我們知道一家公司的Unix架構極有可能是其全部IT問題的最重要的部分。因為它支撐著你的郵件系統、Web服務器,甚至你的最重要的企業應用。
雖然Unix系統本身是極其安全的操作系統,但在這個惡意代碼和黑客行為十分猖獗的時代,我們絕不可以對Unix架構的安全問題掉以輕心。本文將討論任何Unix用戶都應該清楚的保障Unix安全的關鍵方法,籍以引起您對此問題的高度重視。
那麼,到底有哪些要素組成了Unix架構呢?這個問題難以規定其標准答案,但總體而言,大多數公司都有面向客戶或公眾的服務。這些服務器是“公用”的服務器。任何一個提供服務給外部世界的事物都有其特殊性。
它們是用戶可以登錄的機器,這些用戶可以是一個合法的ISP賬戶,也有可能是一家公司的開發團隊。我們將這些可被登錄的服務器稱為“登錄服務器”,因而須對它們特別對待。還要注意,我們網絡架構中有相當多的計算機是為其它服務器提供服務的,這些服務器只有超級用戶可以訪問。
Unix架構公共服務
首要的問題是,您必須看一看所有的可為外部世界提供服務的服務器,並思索自己是否真的需要。通常情況下,它們可以置於防火牆之後,或者放在一個組合式防火牆及代理服務器之後。
舉例來說,如果你在四個WEB服務器上運行一個面向客戶端的WEB站點,那麼,減少這些服務器的暴露程度至最少化是可能的。
放置在這些WEB服務器之前的一個代理服務器或一對冗余代理服務器可以接受所有的客戶端連接,然後檢查並清理這些服務。這就是代理服務器其中所起的作用。代理服務器夠減輕後端WEB服務器的風險,而且不受Internet的影響和訪問。
引起安全問題的最經常的原因是沒有及時打補丁或者未知的服務。很長時間以來,已被人們遺忘的WEB服務器是那種Apache的老版本或者易受攻擊的PHP腳本服務,因其內核已過時。對於災難性故障的解決處方也許太普通,不過,如果您的WEB 服務器隱藏在一個代理服務器之後,那麼幾乎就沒有什麼遺忘打補丁或服務的風險。
對於其它服務也是同樣的情況。許多站點有一些極端的限制,如防火牆管理員必須驗證任何新的網絡應用,並且工作良好。通常情況下,公司網絡完全開放,其WEB應用是不安全的,應用程序能與之交互的服務器常常是無任何理由地可被互聯網訪問。
Unix架構登錄服務器
遠程用戶被限制為只能使用給定的界面,如E-MAIL服務,WEB應用或B2B服務。那些可以訪問系統外殼的本地用戶可謂完全無拘無束。如果你的系統中恰好有一個惡意用戶,除非采取極端的措施,他可對根目錄進行訪問。
至於更新問題,特別是那些要求升級後重啟的內核的更新,必須在新內核的發布之日應用。總之,操作系統需要強化其穩健性。在設計架構的過程中,必須特別注意確保用戶只能對所指定的區域訪問。
如果你的網絡還有一些可對某些機器的根目錄訪問的開發人員,那麼受到傷害的可能性就會大增加。開發人員自身成為惡意用戶的可能性也許微乎其微,但絕不能排除其可能性。其實,開發人員不知不覺安裝的一些怪異的新程序有可能會損害系統。
例如,Slammer 蠕蟲的傳播速度極快,原因在於它在Windows系統中通過網絡進行傳播,該蠕蟲利用Microsoft SQL Server2000的緩沖區溢出漏洞獲得系統控制權,並產生大量隨機IP地址進行攻擊,導致蠕蟲的迅速傳播並且形成拒絕服務攻擊,網絡帶寬大量地被占用。
Unix架構的知識,我們就講解到這裡了。