Linux安全之道：安全部署的五个步骤(1)

作者: Jeramiah Bowling/黄永兵 译 出处:51cto.com　2008-03-07 17:23　   砖    好    评论  条 　进入论坛

阅读提示：安全需要一个结构化的、系统化的方法，同时，它也应该是整体的、涵盖系统生命周期（从计划到退休）的每一个部分。在本文中的道由五个步骤组成，每个Linux系统要建立一个基线都应该通过这些步骤。这些步骤不是开始也不是最终的安全方案。

【51CTO.com 独家翻译】道，意味着途径或方法，是一个对实现想要的结果而设置的指南或规则，与其它道类似，安全需要一个结构化的、系统化的方法，同时，它也应该是整体的、涵盖系统生命周期（从计划到退休）的每一个部分。在本文中的道由五个步骤组成，每个Linux系统要建立一个基线都应该通过这些步骤。这些步骤不是开始也不是最终的安全方案。

我详细讨论每个步骤时，我将部署两个样例系统（一个Fedora桌面系统和一个Debian服务器系统）来展示安全是如何实施的，我选择Fedora是因为它是现在最流行的发行版，它可以为任何目标工作得很好，它有许多桌面增强特色，并且是用户推荐的无命令行的最容易使用的Linux发行版，我选择Debian作为我们的服务器平台是因为它是轻量级的、有非常悠久的历史而且很稳定、有一个强大的支持社区和大量的文档。这两个都是非常优秀的平台并且都有它们自己的内置安全标准。如果你喜欢其它的发行版，这里指出的步骤可以应用到任何的系统。

第一步：计划

第一步也是最重要的一步，因为你在这里做出的决策将影响到全盘的安全，第一步定义系统将部署成什么样的目标，它将是一个小的邮件服务器吗？或者是一个桌面系统吗？又或是一个入侵检测系统？一旦你有一个目标后，你就可以用它来指导整个过程，然后将精力集中在如何尽可能地提供更安全的环境上，安全永远都不应该妨碍功能的完整，毕竟部署一个无人能用的系统有什么用呢？！

接着，你需要为你的系统决定一个安全目标，主要目标应建立在最小访问或最小权限原则之上，这就意味着仅仅为用户和程序提供系统操作必要的最小权限，你应该还有其他安全目标，如用杀毒软件扫描每个文件或用LDAP对每个用户进行认证，但是最小权限应是不变的原则。

实现这些目标，在你动手前，你应该思考如何实现它们，回答一些简单的问题将有助于你在步骤2和4里作出正确的决策。系统将作为一个服务器还是一个桌面系统？这个问题决定了你新系统上的大部分配置；用户将在本地访问还是远程访问这个系统？这是另外一个重要的与安全有关的配置问题；系统需要一个桌面环境吗？

如果你对命令行非常熟悉，将系统部署成无头的或者说无GUI接口的，将X window系统从你的安装中删除，你将很意外地减少系统的攻击面（你暴露在外的区域），另一方面，如果你或你的同事需要一个GUI，只安装一个GUI并弄清楚如何将系统正确地锁定，安装服务器时不安装X，安装桌面系统时才安装X是一个值得竖大拇指的方法。

最后，计划应用程序将会在系统上做什么，判断它依赖什么库以及比不可少的操作，常见的有：系统运行一个远程命令后不必须的库也被使用了，掩饰住了入侵者的姿态或探测网络，如果你不需要某个包请不要安装它。

当你弄清楚了这些问题和答案后，写到你的安装日志或笔记簿并保持更新。

共5页: 1 [2] [3] [4] [5] 下一页

【内容导航】  第 1 页：步骤一：计划  第 2 页：步骤二：安装  第 3 页：步骤三：打补丁  第 4 页：步骤四：加固  第 5 页：步骤五：监视/审核