增强Linux 服务器
开始之前
在本教程中,您将学习保护 GNU/Linux 服务器的基本知识,并为以后扩展这方面的知识打下坚实基础。
关于本教程
本教程使用一种基本的方法来保护运行 GNU/Linux 操作系统的服务器。本教程与其配套教程 “增强 Linux 桌面安全性” 向您介绍了基本的安全概念,并引导您学习逐步操作示例。这些示例说明了如何保护桌面和服务器环境及其包含的数据的机密性、完整性和可用性。
目标
在本教程中,您将学习安全管理的基本概念,包括如何保护 Secure Shell(SSH)远程登录、创建防火墙规则以及查看日志发现可能的攻击。
先决条件
本教程是为 GNU/Linux 初学者编写的。您应该对操作系统安装和命令行有一些了解。为了充分理解本教程中的概念,您应该先学习配套教程 “增强 Linux 桌面安全性”。
系统要求
要运行本教程中的示例,需要在计算机或虚拟机器(比如 Sun VirtualBox)上安装 Ubuntu Server Edition。此外,还需要连接 Internet 下载本教程中使用的特定软件包。
简介
要了解如何增强运行 GNU/Linux 操作系统的服务器的基本知识,您必须知道,虽然许多安全性核心概念 适用于桌面操作系统和服务器操作系统,但是对其进行保护的方式 是完全不同的。
由于各种原因,保护服务器与保护桌面计算机差别很大。默认情况下,安装桌面操作系统为用户提供可以即时运行的环境。在出售之前,桌面操作系统假设它们需要的配置是最低的,并且提供尽可能多的应用程序帮助用户开始使用和运行。相反,服务器的操作系统应该遵守最小特权原则,表明用户应该仅具有执行相关任务所需的服务、软件和权限。
重温安全性的永恒法则
2000 年 11 月,Microsoft 的 Scott Culp 起草了他称为安全性的 10 永恒定律 的文章(请参阅 参考资料 获得相关链接)。这些定律有两个版本:一个用于用户,一个用于系统管理员。近年来,这些定律已经被安全行业的人们进行了修改,并且未得到重视。尽管有一些批评,如果正确应用,针对管理员的 10 个定律可以用作增强所有系统的良好的基础。
首先,下面的定律适用于一般安全实践:仅当保护方式也比较宽松时安全性才起作用。这对于所有系统管理员来说都是最重要的。如果安全策略太严格,导致使用户无法执行任务,他们将绕开已经设置的安全性,有时产生的漏洞程度比设置该策略来阻止的还要大。密码是个最好的例子。强大的密码应该是任何安全策略的一部分,但是有时策略过于严格。它要求用户记住 15 个字符长度、包含大写字母、小写字母、数字和符号的密码。因此,大部分用户不得不在便签上写下密码并将其贴在显示器上。
Culp 的四个定律直接适用于本教程中的材料:
如果不更新到最新的安全补丁,您的网络就存在威胁。攻击者可以每天都发现漏洞。作为系统管理员,您需要确保系统被更新。但是这在增强桌面与增强服务器之间会有所区别。通常,对 GNU/Linux 桌面的更新应该在其发布时安装。对于服务器,将更新补丁应用于生产服务器之前,应该先在研究或开发服务器环境中进行测试,从而确保该补丁程序不与服务器或用户的操作相冲突。
持续关注警告才能确保安全。在确保您的 GNU/Linux 服务器受保护的工作中,您必须不断检查日志、应用安全补丁程序以及跟踪警告。警告可以保持您的系统安全。
安全不是避免风险,而是管理风险。事情是不断发生的。恶意程序可能会泛滥,或者您的网站可能被攻击。某些事情可能完全不受您的控制,比如自然灾难。您需要定期测试系统的安全性。请确保您已经为保护系统做了各种准备,并且在处理威胁时确保用户可以使用服务器及其资源。
技术不是万能药。这条定律是所有处理技术的人都应该知道的。仅在安全问题上应用更多的技术是无济于事的。为了使安全策略有效工作,系统管理员必须提高警惕,管理必须到位,用户必须接受好的策略。