使用自由软件维护异构网络的安全(3)

　　安全工具和如何使用他们

　　一般来说，做一件事情总是有不止一种方法（TIMTOWDI）。理想的情况是一切从头来，安装机器建立网络。但是现实可不是演电影！相应地，我们的网络应该是用过一段时间了，机器从这里搬到哪里，旧的去新的来。因为CPU在Mhz上的”竟赛”，举例来说，今天的Intel 的机器不会持续很长的时间。大约３年以后，机器的零部件就很难买到了。你要不让你的机器废物利用做些轻便的工作要不就是干脆把它扔掉：无奈但是很现实。幸运的是，其他的系统持续时间长一些并且还可以继续提高。不要说这些跑了题：一个管理员总是要尽量利用现有的条件。

　　基本的东西

　　工作的第一步通常做我们称”一般性”的部分。那就是去掉每台机器中没有用到的东西：这可不是一件轻松的差使。每个操作系统，包括Unix在内，安装了数不清你用不到的服务，协议。主说：扔掉它。在Unix环境下，简单。。粗暴的方法是注释掉/etc/inetd.conf 文件中的每一个服务。这样就干掉了一些。 这好像有一点霸道，但是在许多机器上这是值得推荐的。这也要看你的需求是什么了。在Linux中和其他一些很少见的系统中你可以使用chkconfig 命令去删除一些服务。

　　还要检查SUID/SGID文件，毫不犹豫地把”失误”位去掉。或不要激活程序。一个如下的命令： find / -user root -a ( -perm -4000 -o -perm -2000 ) -print 可以列表所有这样的文件。去掉S位，键入chmod a-s programname （注意：你去掉s位后可能失掉一些功能。 它终归有其目的）。

　　去掉所有”危险”或已知的”冒险”的程序：远程命令如rsh，rlogin，rcp等等。可以使用SSH取而代之。

　　检查象/etc，/var这样目录的权限，越严格越好。比如，给包含起动文件（在许多Unix系统中是 /etc/rc.d/init.d）的目录使用chmod -R 700是不错的主意。相同的规则可以运用到所有系统的网络部分，去掉你不使用的，至少不激活它。对NT来说，你可以轻松地在配置面板中设置。这里有很多基本的东西去做并许多文化的主题都来源于此。