2009年(228)
分类:
2009-08-27 21:43:03
对于一般用途的操作系统平台,安全性的问题都是人们关键的考虑。当你在应对一些未授权的访问以及不幸的系统破坏时,你需要预先防范以下的十条注意事项:
1、使用强度大的密码
要增强安全性的最简单方法之一,就是使用一个不容易被攻击者所破解的密码。强制攻击就是攻击者利用自动的系统,尽可能在较短的时间内猜测你的密码,希望能够从中找到正确的密码。将密码中包含一些特殊字符以及空格,再使用大小写混合的字母,避免出现字典中的词,再加上数字,这比起你使用母亲的名字或者是周年纪念日的日期来作为密码要难以破解得多。另外要记住的是,在密码长度有效的范围内,尽可能地使用较长的密码。一般来说,任何少于8个字符的密码都被认为是相当容易破解的。10个、12个甚至是16个字符则要更好。当然,也不要设置了过长的密码,让自己都很难记住,而且在输入的时候也不方便。
2、更新你的软件
在部署你的产品系统前,关注一些例如补丁测试这样的事也许在很多情况下都是非常关键的,最终,安全补丁则是必须及时更新到你的系统上的。如果太长时间没有对你的计算机进行安全更新,那么你的计算机就很容易成为那些肆无忌惮的攻击者的目标。
不要让你的软件更新周期长期地慢于你的安全更新时间表。对于那些基于签名的恶意软件防护工具,例如杀毒软件,没有什么比及时更新以识别当前最新的恶意软件来得有效。
3、使用周边的防护措施
并非所有的安全问题都发生在桌面上。最好能够使用外部的防火墙/路由器来帮助保护你的计算机,即使你只有一台电脑。至少,你可以购买一个零售的路由装置,例如便宜的Linksy、D-Link或者是Netgear路由器,你也可以使用你自己的防火墙,或者是使用预包装的防火墙/路由器,例如m0n0wall和IPCop。代理服务器、杀毒软件网关以及垃圾邮件过滤器网管都能够增强你的周边安全体系。
请记住,交换机的安全性要比hub强,带有NAT的路由器又要比交换机好,而防火墙则无疑是必须的。
4、关闭你不使用的服务
计算机用户经常都不知道哪些可访问的网络服务运行在自己的系统中。Telnet和FTP就是属于那种在你不需要的时候可以关闭的服务。请注意每个运行在你的计算机上的服务,并且知道每个服务需要运行都有它的理由。
在某些情况下,这需要清楚地了解这项服务对你特定需求的重要性,这样你才不至于在微软的Windows计算机上关闭了RPC服务导致无法登录,但如果你实际上用不上的服务,将它们全部关闭才是最好的选择。
5、采用数据加密
对于有安全意识的计算机用户或者是系统管理员来说,有各种不同级别的数据加密服务可供他们选择,并且能够为他们需要加密的数据选择不同级别的加密服务。
数据加密可以使用文件基础的用密码编写的工具,通过文件系统加密,对整个磁盘进行加密。一般来说,这没有包括到引导分区,因为这种加密方式要求特定硬件的解密帮助,但如果你的数据具有较高的隐私性,那么你就可以选择全系统的加密。如果是想要加密引导分区,也有很多根据不同级别的加密需求的方案可选择,在每种主流的桌面操作系统上,都包括整个磁盘机密的商业的系统和开源的系统。
6、用备份保护你的数据
保护你的数据不受损害的最重要方法之一就是将数据进行备份。针对数据冗余的策略也有从简到繁的范围,简单基本的方法可以周期性地将数据拷贝到CD上,而较为复杂一些的方法则可以定期地将数据备份到服务器上。系统必须在服务不出问题的情况下维持固定的正常运行时间,RAID能够在磁盘出现问题的时候自动进行失效备援。
免费的备份工具有像rsync和Bacula这样的,能够依照你的设定进行复杂性有别的备份方案。像Subversion这样的版本控制系统能够提供灵活的数据管理功能,这样你不仅能够将数据备份到其它的计算机上,还可以毫无困难地保持多台计算机保持最新的相同数据。这种颠覆性的备份方法让我的笔记本在2004年的一次灾难性的损害中,重要的数据得以幸免于难。
7、加密敏感的通信
用来保护通信不受窃取的密码化的系统已经相当普及。对电子邮件OpenPGP支持的软件,清除IM客户端记录的插件以及使用像SSH和SSL这样安全协议的持久通信的加密通道软件支持等等,都能够保证你的数据在传输的过程中不会遭到窃取。
在人对人的通信中,也许有时你很难说服参与者使用加密软件来保护你们之间的通信,但有时,这种保护的确是相当重要的。
8、不要相信外部的网络
这在开放的无线网络中尤为重要,例如当你在一间咖啡店使用网络时。如果你对安全问题谨慎而敏感,那么你没有理由不能够在咖啡店或者是其它不可信任的无线网络,但是,关键在于你必须确保你系统的安全,不要轻信外部网络,以保证不受到恶意的攻击。例如,在开放的无线网络中使用加密手段来保护一些敏感的通信是非常重要的,这包括你使用登录会话cookie来自动验证身份或者输入用户名和密码连接到网站的时候。
你还要确保,那些非必要的网络服务,都不应让它们运行, 否则如果系统中存在未修复的漏洞,它们就很可能遭到攻击。这对于NFS或者微软的CIFS、SSH服务器、活动目录服务以及任何其它可能的服务来说都是相当重要的。
从内部和外部检查你的系统,看看是否存在可能让攻击者破坏你的系统的隐患,并且让这些地方尽可能地锁定以受保护。在某些程度上来说,这也是要关闭不需要的服务以及加密敏感通信的扩展方面,处理那些你必须格外小心使用运行在你系统中服务的外部网络,以及你认为属于“敏感的”通信。保证你自己不在外部的非受信的网络中不受侵害要求对你的系统安全配置文件进行一次完全的大整修。
9、获得不间断的电源供应
你一定不希望在电源耗尽的时候丢失文件。当然还有其它重要的原因,例如功率调节器以及避免文件系统的崩溃。处于这些原因,请确保当你不在家或者是办公室时,如果电脑必须关闭,你有办法让操作系统对你发出提示,并且确保你有一个UPS能够提供给你如同备用电池一样的电源条件。电流的浪涌保护完全无法保障你的系统不受损害,只有UPS才是保护你的硬件和数据不受损的关键。
10、监视对系统可能造成的安全威胁
千万不要忽视这方面,因为你有一份为系统安全而准备的可查对清单是保证你的系统不受到安全侵害的必要保障。你必须设定一些监视的例行程序,来确保有可疑的事件发生时能够很快察觉到,并让你能够马上对可能对安全产生威胁的事件采取行动。这样的注意事项不仅要放在对网络的监视中,并且要在你的整个本地系统中应用这类的监视手段。
其它的安全防范措施则取决于你所使用的操作系统。一些操作系统由于设计上的安全配置文件不够理想,可能会面临更大的安全挑战,而一些操作系统则比较强大,具有较强的系统管理员能够为操作系统增强安全性。当你在为你的操作系统设防的时候一定要谨记这一切,无论你使用的是微软的Windows、Apple的Mac OS X这样的商用操作系统还是开源的操作系统,例如FreeBSD、NetBSD等Linux分发版本,甚至是对安全性高度关注的OpenBSD。
有一种情况,就是在你所选择了需要使用的操作系统后,仅使用默认的安全防护就足够有效,而不需要进一步增强系统安全,但这样的情况是非常罕见的。无论你使用的是何种操作系统,都请遵照以上的十点,并考虑你使用的操作系统特定的需求,不要将你系统的健全寄托在运气上。