知识大全 Trustix Secure Linux简介
Posted 档案
篇首语:自然界没有风风雨雨,大地就不会春华秋实。本文由小常识网(cha138.com)小编为大家整理,主要介绍了知识大全 Trustix Secure Linux简介相关的知识,希望对你有一定的参考价值。
Trustix Secure Linux简介 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!
前言 Trustix Secure Linux 是针对以高品质的服务器所设计的Linux套件 或许读者会有个疑问 为什么已经有这么多的Linux 套件为何还要创造Trustix Secure Linux ﹖在安装了其它各式的Linux套件后 我们达成了结论 那就是有许多的套件在服务器上是不需要的 例如 X windows系统 而且很难移除掉 大部分的安装套件有许多的服务预设是在执行的 在今天的网络上有许多计算机犯罪者 执行不必要的服务就等于开了个后门 是个禁忌 Trustix 感觉到大部分的Linux都针对于桌面市场 然而决定去创造出Trustix Secure Linux 一套Linux distbution 焦点放在针对于对服务器的安全上 最值得注意的就是它没有了X windows系统 图形使用者界面(GUI)将只会浪费内存 CPU和硬盘空间 系统默认值的设定是任何的服务都不执行的 更容易让人知道什么是需要什么是不需要的 需要的时候才去执行 所以Trustix Secure Linux的设计就是减少不必要的程序和把焦点放在安全上(安装程序的数目大小和安全成反比) 针对一些有经验的系统管理者能在短时间内能够去安装和设定 以及让无经验的使用者容易上手 对于更详细的Trustix Secure Linux的设计目的可以参考 安装系统 我们可以至 取的最新的版本 虽然目前稳定的版本是 不过由于在Linux 以前版本的核心有安全上的疑虑(见 ?NEWSID= ) 所以笔者在此建议使用 () 来安装 附带提的是要获得一个安全的 Linux 系统第一步要做的就是去获得一个有安全保证的发行商所发行的套件 所谓的安全保证应不只是现在发行的套件没有安全上的疑虑 更要有完整服务 手册 更新 电子论坛 (mail listing) 的机制 不晓得读者对国内目前发行的 Linux 套件评价有多高呢﹖原则上不管读者决定安装那一个套件 最好去原发行商处取得 如果读者从不信任的地方取得 一定要在安装之前去查证来源码 例如 PGP/GPG 签章或 MD checksum 确定是安全的才去安装 这听起来好象不是很重要的样子 但它经常是许多管理者忽略的地方 导致木马 后门在系统中作祟 由于 Trustix 是源自 RedHat 所以安装过程也是相同的 只是没有烦人的图形安装界面 使用的是文字的安装方式 只是硬盘分割区的大小和选择安装软件须由安装者自己指定 安装程序并不代劳 有时想想这也是应该的 如果系统管理者无法决定上述的选项 如何提供使用者安全的服务呢﹖至于详细的安装过程就请读者参考一下 RedHat 是如何安装的 有经验的读者可以直接略过 或参考 在此笔者还是对些应注意的事项再【老生常谈】一下 假如机器上只用来当 web/email/dns 服务器 只要建立一位使用者 因此要去设 root 密码和另一个帐号 建立另一个帐号的理由是尽量少用 root 去系统上工作 而是用一般的使用者去登入 做一般各种的检查 若有需要去执行root 级的权限 再执行 sudo 命令去执行 root 的工作 而且由于不太可能使用 root 帐号作为对外 Email 用 所以请将 root 的 email 透过 aliases 转给一般的使用者 免得一些漏接一些重要的警告信而不自知 对于侵入者 要获得系统的使权限最简单的方法之一就是利用其它使用者的帐号 密码是 UNIX 安全管制作业中最重要的一部分 如果侵入者得到一个使用者的密码 可以利用这个帐号登入系统中 继而用这个帐号的权限去做他想做的事 再严重一点的 如果获得的是 root 的密码 侵入者立刻就拥有了对系统的绝对控制权 如此整个系统就落入了他人手中 后果是很严重的 因此选择一个安全的密码是很重要的 根据某项测试结果分析一般人选用的密码有几项特性 用跟帐号相同的密码(最多) 用自己的汉语拼音 用常用的英文单字 用计算机中常出现的字 还有操作系统的命令 如:mand host copy… 简单的数字 例如 …等等 用自己出生日期 如: 选择密码的原则就是让人永远猜不到 这样可以让侵入者痛苦地不断猜测密码 即使是用字典法(暴力破解法)也无辄 (注一) · 不要使用跟帐号一样的密码 · 不要使用任何人或任何东西的名称 · 不要使用英文单字 或外文单字 或任何字的缩写 · 不要使用从讨论计算机安全的书上看到的 用来举例的密码 不论它有多好 · 使用数字和大小写字母混合的密码 · 至少使用六个字母的密码 · 不要使用帐户拥有者的个人相关资料 例如 不要使用姓名前缀缩写 电话号码 身分证号码 工作职称 单位名称等等 · 不要使用键盘字母的排列顺序 如asdf · 不要使用上面各项的反序 或大写形式 或类似的变化 · 不要使用全部是数字的密码 · 使用看似随机选取的字母和数字 在基本的安装及重新开机完成之后 然后要去做必需的 patches (修补)和增加必需的应用软件 首先 必需去下载及去应用 patch (修补) 以 Trustix 为例在 ftp:///pub/Trustix/updates/ 中 以 Redhat 为例 那些 patch 档能够在 中找到 那些 patch 档有三种不同的形式 包含 安全咨询 (security advisories) 错误修正 (bug fixes) 及套件更新 (package updates) 接着在命令列下执行 rpm Uvh filename rpm 并且记得定时到网站去看看有没有新的修补档案 还要订阅相关的邮件论坛 例如有 tsl announce tsl discuss tsl testers 详细的资料请参考 另一个要讨论安全问题的就是 LInux LOader (LILO) LILO 是激活管理程序 当一台计算机要使用许多种操作系统时 就可以用 LILO 来管理 LILO 也能够提示符号中去输入参数 LILO 通常在安装完之后就大概会被忘记 然而它却存在着安全的危险 因为可能有恶意的使用者可以经由不同的LILO参数去通过安全的手段进而取得读者的系统 举例来说 如果有使用者在LILO的提示符号中输入这样的参数 linux init=/bin/sh 然后这个参数允许使用者直接去激活 linux 并且给予使用者 root 的权限(尽管它是在只读的型式)而不需要密码 因为可能会发生上述的事件 所以必须去对 LILO 做限制 这个控制包含在 /etc/nf 档案中 理想上这 /etc/nf 档案应该如下列所设定的一样 Boot=/dev/had map=/boot/map install=/boot/boot b Prompt timeout= image=/boot/vmlinuz label=linux initrd=/boot/initrd read only root=/dev/hda restricted password=PASSWORD 结果为 LILO boot Password 这个例子中设定时间为 秒 如果没有命令参数在 秒内输入的话 它就会继续去激活预设的设定去开机 这样子就没有机会去输入参数 在这档案中另外一个重要的地方就是使用者必需要去输入密码 密码就是存放在这个档案中 可以任意去改变 格外要注意的是它的权限必须改成 避免被人去读取 只能由 root 去读写这个档案 执行 chmod /etc/nf 为了读者的 Linux 主机变的更安全 还有许多额外的步骤要去执行 首先必需要做的是对系统帐号对安全管制 在 /etc/passwd 档案中包含了许多预先设定好的帐号 这些帐号包括 gopher news mail ftp 等等仅仅为了软件使用权等目的而设置 在这建议读者将这些帐号通通移除或用 # 批注掉 在此有些帐号会没有去设定密码 必须要确定每个帐号都有密码保护着 执行下面指令 可以找出 /etc/passwd 中没有密码保护的帐号 awk –F: $ == /etc/passwd 当修改了 /etc/passwd 时 也必需去检查影子密码文件(shadow passwords) 可以去执行 pwconv and grpconv 命令 去读取 /etc/passwd 档 产生 shadow 档案出来 注一 字典法 在passwd档里 使用crypt加密 过程为 以明码正文形式取出密码 把密码做为关键词 用一系列 进行加密 把一个 位二进制值转变成 位变量基础的唯一的 位二进制值 作为关键词再加密 crypt加密随机性大 位关键词存在可为 x E 个 所以要逆向译码是不可能的 使用比较法 获得一个字典文件 它是一个单字表 把单字用用户的加密程序加密(符合DES的标准) 把每个单字加密后的结果与目标加密后的结果进行比较 如果 符合 则该单字就是加密关键词 也就是密码 这就是所谓的字典法 档案权限 Linux 档案系统跟其它的 UNIX 系统非常相似 每个档案都有它的权限在 包含 读取 写入 执行等 种权限 和大部分的 UNIX 一样 档案和目录权限会产生问题及被有心人利用来破坏或窃取读者宝贵的资料 所以系统上档案和目录必须设权根 只能给有权根的使用者去读取 写入和执行 Read 该档案或目录可以被读取 对目录来说读取权限可以允许使用者去查看目录的内容 但不能对目录内的档案进行读取 Write 该档案或目录可以被写入 对于目录来说 写入是指在此目录区中建立 删除档案及改名的能力 要注意的是移除档案的能力并不是由档案的权限控制的 而是由包含该档案的目录权限位所控制 Execute 该档案或目录可以被执行(被搜寻) 对目录而言是指允许该目录区能被搜寻的权限 即查看目录中档案的权限 执行已编译的可执行档只需要设定该档案的执行权限即可 但执行 shell 指令文件则必需同时需要设定读取和执行两种权限 因为 shell 必须先能够从档案中读取指令 再去执行以 /bin/mount 这个档案举例来说(这档案是用来挂上某些装置 如 CD ROM) 它标准的权限是 rwsr xr x 表示一般的使用者能够去执行这个档案 从安全的观点来看 一般的使用者不应该能够去执行这个档案 就这点来看 有许多系统的档案是被滥用的 谁都可以去执行 不用说 最基本的就是去讨论重要的目录(例如 /etc cha138/Article/program/Oracle/201311/17811相关参考
Linux环境主要数据库简介 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 数据库是Linux应
知识大全 Linux 网管 123 --- 1. 前言 2. 简介
Linux网管123---1.前言2.简介 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! byS
摘要 这段时间在搞一个微型的Linux将它作为一个项目的平台这个过程中看了研究了一下Linux的启动过程同时把启动配置文件看了一下作了一下注释同时和大家共享一下:)我使用的Linux平台是Red
Linux下的LDAP 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 作者简介 AtifGha
日志简介 日志对于安全来说非常重要他记录了系统每天发生的各种各样的事情你可以通过他来检查错误发生的原因或者受到攻击时攻击者留下的痕迹日志主要的功能有审计和监测他还可以实时的监测系统状态监测和追
虚拟文件系统(VFS)简介:前言 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! Linux是目前
虚拟文件系统(VFS)简介:VFS架构 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! Linux
知识大全 Linux 网管 123 --- 概观 Linux
Linux网管123---概观Linux 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! bySt
一张软盘上的Linux或小Linux的文件组成 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧! 一
知识大全 Linux 网管 123 --- 升级 Linux 及其他应用软体 -9.Sendmail
Linux网管123---升级Linux及其他应用软体-9.Sendmail 以下文字资料是由(全榜网网www.cha138.com)小编为大家搜集整理后发布的内容,让