使用自由软件维护异构网络的安全(11)

　　事情的不可忍受

　　好，你已做了所有这一切。你运行nessus扫描整个网络但是你仍然存在安全漏洞。我们不会说他们来自什么地方...我们已经知道！

　　试图迷惑这些系统替代品。它不去除通过NetBIOS”提供”的漏洞，而是它将限制破坏。 建立子域。作为管理人员不要登录。

　　打补丁。最后，在被用作网关的Unix机器上掩藏所有这一切。遗憾地，安全的相对论仅仅不来自由Redmond制造的产品。网络是活的：

　　总有某样东西在运行。一个好的管理人员是“paranoid”因此经常检查“固定装置的总量”。写脚本使检查自动化。有规律地检查SUID与SGID，关键的文件，log文件的习惯...为了得到一些更多朋友，锁住用户软驱和CDROM的设备。不要接受未经同意的用户下载软件尤其是当这种软件在微软世界总是是可执行的。使用邮件过滤系统以防止你的用户打开Word或者Excel格式的附加文件。是，我知道这么做就像法西斯一样，但是你能对着宏病毒做什么呢？不要使用诸如outlook的产品。再一次，你必须了解你想要什么！我知道，我所说的是无价值的，但是你能对这种产品谈论安全？著名的“我爱你”病毒不能说明任何问题。

　　有关Unix，下载也必须被控制。 校验偶然尚未被提供。

　　你应该养成一个周期地检查log文件，脚本和扫描控制你的网络的习惯。你将注意到：

　　事情变化十分快并且不仅仅是朝着好的方向发展。

　　最后，我们要提到话，就是不忘记备份。 备份的策略没有变化： 每日，每星期和每月。 Unix机器也会有问题，即使它是不寻常的。同时，有时用户犯错误的而也不是经常的。大多数问题来自负责机器或部门的管理人员：--(

　　最后，终于完了！

　　如果你看到这一节那可是勇气可嘉呀。问题是我们仅仅大概浏阅了整个的主题！安全是没有终结的并且还不仅仅是网络。易受攻击的程序会毁掉一个网络。一个配置不好的防火墙比没有安防火墙更糟。每个Unix机器一般都有成千的文件。谁能保证没有一个是易攻破的呢？谁能想到一个攻击者可以破解一个１２８位的密码？你不要被愚弄：他会找到屋子的后门。再说一遍，即使你安装了所有的安全工具，但是如果你只留了一个小漏洞，那么这个小漏洞就可以导致系统被击穿。

　　安全可以看成是这样一种行为：你要紧跟形势。比如说，周期地浏阅安全网站，包括你机器的操作系统的网站...比如Sun每个月发布推荐的补丁。SGI每３个月发布Irix的新版本。微软频繁地提供服务包和补丁。 Linux发布的各个版本每发现一个易受攻击点就发布更正。各种BSD系统也是这样。如果你不使用那些产品连同补丁从硬盘中删掉就是了。就是这样子：事情要干的事情列出来会很长很长的。总之，这个工作是没完没了。

　　最后，让我再说一遍，我们做的只是使你的系统不太容易受到攻击。不要期望你能得到一个100%安全的网络，即使是一段给定的时间（当然你停掉机器不算）。这样子说，好像对维护系统安全工作不负责似的... 但是它会时刻提醒你。但是不要搞的你的日常生活也是这样，你旁边的人比机器更友好一些...