系统安全之全面关心你的UNIX架构安全

毋庸置疑，一家公司的Unix架构极有可能是其全部IT问题的最重要的部分。因为它支撑着你的邮件系统、Web服务器，甚至你的最重要的企业应用。虽然Unix系统本身是极其安全的操作系统，但在这个恶意代码和黑客行为十分猖獗的时代，我们绝不可以对Unix架构的安全问题掉以轻心。本文将讨论任何Unix用户都应该清楚的保障Unix安全的关键方法，籍以引起您对此问题的高度重视。

那么，到底有哪些要素组成了Unix架构呢？这个问题难以规定其标准答案，但总体而言，大多数公司都有面向客户或公众的服务。这些服务器是“公用”的服务器。任何一个提供服务给外部世界的事物都有其特殊性。它们是用户可以登录的机器，这些用户可以是一个合法的ISP账户，也有可能是一家公司的开发团队。我们将这些可被登录的服务器称为“登录服务器”，因而须对它们特别对待。还要注意，我们网络架构中有相当多的计算机是为其它服务器提供服务的，这些服务器只有超级用户可以访问。

公共服务

首要的问题是，您必须看一看所有的可为外部世界提供服务的服务器，并思索自己是否真的需要。通常情况下，它们可以置于防火墙之后，或者放在一个组合式防火墙及代理服务器之后。举例来说，如果你在四个WEB服务器上运行一个面向客户端的WEB站点，那么，减少这些服务器的暴露程度至最少化是可能的。放置在这些WEB服务器之前的一个代理服务器或一对冗余代理服务器可以接受所有的客户端连接，然后检查并清理这些服务。这就是代理服务器其中所起的作用。代理服务器够减轻后端WEB服务器的风险，而且不受Internet的影响和访问。

引起安全问题的最经常的原因是没有及时打补丁或者未知的服务。很长时间以来，已被人们遗忘的WEB服务器是那种Apache的老版本或者易受攻击的PHP脚本服务，因其内核已过时。对于灾难性故障的解决处方也许太普通，不过，如果您的WEB 服务器隐藏在一个代理服务器之后，那么几乎就没有什么遗忘打补丁或服务的风险。

对于其它服务也是同样的情况。许多站点有一些极端的限制，如防火墙管理员必须验证任何新的网络应用，并且工作良好。通常情况下，公司网络完全开放，其WEB应用是不安全的，应用程序能与之交互的服务器常常是无任何理由地可被互联网访问。