采取针对性措施保障 Unix 服务器的安全

为操作系统打补丁并不是可选的，更不是一件可掉以轻心的事情。必须要反复强调：在一个安全更新可用时，必须为所有的服务器及时更新。对于那些只在周末为UNIX服务器打补丁的用户来说，他们要承担一种严重的责任，因为具有恶意用心的人可以很轻松地获得根目录的访问，因为对于系统漏洞的恶意利用代码出现的速度是极快的。此外还有一些很新的恶意利用；这些都是十分可怕的事情。SELlinux或者一台正确配置的Unix计算机能够在防止恶意利用漏洞方面大有帮助。因此我们认为总体上的安全架构是最为关键的。

那些不安全的服务器可能允许用户登录。假定我们需要共享的home目录，要支持此处描述的环境可能会很困难。输出到不安全客户端的NFS共享需要仔细检查，特别是当开发人员或研究人员需要其机器上的根目录权限时。

既然NFS意味着无安全性，向一个未被控制的客户端授权访问NFS共享是相当可怕的。实质上，你必须假定在共享文件系统中的任何东西都可能被危及安全，因为在根用户可能会很轻易地SU到碰巧拥有文件的任何人那里。老的标准工作区是要将这些类型的共享移到其自有的分区中，而且将其共享给那些有害的客户端。AFS并不支持企业级特性，因此你最好不要采用它，而且它本身并不支持快照或兼容的ACL等。

我们可以对系统安全提出各种各样的最优方法和缺陷。从架构的视点来看，一般的观点是用两种方式将风险最小化：一是使其难于渗入，二是一旦进入系统，应难于扩散。通过采用恰如其分的监控，你应该能够快速地检测任何入侵并能阻止它。

不管你有300个还是3000个服务器，基本的原则都是相同的。这看起来简单，在配置一个新的或被破坏的服务器时却是最基本的。请记住：

在暴露的服务器上尽量地减少服务；

尽量地减少暴露的服务器的数量；

在给NFS客户端任何权限时需要极端小心；

更新更新再更新！