奇特的字符也許就能幫你抵御外部威脅,何樂而不為?
默認帳號、服務
在第一次安裝Linux系統時我們就應該刪除那些用不到的帳戶。你暴露的信息越多,受到的傷害就越大。
Linux是一個強大的系統,它給用戶提供了很多服務,但並不是每一個服務都是你的所需。這個文件就是/etc/inetd.conf,它制定了/usr/sbin/inetd將要監聽的服務,你可能只需要其中的兩個:telnet和ftp,其它的類如shell、login、exec、talk等等,除非你真的有必要,否則統統關閉。
阻止來自外界的Ping請求
“echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all”
這樣一個命令行到,
/etc/rc.d/rc.local
當系統每次啟動後,它會自動幫你阻止來自外界的Ping請求。
加強日志管理
按理說,默認的Linux日志管理已經非常完善,但是在所有的行為記錄中,卻不包括ftp連接記錄。網管們可以通過修改/etc/ftpaccess 或者/etc/inetd.conf,來保證每一個ftp連接日志都能夠紀錄下來。詳細掌握系統的每一個行為,有助於網管抵御任何一個可能的攻擊。
Telnet服務
用戶可利用Telnet遠程登陸Linux,不過在登陸的同時,操作系統和版本信息容易暴露,這時候可以修改Telnet命令行使Telnet命令行不顯示系統信息,以避免有針對性的攻擊。
對於網管來說,保護系統安全還有一個最簡單有效的方法,那就是到系統發行商那裡下載最新的安全補丁(只是,這些補丁的發現也極有可能是黑客的功勞,也許是他們發現了系統漏洞所在)。
建立良好的安全意識,從最簡單的安全設置開始,合理利用安全工具,對於Linux管理員來說,這一切看似簡單。但是保護Linux,正是要從簡單開始