Chinaunix首页 | 论坛 | 博客
  • 博客访问: 15072625
  • 博文数量: 7460
  • 博客积分: 10434
  • 博客等级: 上将
  • 技术积分: 78178
  • 用 户 组: 普通用户
  • 注册时间: 2008-03-02 22:54
文章分类

全部博文(7460)

文章存档

2011年(1)

2009年(669)

2008年(6790)

分类: 网络与安全

2008-05-31 23:39:25

卷首语:
  一直是断断续续中,而且说实话真拿不出手
  原本的资料因为站点丢失而撒友那拉了 没办法 很辛苦的结晶
  故现在纯粹是没事写着玩 先放着 整理好了再说 望见谅
  
  前言:这不是权威,也不是历史回顾;错误之处,还望指正!
  
  
  About SC(安全意识)
  1.要怀疑一切,防人之心不可无
  在人为安全破坏中,占很大一部分的就是内部人员所为,在处理信任关系上要慎重,不管是Internet或是Intranet.
  2.分层保护,步步为营
  架设防火墙及LAN访问限制,保证某层安全机制失效/轰塌后还有其他安全措施能继续保护LINUX服务器
  3.做最好的准备,做最坏的打算
  灾难性得损坏不一定有,但一切都要做好"灾后工作"
  4.取得上级的许可和认同
  发现这一条其实很重要,如对系统进行扫描检测,这都是要被书面许可的,否则....官司难料
  (呵呵 还有很多,靠大家去总结吧)
  
  
  
  
  About PS(物理安全)
  物理安全,包括抵御自然灾难和人为灾难
  要保障系统,重要资料存储设备等能被隔离在一个上锁的房间里
  防止被偷窃和未授权使用(访问),在保障系统安全和正常运作而涉及到的如空调,UPS等方面也不可忽视
  
  
  
  
  About BIOS
  注:在此版块和以后出现的其他版块中有很多安全措施,有时会降低系统的易用性和加剧系统管理员维护中的便利性
  故请具体分析
  1.密码设置
  2.引导顺序设置
  系统在缺省状态下一般按如下顺序引导:POST--BIOS-软驱--光驱--外部适配器--硬盘
  建议:将硬盘放在第一位。且保证起唯一性(在BIOS中修改)
  3.禁止Flash BIOS可写功能
  开发 flash BIOS芯片是为了主板升级和漏洞修补,但也因此成为安全隐患;
  如果不能保证机箱不会被外人接触到,那么请将主板跳线/开关拨至write disable(禁止重写)
  
  
  
  
  About Install
  1.安装前请查阅
  检查硬件是否支持
  2.从redhat正式发布的光盘加载系统
  3.选择安装级别中的”定制“来打造你的服务器
  4.请认真考虑系统/网络体系结构,此处包含了与LINUX服务器网络互联的设备
  5.版本选择:这包括两点:同一品牌下不同版本号的选择;不同品牌与不同用户的最佳结合
  (Debian堪称迄今为止最安全,最保守的LINUX系统)
  6.定义若干分区
  /tmp noexec,nosuid
  /home noexec,nosuid
  / default
  /usr nosuid
  /boot nosuid
  
  7.为了更安全,可以将/(root)分区装载为只读,可以将/var,/opt需要可写功能的移到/usr
  #mkdir /usr/rootmv
  #cp -dpR /var /opt /usr/rootmv
  #rm -rf /var /opt
  #ln -s /usr/rootmv/var /var
  #ln -s /usr/rootmv/opt /opt
  #mount -o remount,ro /
  
  8.查阅安全建议/更新列表
  9.系统接入网络前,安装和运行Tripwire在系统被篡改前作测试
  
  
  需要安装的组件:
  * Networked Workstation
  * Network Management Workstation
  * Utilities
  
  需要删除的:
  Applications/Archiving:
  dump=dump+restore
  dump用来检查文件系统中的文件以确定哪些需要备份,然
  后把这些文件拷贝到磁盘、磁带或其它介质上
  Applications/File:
  GIT(GNU 交互式工具)可以浏览文件系统,查看文本或二进制文件,
  查看或停止进程,还包括一些其它相
  关的工具和shell脚本(很象DOS下的NC)
  Applications/Internet:
  fwhois可以让系统中的用户查询whois数据库
  ncftp是增强型的FTP客户软件。ncftp的增强包括:
  支持命令行编辑,命令历史记录,递归下载(包含子目
  录的下载),自动匿名登录,还有其它很多功能。
  rsh包括一些程序,这些程序可以在远程计算机上运行命令,
  登录到其它计算机或在计算机之间拷贝文件
  (rsh、rlogin和rcp)。
  ntalk包括Internet talk协议的客户端和服务器程序,
  你可以用它与在不同计算机上的人进行交谈(chat)。
  Applications/Publishing:
  ghostscript是一套软件包括:PostScript(tm)解释器、
  C语言的函数库(ghostscript函数库实现了对PostScript语言的图形操作)
  和PDF文件的解释器
  ghostscript font是一些PostScript(tm)字体,ghostscript解释器要用到这些字体
  同时,这些字体也是ghostscript和X11共享的
  mpage把纯文本的文件和PostScript(tm)文件输出到PostScript打印机上,
  可以在一张纸上打印多于一页的内容
  rhs-printfilter包括一组打印驱动,这主要是和RedHat的pinttool结合使用的
  
  Applications/System:
  
  arpwatch包括arpwatch和arpsnmp两个程序
  arpwatch和arpsnmp都是网络监控程序.
  都是用来监控以太网和FDDI网络流量并且
  建立以太网网址(物理地址)和IP地址之间对应关系的数据库,如果两者的对应关系
  发生变化了,会自动用email报告
  
  bind-utils包括一套工具用来查询DNS(域名服务器)以获得Internet上主机的信息
  knfsd-clients包括showmount程序。
  
  showmount查询远程主机的mount daemon以获取远程主机上的NFS信息。
  
  procinfo命令可以从/proc(Linux内核虚拟出来的目录)目录获取系统信息,
  并用适当的格式显示在标准输出上
  
  rdate根据RFC 868协议可以从网络中的其它计算机上获取日期和时间信息
  rdist程序维护多台主机上相同文件的多个拷贝。
  如果可能,rdist会保留文件的owner,group,mode
  和mtime这些属性,而且它还可以动态的更新正在运行的程序
  ucd-snmp包括各式各样的用于UCD-SNMP网络管理的实用工具
  screen工具允许你在一个终端上,同时登录多次。
  screen对于使用telnet登录远程服务器或使用哑终端的用户比较有用。
  
  Documentation:
  indexhtml包括一些HTML文件以及一些图片.
  在你成功安装RedHat Linux之后,作为浏览器的欢迎界面。
  System Environment/Base:
  
  chkfontpath是简单的命令行程序,用来添加、删除和列出X Window的字体路径
  NIS为网络上的所有计算机提供网络信息,如:登录名、口令、家目录和组信息
  
  System Environment/Daemons:
  XFree86-xfs是XFree86的字体服务程序。能为远程的X server提供字体
  (xfs支持TrueType(tm)字体)
  lpr提供管理打印服务的基本工具
  portmapper是一个安全工具,可以防止别人盗用NIS、NFA和其它敏感的信息。
  portmapper管理RPC(远程调用)连接。
  象NFS和NIS这些协议都要用到RPC
  pidentd包含identd。identd是用来实现RFC1413身份验证服务的。
  identd查询TCP/IP连接,返回用户名以及其它一些关于连接进程的信息。
  
  routed是路由daemon,接受RIP并且对外广播网络路由情况的RIP,
  这样才能维护当前的路由表。路由表对网络上的计算机是很重要的。
  有了路由表,计算机才能知道往哪儿发IP包。
  rusers允许用户查询连接在本地网络的计算机上的已登录用户的信息
  rusers命令的输出格式很像who命令,
  但是列出的是一组或所有局域网上计算机的登录用户信息。
  rwho命令的输出格式也很像who命令,不过它可以显示那些运行
  rwho daemon的本地网上的计算机的登录用户信息
  
  tftp提供TFTP协议的用户界面,允许用户上传和下传远程计算机上的文件。
  TFTP(Trivial File Transfer)
  协议通常用在启动无盘工作站。
  ucd-snmp提供对SNMP协议的支持。
  SNMP(Simple Network Management Protocol)是一个网络管理协议。
  
  System Environment/Libraries:
  XFree86-libs包含X程序运行所需要的共享库,
  这些共享库放在统一一个软件包里是为了减少磁盘空间。
  (X Window的Client/Server结构,允许本机不装X Server而运行X程序—也就是X客户。
  如果想要运行X程
  序,在本机上就要装这个库)
  libpng是用来处理PNG(Portable Network Graphics)图形文件的函数库。
  PNG是类似GIF的位图文件格式。
  
  User Interface/X:
  XFree86-75dpi-fonts是用于X Window的75dpi字体。
  uwr-fonts是免费的35种标准PostScript(tm)字体。
  主要用于ghostscript。
  
  
  Applications/Archiving: dump
  Applications/File: git
  Applications/Internet: finger, ftp, fwhois, ncftp, rsh,
  rsync, talk, telnet
  Applications/Publishing: ghostscript, ghostscript-fonts,
  mpage, rhs-printfilters
  Applications/System: arpwatch, bind-utils, knfsd-clients,
  procinfo, rdate, rdist, screen,
  ucd-snmp-utils
  Documentation: indexhtml
  System Envi
阅读(1727) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~