操作系統的安全初步設置簡介牛

甚至一度影響過凡客的IPO計劃。但在多位業內人士看來 如你所見到的輸出結果，最初的安裝對一定數量的服務并未偵聽，而這些服務的大多數就是麻煩的制造者，在配置文件/etc/nf中就可以行使禁止。 用你喜歡的文本器打開這個文件，注銷你不想提供的服務，這只需在包含服務內容的行前面添加一個``#\'\'，在本例中所有的服務都被注銷了，當然，如果你決定要提供這些服務中的某幾個，那由你自己來決定。 現在，重新啟動 inetd 來使這些改變的內容起作用，這根據系統的不同會有多種方法，一個例子是： 　　　　killall -HUP inetd

依訣竅，重新用netstat檢查開放的socket并注意發生的變化。接下來，查看還有哪些進程在運行。通常會看到sendmail、lpd和snmd 在等待接入的請求。因此機器不對此類的任何請求提供服務，所以他們應當終止運行。 通常，這些服務是由系統初始化腳本啟動，腳本會因發布的不同而異，一般可以在/etc/init.d 或 /etc/rc.d中找到。如果你還不能確定，請參照你所用發布的文檔。目標是在系統啟動時禁止腳本啟動這些服務。 如果你的Linux發布使用的是打包的系統，花點時間移掉你不需的服務。在此范例機器中，包括了sendmail和r字頭的服務進程(rwho、rwall等)，lpd、ucd-snmp和apache。這是確保此類服務不會因意外而激活的最簡捷的途徑。 X堅固手段 近來多數的發布都支持機器首次啟動時就登陸進入X窗口例如xdm進行管理，不幸的是，這也是主要的攻擊點。默認方式下，機器允許任何主機請求登陸窗口，即使此機器僅僅只有一個用戶直接從控制臺登陸，這種特性亦需屏蔽。 配置文件會賴于你所使用的登陸管理器而變化。本機選用xdm,故而/usr/X11R6/lib/X11/Xaccess文件需進行修改，添加一個``#\'\'符號來阻止啟動此服務。我的Xaccess如下設置： 　 　　　　 　　　　#* #any host can get a login window 　　#* #any indirect host can get a chooser

再次啟動xdm時此設置有效。 軟件升級 現在一些基本的堅固措施已完成，需要時時注意發行商對發布的升級和增強。缺乏甚至沒有維護會是危及系統安全的一大因素。 對開放源代碼軟件的保障之一是其在不斷的發展中，有許多人花費大量的時間在不停地尋找安全方面存在的缺陷。這直接導致了Linux發布不斷的維護過程，經常會有升級程序、臭蟲補丁程序和安全方面的指導出現在頁中。隔幾天或幾周就瀏覽一下發布商的頁看是否有補丁或升級程序貼出來。 后續工作 現在，經處理過的機器比其初次安裝后的安全性已提高了，但決不是對任何攻擊就牢不可破了，但已不存在明顯的可攻擊之處了。在此列出的方法就象給你的車子或房子加了鎖，一般水平的小偷就會被這類措施所動搖，意識到這是落鎖的轉而尋找其他沒有加以保護的系統。 如果你認定這些措施沒有提供足夠的安全性能，也許你還想通過Internet提供一些絡服務，在進行之前需要花費一些時間尋找更高級的安全技術。 但不幸的是，許多Linux的發布商假定他們的客戶已經熟知這些服務而且也想使用他們。但對初始用戶通常這不是事實，當然，在Linux系統的安全性完全保障之前還有大量的未開發領域。而這些步驟就是對已知曉的系統漏洞加以最基本的安全保障。 時至今日，對于危及系統和絡安全的多數保護手段還相對較弱，而隨著Linux的流行且高速Internet存取逐漸實現的時刻，涌向未經預防的Linux 系統的攻擊會越來越多。