使用自由软件维护异构网络的安全(8)

　好了，我们是想提高系统安全，现在回过头来检查我们的工作。为了做到这一点，让我们变成”黑客”，我们将使用他们的工具。恶心，是吗？在这个领域，也有一个很棒的工具的组合，我们随意的选择其中２个：nmap和nessus。这里可没有重复。比如说，第二个就需要第一个的支持。这些工具是端口扫描工具，nessus还远胜于此。Nessus可以报告给你系统的弱点，而且把扫描结果和弱点数据库进行对比。在网络中运行这些工具使得你可以得到每个主机的弱点，无论什么操作系统。这些工具得到的结论很有实际的意义，所以这些工具要必备。你可以在以下网址找到nmap和nessus： http://www.insecure.org， http://www.nessus.org.

　　在文章的开始我们讨论过一些联接外部网络的局域网的安全问题。这和一个因特网服务提供商的情形会有很多的不同并且我们不会在这个问题的上深入讨论。当然我们提到的依然有效但是你需要更精细的手段，比如VPN（虚拟私人网络），LDAP作为认证手段（打比方）等等。这几乎是另一个主题了因为它涉及到的东西有更多的约束条件。请千万不要提到电子商务网站，这些网站是不考虑安全隐患的。不过他们总是说自己的网站是安全的！不要告诉我...你已经通过因特网发送了你的信用卡的卡号了。如果是，你的勇气可嘉。建言：如果你会法文可以看一下这个网站： http://www.kitetoa.com, 这很值哦。

　　系统特殊性的考虑

　　我们已经提过系统安全在敌人面前的表现是不一样的。有些有很好的能力但另一些没有。有点荒谬的，自由的操作系统是很好的。不同的BSD(OpenBSD, NetBSD,FreeBSD...)，不同的Linux在安全方面走在别的系统的前面。当然，这归功于自由软件社区的伟大的工作。别的系统，即使有Unix的标签的，要差一点的。不是Unix的系统，那很糟糕。

　　所有这里提到的工具都在所有的操作系统里运转。大多数的专有的Unix系统也可以从中得益。无论如何，这些专有的操作系统大多数都有自己的工具。比如，在Solaris上有ndd and aset。因为传播的不广，Sun的系统不是一个很好的安全的典范。

　　aset工具允许提高进入的权限的安全。aset提供３种保护等级：低，中，高。你可以在shell中运行它或者在cron任务中起动它。在运行的网络中，事情总是变化的，在５pm是可以的在5.30pm是不可以的情形是有的。因此周期性的运行一些命令保持某种平衡的需要是有的。这就是aset由cron管理的原因。它总是每一小时或每３０分钟，或者你想的任何时间，管理目录文件的进入权限...