扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
4、连接到防火墙
通过安全可控的途径连接到防火墙也是非常重要的。通常,我们需要远程访问防火墙以进行管理或上载文件。这些通讯需要考虑安全性。在这里我们主要讨论两种方式:ssh和TCP Wrappers。
我个人推荐ssh,因为它使在我们和防火墙之间的通讯都是经过加密的。TCP Wrappers不能保证网络通讯不被窃听,使用户仍然有可能捕获通过网络传送的明文口令。如果你担心被其它用户窃听你和防火墙之间的通讯,推荐用ssh替代telnet/ftp。ssh会话对其所有网络通讯进行加密,使在防火墙上的管理和文件上载变得更安全。ssh和TCP Wrappers的相似之处是有自己的日志文件功能,并能限制哪些系统可以创建网络连接。要获取更多关于ssh的信息和下载ssh客户端和服务器端源代码,请访问http://www.ssh.org网站。建议使用1.2.x版本的ssh,因为2.x版本有版权限制。对于Windows 95/NT用户,推荐用SecureCRT作为ssh客户端。
TCP Wrappers,虽然不支持加密,但它提供日志功能和控制何人能访问系统。它通常用于为inetd中的服务,例如telnet或ftp,添加一层限制。当使用TCP Wrappers时,系统通过它来监视inetd进程创建的连接,记录所有连接请求,然后对照一个访问控制列表(ACL)检验该请求。如果该连接是允许的,TCP Wrappers将此连接请求传递给相应的真正守护进程,例如telnet。如果该连接是禁止的,则TCP Wrappers会丢弃此连接请求。对于Linux系统,TCP Wrappers缺省时就被安装到系统中,我们只需编辑/etc/hosts.allow和/etc/hosts.deny文件即可。这些文件用于确定什么人能和不能访问系统。TCP Wrappers的语法比较简单,将被允许网络连接的IP地址或网络添加到/etc/hosts.allow文件,将被禁止网络连接的IP地址或网络添加到/etc/hosts.deny文件。缺省时,Linux允许所有连接,所以需要对这两个文件进行修改。对于TCP Wrappers有以下两点建议:
使用IP地址而不是系统名字或域名。
设置/etc/hosts.deny文件禁止所有连接(ALL),然后在/etc/hosts.allow文件中指定仅允许特定主机和网络。
5、更严格的安全配置
以上讨论的内容包括了所有的要点。通过执行以上操作,你就可以显著增强系统的安全性。然后不幸的是,你的系统并不是100%安全,而且永远也不会是。因此,这里提供几个更严格的安全配置方法和步骤。
首先是创建whell用户组。wheel用户组包含了允许执行一些功能强大命令(例如/usr/bin/su)的用户帐号列表。通过限制有权限访问这些命令的用户帐号,就能够增强系统的安全性。要创建wheel组,用vi编辑文件/etc/group,创建wheel组并为其增加系统管理员帐号。然后确定重要的系统程序,例如/usr/bin/su。
把这些程序文件的组用户设置为wheel,并只允许程序的属主和组用户执行(注意要保留必需的suid或guid位)。例如对于/usr/bin/su,使用如下命令:
/usr/bin/chgrp wheel /usr/bin/su
/usr/bin/chmod 4750 /usr/bin/su
然后,我们需要限制.rhosts、.netrc和/etc/hosts.equiv文件的使用。r系列命令使用这些文件来访问系统。要为这些文件加锁,先创建它们,然后修改其属性为零即可。这样除了root用户就没有其它用户能创建或修改它们了。
例如:
/usr/bin/touch /.rhosts /.netrc /etc/hosts.equiv
/usr/bin/chmod 0 /.rhosts /.netrc /etc/hosts.equiv
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者