科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道使用自由软件维护异构网络的安全(6)

使用自由软件维护异构网络的安全(6)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

我们做的只是使你的系统不太容易受到攻击。不要期望你能得到一个100%安全的网络,即使是一段给定的时间(当然你停掉机器不算)。

作者:51CTO.COM 2007年10月28日

关键字: 安全工具 自由软件 入侵监测

  • 评论
  • 分享微博
  • 分享邮件

  主机安全化

  现在你必需配置所有这一切!再提一遍,我们假定每一个Unix机器都”配备”了影射工具, PAM,TCPWrapper,没有用的服务都停掉了或删除了,一些”敏感”的目录的访问权限被加强了,等等。

  在Linux机器上,这时是起动Bastille-Linux时候了。(这个工具可以运行在很多的Linux发布版本中,虽然它原先是专为Redhat和Mandrake设计的)。你可以很轻松的回答它限制性很强的提问。

  使用Linux机器作为网关,系统一定”最小化”。你可以去掉大多数的服务:http,ftp,等等。去掉X11图形界面:你不需要它!去掉不需要的软件...这么一来,系统大部分都去掉了。停掉没有用到的后台程序。你应该得到这么一个系统:当你键入 ps ax命令时,显示填不满一个屏幕。如果你使用IP伪装,lsof -i命令只显示一行:那个它关注的监听的服务器(我们假设它不是一个永久的联接)。

  你一定要把portsentry装到机器上并且它会在机器起动时起动,使用”高级”模式(为Linux定做的,它使用 -atcp和-audp选项)。这意味着TCPWrapper和firewall都已经安装上了。回头再说这个。

  对Solaris来说,我们使用aset and ndd命令。回头也要提到它。 portsentry已要安装。我们要使用IP Filter并且使用RPCbind版本2.1取代标准版本,版本2.1可以从porcupine.org下载。对Irix来说,我们选择ipfilterd来进行如其名曰的包过滤。它时Irix发布版本中的一部分,但是不被缺省安装。

  对NT来说,事情有一点复杂...比较”法西斯”的做法是持续地阻塞(最好是去掉)端口137和139,它是著名的NetBIOS。但是这样就没有网络留下了(这就是Windows的网络)。再涉及到应用服务器的时候,它会出现一点小问题。你也可以安装snort但是它不能阻止象sieves这类的东西干扰机器。相应地,你要十分严格地检查分区访问权限,目录访问权限...

  而且你一定要工作在NTFS分区上。这里也有免费的去除guest帐户的工具但是没有源代码。然后安装所有的你能找到的安全补丁!无论怎么说,卷起你的袖子大干一场使得系统不太轻易的受到攻击。这有点象学习攻击系统的教程,还是强制的。

  对于其他”离奇”的操作系统,你可以搜寻和选择适当的工具。总的来说,基本的规则是一样的:服务开启的越少越好。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章