扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
主机安全化
现在你必需配置所有这一切!再提一遍,我们假定每一个Unix机器都”配备”了影射工具, PAM,TCPWrapper,没有用的服务都停掉了或删除了,一些”敏感”的目录的访问权限被加强了,等等。
在Linux机器上,这时是起动Bastille-Linux时候了。(这个工具可以运行在很多的Linux发布版本中,虽然它原先是专为Redhat和Mandrake设计的)。你可以很轻松的回答它限制性很强的提问。
使用Linux机器作为网关,系统一定”最小化”。你可以去掉大多数的服务:http,ftp,等等。去掉X11图形界面:你不需要它!去掉不需要的软件...这么一来,系统大部分都去掉了。停掉没有用到的后台程序。你应该得到这么一个系统:当你键入 ps ax命令时,显示填不满一个屏幕。如果你使用IP伪装,lsof -i命令只显示一行:那个它关注的监听的服务器(我们假设它不是一个永久的联接)。
你一定要把portsentry装到机器上并且它会在机器起动时起动,使用”高级”模式(为Linux定做的,它使用 -atcp和-audp选项)。这意味着TCPWrapper和firewall都已经安装上了。回头再说这个。
对Solaris来说,我们使用aset and ndd命令。回头也要提到它。 portsentry已要安装。我们要使用IP Filter并且使用RPCbind版本2.1取代标准版本,版本2.1可以从porcupine.org下载。对Irix来说,我们选择ipfilterd来进行如其名曰的包过滤。它时Irix发布版本中的一部分,但是不被缺省安装。
对NT来说,事情有一点复杂...比较”法西斯”的做法是持续地阻塞(最好是去掉)端口137和139,它是著名的NetBIOS。但是这样就没有网络留下了(这就是Windows的网络)。再涉及到应用服务器的时候,它会出现一点小问题。你也可以安装snort但是它不能阻止象sieves这类的东西干扰机器。相应地,你要十分严格地检查分区访问权限,目录访问权限...
而且你一定要工作在NTFS分区上。这里也有免费的去除guest帐户的工具但是没有源代码。然后安装所有的你能找到的安全补丁!无论怎么说,卷起你的袖子大干一场使得系统不太轻易的受到攻击。这有点象学习攻击系统的教程,还是强制的。
对于其他”离奇”的操作系统,你可以搜寻和选择适当的工具。总的来说,基本的规则是一样的:服务开启的越少越好。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。