Linux服务器平台的安全保护(4)

　　4、连接到防火墙

　　通过安全可控的途径连接到防火墙也是非常重要的。通常，我们需要远程访问防火墙以进行管理或上载文件。这些通讯需要考虑安全性。在这里我们主要讨论两种方式：ssh和TCP Wrappers。

　　我个人推荐ssh，因为它使在我们和防火墙之间的通讯都是经过加密的。TCP Wrappers不能保证网络通讯不被窃听，使用户仍然有可能捕获通过网络传送的明文口令。如果你担心被其它用户窃听你和防火墙之间的通讯，推荐用ssh替代telnet/ftp。ssh会话对其所有网络通讯进行加密，使在防火墙上的管理和文件上载变得更安全。ssh和TCP Wrappers的相似之处是有自己的日志文件功能，并能限制哪些系统可以创建网络连接。要获取更多关于ssh的信息和下载ssh客户端和服务器端源代码，请访问http://www.ssh.org网站。建议使用1.2.x版本的ssh，因为2.x版本有版权限制。对于Windows 95/NT用户，推荐用SecureCRT作为ssh客户端。

　　TCP Wrappers，虽然不支持加密，但它提供日志功能和控制何人能访问系统。它通常用于为inetd中的服务，例如telnet或ftp，添加一层限制。当使用TCP Wrappers时，系统通过它来监视inetd进程创建的连接，记录所有连接请求，然后对照一个访问控制列表（ACL）检验该请求。如果该连接是允许的，TCP Wrappers将此连接请求传递给相应的真正守护进程，例如telnet。如果该连接是禁止的，则TCP Wrappers会丢弃此连接请求。对于Linux系统，TCP Wrappers缺省时就被安装到系统中，我们只需编辑/etc/hosts.allow和/etc/hosts.deny文件即可。这些文件用于确定什么人能和不能访问系统。TCP Wrappers的语法比较简单，将被允许网络连接的IP地址或网络添加到/etc/hosts.allow文件，将被禁止网络连接的IP地址或网络添加到/etc/hosts.deny文件。缺省时，Linux允许所有连接，所以需要对这两个文件进行修改。对于TCP Wrappers有以下两点建议：

　　使用IP地址而不是系统名字或域名。

　　设置/etc/hosts.deny文件禁止所有连接（ALL），然后在/etc/hosts.allow文件中指定仅允许特定主机和网络。

　　5、更严格的安全配置

　　以上讨论的内容包括了所有的要点。通过执行以上操作，你就可以显著增强系统的安全性。然后不幸的是，你的系统并不是100%安全，而且永远也不会是。因此，这里提供几个更严格的安全配置方法和步骤。

　　首先是创建whell用户组。wheel用户组包含了允许执行一些功能强大命令（例如/usr/bin/su）的用户帐号列表。通过限制有权限访问这些命令的用户帐号，就能够增强系统的安全性。要创建wheel组，用vi编辑文件/etc/group，创建wheel组并为其增加系统管理员帐号。然后确定重要的系统程序，例如/usr/bin/su。

　　把这些程序文件的组用户设置为wheel，并只允许程序的属主和组用户执行（注意要保留必需的suid或guid位）。例如对于/usr/bin/su，使用如下命令：

　　/usr/bin/chgrp wheel /usr/bin/su

　　/usr/bin/chmod 4750 /usr/bin/su

　　然后，我们需要限制.rhosts、.netrc和/etc/hosts.equiv文件的使用。r系列命令使用这些文件来访问系统。要为这些文件加锁，先创建它们，然后修改其属性为零即可。这样除了root用户就没有其它用户能创建或修改它们了。

　　例如：

　　/usr/bin/touch /.rhosts /.netrc /etc/hosts.equiv

　　/usr/bin/chmod 0 /.rhosts /.netrc /etc/hosts.equiv