5.操作系统区
最后的保护机制是操作系统自身。如果如果应用区的安全方法配置合理的话,即使入侵者成功地进入计算机系统也没有足够的管理权限完成破坏工作。程序的安装,尤其是高特权的程序,应该限制在系统操作的绝对需要范围内。许多高特权的程序可以通过更高级别的认证来限制用户的滥用,因为系统中的标准用户帐号根本不需要使用这些程序。但这还远远 不够,万一攻击者成功地进入计算机系统,应该存在一个检测入侵的机制。这被称为”基于主机的入侵检测”。当然,最好还要能够监视和记录系统中的文件操作,以便了解入侵者的真正意图。当然也不能忽视经常性地备份,并且不要丢弃旧的备份文件。这种做法不仅可以用来配置备份服务器和避免数据丢失,它还可以用来跟踪系统中文件的操作情况。如果有几个管理员同时管理一个服务器,那么一个记录谁执行过哪些操作的机制可以在下面提及。
想定
Internet需要配置一台自己的WEB服务器,由于没有自己的安全基础设施,应该在WEB服务器前面放一台配置了相应过滤规则的路由器。这台WEB服务器仅仅提供WWW和HTTPS服务,但是,它当然也需要具有远程控制特性。另外,这台WEB服务器最好还能够发送邮件。由于Linux服务器和网页是由三个不同的管理员维护的,所有的管理操作都应该保证在以后进行日志分析是更容易理解。
实现
前面段落中说明的安全WEB服务器的需求如何实现呢?下面的例子说明了一种在SuSE Linux 6.4发布的服务器上的实现方法。为了实现上述想定,我们决定选择SSH管理和Apache WEB服务器。
第一步:配置路由器
每一个流行的路由器都提供配置过滤列表的功能。您必需配置下面的简单规则:
+------------------------------------------------------------------------------+
|------------------------------过滤规则--------------------------------------|
+-------------------------+-------------------------+-------------------------+
|----------来源----------|-----------目标----------|---------服务-----------|
+-------------------------+-------------------------+-------------------------+
|任何位置--------------|web服务器------------|WWW,HTTPS,UDP highport,|
|--------------------------|---------------------------|ICMP types 0 + 3-----|
+-------------------------+-------------------------+--------------------------+
|管理员-----------------|web服务器------------|SSH---------------------|
+-------------------------+-------------------------+-------------------------+
|web服务器-----------|任何位置---------------|DNS, SMTP-----------|
+-------------------------+-------------------------+-------------------------+
|web服务器-----------|路由器------------------|SSH或telnet----------|
+-------------------------+-------------------------+-------------------------+
路由器的操作手册会提供如何进行上述配置的详细信息。这里我建议使用Cisco路由器,因为对于这种情况它非常容易配置,并且还在IOS的第12版以后提供了SSH的加密服务。
第二步:安装Linux服务器
执行SuSE 6.4的标准安装。处于安全考虑,至少应为/、/var、/tmp、/home和/usr/local安装5个分区。后面会定义一些mount这些分区的特殊选项,这些选项可以保证系统具有更高的本地安全性能。
现在是选择需要安装哪些程序包的时候了。选择最小系统安装,然后手工加入下面一些必要的程序包:
在Basis (a)中选择compat
在Applications (ap)中选择sudo
在Network (n)中选择apache, bindutil;去掉postfix和sendmail 在Security (sec)中选择firewals, hardensuse, mod_ssl, scanlogd, seccheck, secumod, tripwire.
其它一些您认为需要的程序包,如数据库和为Apache设计的一些模块。然后完成安装。
   手机铃声下载 快乐多多 快来搜索好歌!       新浪企业广场诚征全国代理
|