使用自由软件维护异构网络的安全(6)

　　主机安全化

　　现在你必需配置所有这一切！再提一遍，我们假定每一个Unix机器都”配备”了影射工具， PAM，TCPWrapper，没有用的服务都停掉了或删除了，一些”敏感”的目录的访问权限被加强了，等等。

　　在Linux机器上，这时是起动Bastille-Linux时候了。（这个工具可以运行在很多的Linux发布版本中，虽然它原先是专为Redhat和Mandrake设计的）。你可以很轻松的回答它限制性很强的提问。

　　使用Linux机器作为网关，系统一定”最小化”。你可以去掉大多数的服务：http，ftp，等等。去掉X１１图形界面：你不需要它！去掉不需要的软件...这么一来，系统大部分都去掉了。停掉没有用到的后台程序。你应该得到这么一个系统：当你键入 ps ax命令时，显示填不满一个屏幕。如果你使用IP伪装，lsof -i命令只显示一行：那个它关注的监听的服务器(我们假设它不是一个永久的联接）。

　　你一定要把portsentry装到机器上并且它会在机器起动时起动，使用”高级”模式（为Linux定做的，它使用 -atcp和-audp选项）。这意味着TCPWrapper和firewall都已经安装上了。回头再说这个。

　　对Solaris来说，我们使用aset and ndd命令。回头也要提到它。 portsentry已要安装。我们要使用IP Filter并且使用RPCbind版本2.1取代标准版本，版本2.1可以从porcupine.org下载。对Irix来说，我们选择ipfilterd来进行如其名曰的包过滤。它时Irix发布版本中的一部分，但是不被缺省安装。

　　对NT来说，事情有一点复杂...比较”法西斯”的做法是持续地阻塞（最好是去掉）端口137和139，它是著名的NetBIOS。但是这样就没有网络留下了（这就是Windows的网络）。再涉及到应用服务器的时候，它会出现一点小问题。你也可以安装snort但是它不能阻止象sieves这类的东西干扰机器。相应地，你要十分严格地检查分区访问权限，目录访问权限...

　　而且你一定要工作在NTFS分区上。这里也有免费的去除guest帐户的工具但是没有源代码。然后安装所有的你能找到的安全补丁！无论怎么说，卷起你的袖子大干一场使得系统不太轻易的受到攻击。这有点象学习攻击系统的教程，还是强制的。

　　对于其他”离奇”的操作系统，你可以搜寻和选择适当的工具。总的来说，基本的规则是一样的：服务开启的越少越好。