使用自由软件维护异构网络的安全(4)

　　工具

　　让我们从Unix说起，因为它是唯一真正考虑过安全问题的操作系统。其次，Unix可以运行很多的自由工具软件并且大多数也能运行在Unix的衍生版本中。

　　从现在起，我们开始安装各个机器。为了达到网络安全，在做各种事情之前，首先考虑事情的各个元素达到安全要求没有。安装这些工具是很轻松的工作，所以我们不会在这里浪费时间。安全工具不同的参数取决于系统，需求...甚至根据自己的意图来定制。第一个安装的工具是shadow utils。它的意思是做密码加密。幸运地，这已经成了许多Unix发布版本的一部分。文件/etc/shadow就是/etc/passwd”创建”的。

　　更好的工具是PAM（插入认证模块）限制用户访问某种服务。每个被关注的服务都使用目录中的配置文件管理一切的事务。这个配置文件一般是/etc/pam.d。许多服务都是PAM”驱动”的，比如，ftp，login，xdm等等，让管理员分配每个人有不同的权限。

　　下一个工具是必需提到的：TCPWrapper。它可以工作在大多数的类Unix版本中。简短解说，它限制某些主机对一些服务的访问。这些主机允许还是拒绝由２个文件来决定：/etc/hosts.allow和/etc/hosts.deny。TCPWrapper可以通过２种方法配置：或者把它放到后台，或者改变 /etc/inetd.conf配置文件。如果选择后者，你可以看到TCPWrapper可以和其他的工具和平相处。你可以在下面的链接中找到它： ftp://ftp.porcupine.org/pub/security

　　另一个有益的工具就是xinetd。简短解说，xinetd是inetd的更新换代，它有更多的特性。刚才我们已经评论过了inetd，所以我们不推荐它。如果你感兴趣，你可以在以下的网址找到它： http://www.xinetd.org.

　　在Linux环境下，这个工具你一定要有：它的名子是Bastille-Linux。它的链接是：http://www.bastille-linux.org. 这个工具是用Perl写的，不仅很dd还很有效率。运行了一个脚本后，你会回答很多的问题， Bastille-Linux会根据你的每个回答一一配置。每一个问题都有解释并且提供缺省的设置。你可以不改变缺省的设置，起动一个新的配置，然后检查一下Bastille-Linux做了些什么。你都看到了吧！它也提供了一个防火墙的配置：我们回过头会在讨论它。写这篇文章的时候，Bastille-Linux的版本是1.1.1，但是1.2.0 作为候选版本已经发布了。它提高了不少，并且提供了基于Tk和Perl模块的图形界面。（作者提示：这篇文章在几个月前写的。事实上， Bastille-Linux最近的版本是1.3.0）。