卷首语:
一直是断断续续中,而且说实话真拿不出手
原本的资料因为站点丢失而撒友那拉了 没办法 很辛苦的结晶
故现在纯粹是没事写着玩 先放着 整理好了再说 望见谅
前言:这不是权威,也不是历史回顾;错误之处,还望指正!
About SC(安全意识)
1.要怀疑一切,防人之心不可无
在人为安全破坏中,占很大一部分的就是内部人员所为,在处理信任关系上要慎重,不管是Internet或是Intranet.
2.分层保护,步步为营
架设防火墙及LAN访问限制,保证某层安全机制失效/轰塌后还有其他安全措施能继续保护LINUX服务器
3.做最好的准备,做最坏的打算
灾难性得损坏不一定有,但一切都要做好"灾后工作"
4.取得上级的许可和认同
发现这一条其实很重要,如对系统进行扫描检测,这都是要被书面许可的,否则....官司难料
(呵呵 还有很多,靠大家去总结吧)
About PS(物理安全)
物理安全,包括抵御自然灾难和人为灾难
要保障系统,重要资料存储设备等能被隔离在一个上锁的房间里
防止被偷窃和未授权使用(访问),在保障系统安全和正常运作而涉及到的如空调,UPS等方面也不可忽视
About BIOS
注:在此版块和以后出现的其他版块中有很多安全措施,有时会降低系统的易用性和加剧系统管理员维护中的便利性
故请具体分析
1.密码设置
2.引导顺序设置
系统在缺省状态下一般按如下顺序引导:POST--BIOS-软驱--光驱--外部适配器--硬盘
建议:将硬盘放在第一位。且保证起唯一性(在BIOS中修改)
3.禁止Flash BIOS可写功能
开发 flash BIOS芯片是为了主板升级和漏洞修补,但也因此成为安全隐患;
如果不能保证机箱不会被外人接触到,那么请将主板跳线/开关拨至write disable(禁止重写)
About Install
1.安装前请查阅
检查硬件是否支持
2.从redhat正式发布的光盘加载系统
3.选择安装级别中的”定制“来打造你的服务器
4.请认真考虑系统/网络体系结构,此处包含了与LINUX服务器网络互联的设备
5.版本选择:这包括两点:同一品牌下不同版本号的选择;不同品牌与不同用户的最佳结合
(Debian堪称迄今为止最安全,最保守的LINUX系统)
6.定义若干分区
/tmp noexec,nosuid
/home noexec,nosuid
/ default
/usr nosuid
/boot nosuid
7.为了更安全,可以将/(root)分区装载为只读,可以将/var,/opt需要可写功能的移到/usr
#mkdir /usr/rootmv
#cp -dpR /var /opt /usr/rootmv
#rm -rf /var /opt
#ln -s /usr/rootmv/var /var
#ln -s /usr/rootmv/opt /opt
#mount -o remount,ro /
8.查阅安全建议/更新列表
9.系统接入网络前,安装和运行Tripwire在系统被篡改前作测试
需要安装的组件:
* Networked Workstation
* Network Management Workstation
* Utilities
需要删除的:
Applications/Archiving:
dump=dump+restore
dump用来检查文件系统中的文件以确定哪些需要备份,然
后把这些文件拷贝到磁盘、磁带或其它介质上
Applications/File:
GIT(GNU 交互式工具)可以浏览文件系统,查看文本或二进制文件,
查看或停止进程,还包括一些其它相
关的工具和shell脚本(很象DOS下的NC)
Applications/Internet:
fwhois可以让系统中的用户查询whois数据库
ncftp是增强型的FTP客户软件。ncftp的增强包括:
支持命令行编辑,命令历史记录,递归下载(包含子目
录的下载),自动匿名登录,还有其它很多功能。
rsh包括一些程序,这些程序可以在远程计算机上运行命令,
登录到其它计算机或在计算机之间拷贝文件
(rsh、rlogin和rcp)。
ntalk包括Internet talk协议的客户端和服务器程序,
你可以用它与在不同计算机上的人进行交谈(chat)。
Applications/Publishing:
ghostscript是一套软件包括:PostScript(tm)解释器、
C语言的函数库(ghostscript函数库实现了对PostScript语言的图形操作)
和PDF文件的解释器
ghostscript font是一些PostScript(tm)字体,ghostscript解释器要用到这些字体
同时,这些字体也是ghostscript和X11共享的
mpage把纯文本的文件和PostScript(tm)文件输出到PostScript打印机上,
可以在一张纸上打印多于一页的内容
rhs-printfilter包括一组打印驱动,这主要是和RedHat的pinttool结合使用的
Applications/System:
arpwatch包括arpwatch和arpsnmp两个程序
arpwatch和arpsnmp都是网络监控程序.
都是用来监控以太网和FDDI网络流量并且
建立以太网网址(物理地址)和IP地址之间对应关系的数据库,如果两者的对应关系
发生变化了,会自动用email报告
bind-utils包括一套工具用来查询DNS(域名服务器)以获得Internet上主机的信息
knfsd-clients包括showmount程序。
showmount查询远程主机的mount daemon以获取远程主机上的NFS信息。
procinfo命令可以从/proc(Linux内核虚拟出来的目录)目录获取系统信息,
并用适当的格式显示在标准输出上
rdate根据RFC 868协议可以从网络中的其它计算机上获取日期和时间信息
rdist程序维护多台主机上相同文件的多个拷贝。
如果可能,rdist会保留文件的owner,group,mode
和mtime这些属性,而且它还可以动态的更新正在运行的程序
ucd-snmp包括各式各样的用于UCD-SNMP网络管理的实用工具
screen工具允许你在一个终端上,同时登录多次。
screen对于使用telnet登录远程服务器或使用哑终端的用户比较有用。
Documentation:
indexhtml包括一些HTML文件以及一些图片.
在你成功安装RedHat Linux之后,作为浏览器的欢迎界面。
System Environment/Base:
chkfontpath是简单的命令行程序,用来添加、删除和列出X Window的字体路径
NIS为网络上的所有计算机提供网络信息,如:登录名、口令、家目录和组信息
System Environment/Daemons:
XFree86-xfs是XFree86的字体服务程序。能为远程的X server提供字体
(xfs支持TrueType(tm)字体)
lpr提供管理打印服务的基本工具
portmapper是一个安全工具,可以防止别人盗用NIS、NFA和其它敏感的信息。
portmapper管理RPC(远程调用)连接。
象NFS和NIS这些协议都要用到RPC
pidentd包含identd。identd是用来实现RFC1413身份验证服务的。
identd查询TCP/IP连接,返回用户名以及其它一些关于连接进程的信息。
routed是路由daemon,接受RIP并且对外广播网络路由情况的RIP,
这样才能维护当前的路由表。路由表对网络上的计算机是很重要的。
有了路由表,计算机才能知道往哪儿发IP包。
rusers允许用户查询连接在本地网络的计算机上的已登录用户的信息
rusers命令的输出格式很像who命令,
但是列出的是一组或所有局域网上计算机的登录用户信息。
rwho命令的输出格式也很像who命令,不过它可以显示那些运行
rwho daemon的本地网上的计算机的登录用户信息
tftp提供TFTP协议的用户界面,允许用户上传和下传远程计算机上的文件。
TFTP(Trivial File Transfer)
协议通常用在启动无盘工作站。
ucd-snmp提供对SNMP协议的支持。
SNMP(Simple Network Management Protocol)是一个网络管理协议。
System Environment/Libraries:
XFree86-libs包含X程序运行所需要的共享库,
这些共享库放在统一一个软件包里是为了减少磁盘空间。
(X Window的Client/Server结构,允许本机不装X Server而运行X程序—也就是X客户。
如果想要运行X程
序,在本机上就要装这个库)
libpng是用来处理PNG(Portable Network Graphics)图形文件的函数库。
PNG是类似GIF的位图文件格式。
User Interface/X:
XFree86-75dpi-fonts是用于X Window的75dpi字体。
uwr-fonts是免费的35种标准PostScript(tm)字体。
主要用于ghostscript。
Applications/Archiving: dump
Applications/File: git
Applications/Internet: finger, ftp, fwhois, ncftp, rsh,
rsync, talk, telnet
Applications/Publishing: ghostscript, ghostscript-fonts,
mpage, rhs-printfilters
Applications/System: arpwatch, bind-utils, knfsd-clients,
procinfo, rdate, rdist, screen,
ucd-snmp-utils
Documentation: indexhtml
System Envi