扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:赛迪网 来源:赛迪网 2007年10月8日
关键字:
在本页阅读全文(共2页)
为操作系统打补丁并不是可选的,更不是一件可掉以轻心的事情。必须要反复强调:在一个安全更新可用时,必须为所有的服务器及时更新。对于那些只在周末为UNIX服务器打补丁的用户来说,他们要承担一种严重的责任,因为具有恶意用心的人可以很轻松地获得根目录的访问,因为对于系统漏洞的恶意利用代码出现的速度是极快的。此外还有一些很新的恶意利用;这些都是十分可怕的事情。SELlinux或者一台正确配置的Unix计算机能够在防止恶意利用漏洞方面大有帮助。因此我们认为总体上的安全架构是最为关键的。
那些不安全的服务器可能允许用户登录。假定我们需要共享的home目录,要支持此处描述的环境可能会很困难。输出到不安全客户端的NFS共享需要仔细检查,特别是当开发人员或研究人员需要其机器上的根目录权限时。
既然NFS意味着无安全性,向一个未被控制的客户端授权访问NFS共享是相当可怕的。实质上,你必须假定在共享文件系统中的任何东西都可能被危及安全,因为在根用户可能会很轻易地SU到碰巧拥有文件的任何人那里。老的标准工作区是要将这些类型的共享移到其自有的分区中,而且将其共享给那些有害的客户端。AFS并不支持企业级特性,因此你最好不要采用它,而且它本身并不支持快照或兼容的ACL等。
我们可以对系统安全提出各种各样的最优方法和缺陷。从架构的视点来看,一般的观点是用两种方式将风险最小化:一是使其难于渗入,二是一旦进入系统,应难于扩散。通过采用恰如其分的监控,你应该能够快速地检测任何入侵并能阻止它。
不管你有300个还是3000个服务器,基本的原则都是相同的。这看起来简单,在配置一个新的或被破坏的服务器时却是最基本的。请记住:
在暴露的服务器上尽量地减少服务;
尽量地减少暴露的服务器的数量;
在给NFS客户端任何权限时需要极端小心;
更新更新再更新!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。