北大青鸟郑州志远荣获2008年度市场开拓奖
3/6 上一条 下一条
当前位置:主页>LINUX>高级Linux安全管理技巧

高级Linux安全管理技巧

来源: 作者: 发布时间:2007-08-21

七、改进登录

服务器将系统的登录服务器移到一个单独的机器中会增加系统的安全级别,使用一个更安全的登录服务器来取代Linux自身的登录工具也可以进一步提高安全。
在大的Linux网络中,最好使用一个单独的登录服务器用于syslog服务。它必须是一个能够满足所有系统登录需求并且拥有足够的磁盘空间的服务器系统,在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志文件的能力。
●安全syslog即使使用单独的登录服务器,Linux自身的syslog工具也是相当不安全的。因此,有人开发了所谓的安全log服务器,将密码签名集成到日志中。这会确保入侵者即使在窜改系统日志以后也无法做到不被发现。现在最常用的用于取代syslog的安全log服务器称为“安全syslog(ssyslong)”,用户可以从Core SDI站点http://www.core-sdi.com/ssylog处下载这个工具。这个守护程序实现一个称为PEQ-1的密码协议来实现对系统日志的远程审计。即使在入侵者获得系统超级用户权限的情况下也仍然可以进行审计,因为协议保证了以前以及入侵过程中的的log信息没有审计者(在远程可信任的主机上)的通知无法被修改。
●syslog-ng另一个取代syslog的工具是syslog-ng(下一代的syslog)。这是一个更加可配置的守护进程,它提供了密码签名来检测对日志文件的窜改。密码安全登录服务器和远程审计功能一起可以使入侵者极难进行日志窜改并且非常容易被检测到这样的不良企图。用户可以从www.babit.hu/products/syslog-ng.html处下载这个工具。

八、使用单一登录

系统维护分散的大网络环境中的多个用户帐号对于系统管理员来讲是一件非常头疼的事情。现在有一些单一的登录(sign on)系统不仅可以减轻管理员的负担,而同时还提高了安全级别。
网络信息服务(NIS)是一个很好的单一登录系统,它在Sun公司的Yellow Page服务的基础上发展来的,它的基本安全特性不够健状,由于不断有一些bug和脆弱性被公布,因此有人戏称它为网络入侵者服务(Network Intruder Service)。NIS的更新版本NIS+原NIS的不足进行了改进,现在已经有了用于Linux的NIS+版本。
Kerberos也是一种非常有名的单一登录系统。Kerberos v4具有一些很有名的安全漏洞,如入侵者可以离线进行穷尽攻击Kerberos cookie而不会被发现。Ketberos v5大大进行了改进,不会再有v4的问题。
在大的网络中,象NIS和Kerberos这样的单一的登录系统虽然有有利的一面,但也有它不利的一面。一方面,在不同系统上都具有认证机制有助于隔离该功能并且减少它与其它服务相互之间的影响。另一方面,一旦一个系统中的某个帐号被破坏,所有可通过这个帐号访问的系统都将同样遭到破坏。因此在单一的登录系统中特别要求具有较高防猜测水平的口令字。
基于Windows的网络在Windows NT域系统中有自己的单一登录系统。Linux系统可以根据Windows系统进行认证。这允许用户在Windows系统下修改、维护和管理它们的帐号和口令字并且修改结果会在同时在UNIX登录中得到体现。如使用pam_smb,Linux系统可以根据Windows SMB Domain进行认证。这在以Windows网络管理为中心的网络中是相当方便的,但它也带来了Windows认证系统自身的一些不安全性。

九、掌握最新安全产品和技术

作为一个系统管理员,还必须时刻跟踪Linux安全技术的发展动向,并且适时采用更先进的Linux安全工具。目前国际上有许多有关Linux安全的研究和开发项目,目前至少有三个安全Linux项目已经启动,每个项目的目标都有自己的侧重点,它们分别是:

●安全Linux(Secure Linux) 安全Linux(www.reseau.nl/securelinux)项目的目标是提供一个用于Internet服务器系统的安全的Linux分发。该项目管理者正寻求在这个产品中集成强大的密码和一些额外的Web服务器功能。既然它是在美国之外创建的,人们可望能够得到改进的密码安全而不会受到美国安全产品出口法律的限制。

●Bastille LinuxBastille Linux(www.bastille-linux.org)项目寻求在Linux环境中建立一个类似OpenBSD的标准。该项目宣称的目标是为台式机创建一个安全的分发,使网络管理者可以不用担心用户的安全。

●Kha0s LinuxKha0s Linux(www.kha0s.org)正寻求创建了一个具有强加密和类似OpenBSD的安全政策的最小的安全Linux分发。该小组目前正在它的Web站点上请求全球用户和厂商的参与和合作。
除此之外,下面两点对于管理员提高Linux安全管理水平也是十分有用的:

访问安全Linux邮件列表现在有许多关于Linux安全的邮件列表,如securedistros@nl.linux.org、Kh a0s-dev@kha0s.org等,经常访问这些邮件列表可以得到大量的安全信息。
还有另一个通用的邮件列表是security-audit@ferret.lmh.ox.ac.uk,它是专门讨论源代码的安全审计的。这个列表可能与其它的邮件列表有大量的重复,但如果想了解源代码审计和相关的安全问题的话还是很值得一读的。

十、多管齐下

任何一种单一的安全措施其防范能力都是有限的,一个安全的系统必须采取多种安全措施,多管齐下才能更好的保证安全。假如一个Linux系统采取了以上各种安全措施,那么要想侵入你的系统,攻击者将不得不绕过防火墙、避开入侵检测系统、跳过陷井程序、通过系统过滤器、逃过你的日志监视器、修改文件系统属性、破坏安全登录服务器才能最终达到目的。由于其中任何一个环节都可能激发报警,因此入侵者要想侵入这样的系统而又不被发现几乎是不可能的。

共2页: 上一页 [1] 2 下一页


上一篇:linux下设置基本网络参数四法   下一篇:Cisco中的ARP命令介绍及防范技巧
如果你想咨询课程、学费、就业、开班等情况!请拨打我们的咨询热线0371-66252525 或者点击QQ右侧的图标与我们在线老师咨询!

热点新闻

开班信息

班级 类型 状态
YS113 周末班 热招
TS137 专修班 热招
YS112 周末班 热招
TS136 专修班 余7座
YS111 周末班 余4座
TS135 专修班 余1座
TS134 专修班 已满

免费讲座

时间: 1月11日(本周日)14:00 内容:"黑客攻防"         "专家讲解职业规划" 抢座热线:0371-66252525 电话抢座    名额有限
北大青鸟就业案例
徐保金
学      历:大专
就职单位:金业集团
岗      位:网络工程师
    我是一名07年普通大专毕业的学生,毕业后心里很不踏实,对自己的前... >>详情

北大青鸟讲师
于江
毕业学校:天津大学
专      业:工学硕士
教学理念:晓之以理,动之以情,导之以行,持之以恒... >>详情

青鸟大事

人民日报、光明日报、中国青年报、中国计算机报等几十家媒体对公司进行了多方面的报道。
自成立以来,北大青鸟APTECH先后赢得了“中国IT公众认知企业金奖”、“本土最具知名度认证奖”、“最佳就业认同奖”、 “质量放心用户满意双优品牌”等数十个奖项;
2007年市场占有率达到38.6%(数据来源:IDC报告),成为中国IT职业培训领域不折不扣的领导品牌。
北大青鸟APTECH凭借自身的卓越表现,自2001年至2007年,已连续7年实现全国市场排名第一。
北大青鸟APTECH先进的教学方法、优质的教育产品和规范的经营管理模式已经得到了来自国际(ISO9001认证)、国内(劳动与社会保障部OSTA联合认证)的双重认可。
目前,公司已在全国20多个省份、自治区、直辖市的100余个重点城市发展了240余家授权培训中心,全体系教职员工10000余人,培养学员逾30万人,发展速度之快、经营规模之大、学员人数之多,在全国众多IT职业培训机构中一枝独秀。
所有中心实行统一经营管理、严格保证教学质量,受到社会和业界的高度认可。
公司采取特许经营的业务模式,在全国建立“北大青鸟APTECH计算机授权培训中心”。
在8年的发展历程中,公司依托北京大学雄厚的教育背景,在科学先进的管理经验、系统完美的教材编排、以人为本的课程设置的基础上,已发展成为中国现代信息技术教育领域的先锋。
公司服务于国内IT职业教育领域,致力于为中国IT产业培养技能型紧缺实用人才。
北京阿博泰克北大青鸟信息技术有限公司(简称“北大青鸟APTECH”) 成立于2000年1月,是北京大学青鸟集团与印度阿博泰克公司(APTECH)合资组建的专业IT职业教育公司。
  • 北大青鸟电话:0371-66252525
  • 教质服务热线:15890063901
  • 夜间咨询热线:13676985050
北大青鸟电子杂志