众所周知,就安全性而言,Linux相对于Windows具有更多的优势。但是,不管选择哪一种Linux发行版本,在安装完成以后都应该进行一些必要的配置,来增强它的安全性。下面就通过几个步骤来安装一个安全的Linux操作系统。
安装和配置一个防火墙
一个配置适当的防火墙不仅是系统有效应对外部攻击的第一道防线,也是最重要的一道防线。在新系统第一次连接上Internet之前,防火墙就应该被安装并且配置好。
把防火墙配置成拒绝接收所有数据包,然后再打开允许接收的数据包,将有利于系统的安全。防火墙的具体设置方法请参见iptables使用方法。
升级所有已经安装的软件包
一个标准的Linux发行版通常会带有超过1000个以上的软件包。时刻保持所安装的所有软件处于最新状态是非常重要的。很显然,这是一个耗费时间的工作,幸运的是现在已经有很多工具可以自动完成这一工作。其中两个最常用的工具是APT(Advanced Package Tool)和Yum(Yellowdog Updater,Modified)。
有些发行版可能会提供自己的升级工具,可以充分利用它们来实现软件的更新。比如,缺省情况下Red Hat和Fedora使用的是up2date;Debian使用的则是APT。
如果想安装一个自己的软件升级工具,那么笔者推荐使用APT。在任何一个搜索引擎中输入所使用发行版的名字和APT,都可以快速找到APT的RPM安装包和所需要的软件仓库位置。
一旦安装好APT,并且设置好软件仓库以后(一般在/etc/apt/sources.list或与之类似的文件中设置),就可以使用以下两个命令来进行软件的更新。以root用户运行: #apt-get update
#apt-get upgrade
第一个命令将从指定的软件仓库下载最新的软件包信息,第二个命令将使用这些信息下载和安装系统中已经存在的软件的更新版本(如果有可用更新的话)。管理员应该定期执行命令以确保系统总是处于最新状态。
此外,从Internet下载单个文件或软件包的时候,总是使用MD5SUM来进行检查。MD5SUM可以对从网上下载的软件进行检查,以确保下载的不是被植入木马的版本。
最后,使用者还应该订阅发行版的安全邮件列表。这些邮件列表可以在出现更新软件包,或者对某些软件漏洞进行修正时及时通知使用者。
禁止所有不需要的服务
一个新安装的Linux系统在默认配置情况下,启动时会同时启动很多服务和后台程序。比如有的发行版会启动HTTP(Web服务器)、POP3/IMAP(电子邮件)监控程序、数据库服务器等。而对于大多数用户来说,这些服务实际上是不需要的,并且这些服务会成为攻击者潜在的攻击目标。所以,为了安全起见,应该查看这些服务列表,然后禁止所有不需要的服务。
在Red Hat系统中,用于配置服务器的命令行工具名为chkconfig。要列出所有已经安装的服务,可以执行以下命令:
#chkconfig -list
这时将会显示类似以下形式的内容: iptables 0:off 1:off 2:on 3:on 4:on 5:on 6:off
sshd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
... .....................
squid 0:off 1:off 2:off 3:off 4:off 5:off 6:off
xinetd based services:
rsync:off
... ...
sgi_fam: on
在上面的列表中,0至6的数字表示系统的运行级别。
例如,为了让squid服务可以在2、3、4、5运行级别下运行,应该执行以下命令: #chkconfig --level 2345 squid on
如果要在3和5运行级别上关闭sshd服务,则应该执行以下命令: #chkconfig --level 35 sshd off
使用chkconfig命令设置的服务会在下次启动时生效,而不会对当前运行的服务有任何影响。如果要对当前的服务进行设置,在Red Hat中可以使用以下命令: # service service_name start
# service service_name stop
# service service_name restart
# service service_name status
上述命令中的service_name和chkconfig --list命令中所列的名字一致。
在禁止了所有不需要的服务后,可以运行netstat --l来查看是否已经达到效果。对于仍然需要运行的服务而言,一定要确保有正确配置的防火墙。
更改不需要的SUID/SGID
SUID(Set User ID)或SGID(Set Group ID)程序可以让普通用户以超过自己权限的形式执行它。一个常见的例子是passwd,它的访问权限如下: -r-s--x--x 1 root root 18992 Jun 6 2003 /usr/bin/passwd
可以看到,这里的owner执行权限被设置成“s”而不是“x”,这就是一个SUID程序。比如,当一个普通用户执行passwd时,它就会以文件所有者(本例中是root用户)的权限来运行程序。
很多SUID/SGID可执行程序是必须的,比如上面提到的passwd。但是,很多是不需要的。SUID/SGID程序会被一些恶意的本地用户利用,获取本不应有的权限。运行以下命令可以找到所有具有这一属性的程序: #find / ( -perm -4000 -o -perm -2000 )
使用者必须查看这一列表,尽量减少那些所有者是root或是在root组中却拥有SUID/SGID属性的文件,删除或对其属性进行更改。
要删除具有SUID/SGID属性的文件要先运行: #rpm -q --whatprovides /usr/sbin/kppp
然后可以使用以下命令来删除它: #rpm -e package-name
SUID/SGID属性位则可以使用chmod命令来删除,比如,chmod -s /usr/sbin/kppp。
关注日志
虽然使用者会尽最大努力保证自己系统的安全,但是,现实情况是不管如何努力,都无法使系统处于绝对安全的状态。下面是其它一些需要注意的事情,它可以让使用者知道是否或什么时候系统被攻破。
一个非常常用、且很容易被低估的入侵检测程序是Tripwire(http://www.tripwire.org)。该程序会定期地检测系统文件,来确定它们是否被更改。
如果有任何不应该发生的更改出现,Tripwire就会为用户生成一个报表。要让Tripwire正常工作,需要花费一定的时间来对其进行配置,但它的确值得花时间。
了解系统情况的一个非常重要的途径是查看日志文件。Linux中的系统日志由syslogd监控程序处理,其配置文件是/etc/syslog.conf。在配置文件中,可以指明什么工具或程序需要记录信息(比如cron、daemon或电子邮件等),什么级别的信息需要写入日志(比如debug、info或警告等),以及如何处理这些信息(添加到日志文件或发送到打印机等)。
系统日志也可以远程进行,也就是说把日志文件放置在网络的另外一个系统上。这样做的好处是如果系统被攻破,那么入侵者将无法删除在其它系统上留下的痕迹,从而可以比较容易地对其进行跟踪。
但是,对于普通用户而言,每天处理大量的来自各日志文件的信息绝非易事,所以转而使用Logwatch(http://www.logwatch.org)工具。该工具可以定期对系统的日志文件进行分析,然后根据分析结果创建一个分析报告,通过电子邮件发给root用户。
因为这些报告一般都比较短,所以适合用户每天阅读。根据配置,它会对一些信息加亮显示(比如非法登录尝试或端口扫描等)。其配置文件一般位于/etc/log.d/conf/logwatch.conf,配置文件中的注释可以让用户方便地对其进行设置。
除Logwatch以外,还有很多入侵检测系统可供选择,比如Snort(http://www.snort.org),可以在搜索引擎中很方便地找到这些工具。
安全仍需努力
系统安全并不是一劳永逸的事情,事实上在做每一件事情的时候都要考虑到系统的安全性。管理员需要保证系统时刻处于最新状态、确保使用了合适的密码、设置了合适的访问级别、每天阅读日志、检查Tripwire报告、阅读所使用发行版的邮件列表等。
本文介绍了一些每个用户都要做的、基本的、重要的步骤。当然,除了本文所述之外,用户还有很多事情可做。下面给出几个忠告。
1.永远不要使用Telnet、FTP或任何其它纯文本的远程会话来传送用户名和密码,只能使用SSH、SFTP或与之类似的程序来传送这些内容。
2.确保使用严格的防火墙策略,缺省情况下关闭所有连接,只打开需要的连接,并且要有严格的限制。比如,需要从工作的地方SSH到系统中,那么只允许其基于IP通过。
