讓缺省的Linux安裝安全起來

　　原著：Aleksandar Stancin aka DPressed 譯者：不詳 本文是為Linux新手或者那些關心（至少是有點關心）自己硬盤上的數據的人編寫的。你會注意到本文面向的對象主要是家庭用戶，而不是大型網絡管理員或者其它類似的用戶。 你也許有些奇怪為什麼有人會訪問你的數據呢？嗯，用這個反問句作為答案怎麼樣：為什麼不呢？你知道，（在internet這個大舞台上），有很多人都喜歡把別人的數據搞得一團糟。這裡有很多問題值得一提，但是我們現在距臭名卓著的Y2043年臭蟲也只有43年了，為了本文自身價值考慮，我們忽略這個問題...... 因此，你自己拿到了這個奇異的linux發行版本，現在世界就在你的掌握之中了，任何人都不要妄想用它興風作浪了...eeee!!!全錯了！證據#1：只要你沒有執行適當的維護工作，那麼你選擇linux作為操作系統和使用其它操作系統同樣不安全！實際上，采用linux作為操作系統比采用其它操作系統更不安全，特別是如果你是一個十足的新手，昨天才剛剛把linux給安裝上。女士們、先生們，不用擔心，我十分榮幸地向大家介紹： Paranoia Inc. 所有用戶首先絕對要采用的是Shadow（我實際上並不是在說Baldwin兄弟...）。是的，使用shadow口令。 最初，所有的用戶登陸進系統，口令都被保存在/etc/passWords文件中，這是一個簡單的.txt文件，所有的用戶都可以訪問這個文件。所有主要的linux發行版本現在都采用了shadow口令選項，因此你就用它吧，就算是為了上帝，使用它好了！這樣會把你的口令放在/etc/shadow文件中，因為用戶並不能訪問這個文件，只有萬能的上帝--超級用戶才可以訪問該文件。 而且，只要我們一提起口令，那麼使用盡可能復雜的口令總是個好建議。例如，使用4gh7$21作為口令比使用"bob"或者"flower"等作口令要好多了。要避免使用任何簡單的或者和當前用戶有關的口令。 現在我們就充實一下這些問題... 在你第一次安裝linux時，你肯定不會注意到啟動時快速閃現的信息，比如啟動sendmail、lpd等等。也許你並不知道這個迷人的寵兒打開了一個供自己使用的特定端口，這樣就給linux開了個小洞，從而從外面就更容易訪問了。因此，這些漏洞必需死去，但是讓我們允許它快點安樂地死去吧，在你的/etc目錄下找到inted.conf文件並把所有不必要和對你來說沒有什麼用處的部分都注釋掉（使用#，只要在該行開始插入它就可以了），例如rexec、rsh、rwho和其它需要從網絡上登陸到你的計算機的東西。 如果你認為這些內容你都不會使用，你也可以關閉inetd守護進程。如果你使用POP3帳號來下載自己的email，而且並不希望使用其它服務，那麼現在你就可以關閉sendmail守護進程了。 如果你是一個新手，就把這些服務都關掉把，你很可能根本就不需要這些內容：sendmail、lpd、inted。可能還有很多，但是由於系統的特殊化，很難對它命名。如果你找到其它你並不希望使用的服務，也把它們殺掉好了，除了關閉這些端口之外，你還釋放了一些內存。也許你會希望檢查一下這些內容來獲得你實際上不需要的後台進程的更詳細信息。 不幸的是，我並不能告訴你你會使用哪些服務，不使用哪些服務，因此你只好自己解決這個問題了。這樣處理以後，你的linux有點安全了，但是還不夠，至少對於普遍的Paranoia Joe來說還不夠... 因此，你走到了這裡，關閉了自己不希望使用的後台進程，很好！現在讓我們涉足一些更嚴重的問題。 再次進入/etc目錄，編輯hosts.deny文件，增加一行ALL: ALL。簡單麼？現在你已經禁止其它主機訪問你的計算機了。在你希望允許一些主機訪問你的計算機時，就編輯hosts.allow文件，把允許的主機放到這個文件裡。在命令提示符中鍵入"man hosts.allow"就可以看到更多有關hosts.allow的內容。 Hmmmm，更深入一點，看一下現在哪些端口打開了怎麼樣？試試這個：輸入"nmap localhost.localdomain"，用你選擇的主機名來代替localhost。現在你應該可以看到你的計算機上的所有活動端口了。提示，使用"man nmap"來看一下有關nmap命令的更多內容。你沒有？沒有問題，從這裡下載好了（http://www.insecure.org/nmap）。 我可以看到你的眼睛在發亮，想知道更多內容麼？ 輸入"netstat -l"或者更好的方法是使用"man netstat"來看一下有關你機器上打開和監聽的端口的更詳細的內容。在分析netstat命令的結果時不用理會"Active UNIX domain sockets (only servers)..."一行後面的內容，不要問為什麼，如果你已經知道了那麼就根本不需要我告訴你了。下面是"netstat -l"輸出的一個例子：


Active Internet connections (only servers) Proto Recv-QSend-QLocal Address Foreign AddressState tcp 0 0 *:6000 *:* LISTEN raw   0 0 *:icmp *:* 7 raw  0 0 *:tcp*:* 7 Active UNIX domain sockets (only servers) - txt文件在這裡（http://www.net-security.org/text/articles/default_1.txt）。 通過簡單關閉所有你不需要或者不想使用的服務和守護進程，你就可以保證打開端口的數量最少。也就是說，在上面的例子中，只有端口6000是活動的，但是我們通過在文件中調用你的GUI的行中增加"-nolisten tcp"就可以把它關閉，所有的配置文件都位於/etc目錄。試試找到這些文件，浏覽一下你的系統，有時候這很有意思...當你禁止了不需要的內容之後，你應該可以看到沒有端口仍在監聽了，這樣你就感到有點安全了。注意，當在線時有些端口是打開的，例如，如果你使用一些ICQ。 接下來要介紹的是空前著名的防火牆，是的，就是防火牆，神秘的防火牆。如果你想了解更多內容，我建議你試試以下內容。最基本的，通過使用"ipchains"命令（hmmm，"man ipchains"聽起來怎麼這麼耳熟啊？）你就可以控制所有到達/來自於你的計算機的通訊，當然你必需要正確設置你的防火牆規則。讓我們給出一個例子： ipchains -A input -i ppp0 -p TCP -d 0.0.0.0/0 $portnumber -j DENY 這裡的$portnumber代表你希望隔離的實際端口號。也許你不希望被ping到（至少是icmp ping）： ipchains -A output -i ppp0 -p icmp -j DENY 有關ipchains可以寫很多內容，最好的方法是自己去一點一點地探究，了解一點，試驗一點，但是不要擔心後面羅列的那一長串參數，因為你可以以很簡單的方法使用ipchains。如果你希望了解更多內容，這裡有一個很好的ipchains-HOWTO（http://www.linuxsecurity.com/resource_files/firewalls/HOWTO/IPCHAINS-HOWTO.Html）。 所有這些過程都會使你的系統變得安全點，但是記住並沒有絕對的安全。只有人們按照系統允許的操作去維護系統，系統才是安全的。對連接到internet的服務進行限制並關閉服務是一種防止差錯泛濫的方法。記住，對你從網絡上接收到的內容以及發送者保持警惕，不要忘記經常對重要文件進行備份。綜合使用這些方法會向你證明這是很有意義的。 還有，最後一種但不是必需的方法--補丁。經常給你的軟件找些新的補丁和解決方案。這些你可以在最近的linux發行商站點上找到。永遠不要沉睡不醒... 自己從各種資源（例如發行商，安全站點，等等）訂閱一些郵件或者新聞列表是個好主意： Linux Security Newsletter and Security Advisories Weekly (http://www.linuxsecurity.com/general/newsletter.html) Security Focus Linux (http://www.securityfocus.com/forums/focus-linux/intro.html) Help Net Security Newsletter (http://www.net-security.org/text/newsletter) 推薦一些有用的站點： http://www.linuxsecurity.com/ http://www.slashdot.com/ http://www.rootprompt.org/ http://www.linux.com/ http://www.xmission.com/~howardm/ 上面提到的這些過程都由本文的作者在所安裝的linux發行版本SuSE 6.4上經過了測試。

自己從各種資源（例如發行商，安全站點，等等）訂閱一些郵件或者新聞列表是個好主意： Linux Security Newsletter and Security Advisories Weekly (http://www.linuxsecurity.com/general/newsletter.html) Security Focus Linux (http://www.securityfocus.com/forums/focus-linux/intro.html) Help Net Security Newsletter (http://www.net-security.org/text/newsletter) 推薦一些有用的站點： http://www.linuxsecurity.com/ http://www.slashdot.com/ http://www.rootprompt.org/ http://www.linux.com/ http://www.xmission.com/~howardm/ 上面提到的這些過程都由本文的作者在所安裝的linux發行版本SuSE 6.4上經過了測試。