计算机网络安全管理（第2版）上ppt165.ppt

§5.4 配置安全可靠的系统 现在我们来讨论如何配置一个安全可靠的Linux系统，当然，真正的安全是不存在的，我们要做的，是尽量让系统在一开始就避免前面说的大部分问题，为此，我们需要正确配置系统中的大部分服务程序。特别是，需要用可靠的服务代替哪些容易遭受攻击的服务。 5.4.1 ssh实践 Telnet和FTP服务是最容易遭到窃听的，因此，通常我们都要用SSH和sftp来取代他们。当然，FTP服务很多时候不能取代，所以很多情况下，我们同时使用sftp和ftp,后者只用来提供匿名FTP服务。 ssh有两个版本：ssh1和ssh2，ssh1和ssh2命令一致，只是算法的区别。因为本文的实践环境为redhat8.0，而其自带ssh1，所以我们只讨论ssh1。 1. 使用前的准备 首先你必须检查你的系统是否自带了ssh，这可以通过ssh –l进行测试，出现ssh的使用提示即可。另外，也要检查是否已有sshd。若具备了上述条件，则不必手工安装，若不具备，那么需要下载软件安装。Openssh的下载地址在：/ OpenSSH的安装、SSH密钥的生成与管理、SSH的配置、SSH实现telnet及FTP、设置加密通道详细见课本166-173。 §5.4 .2 SSL实践 现在的很多Linux发行版本已经包含了apache 2.0，这个版本内置了SSL模块。不过，由于很多系统仍然在使用apache 1.3.x，因此，你仍然可能需要自己下载和编译apache+mod_ssl。 1. 需要的软件 (1) Apache?Web?Server 下载地址：/dist/ 或者从镜像站点下载：/dyn/closer.cgi mod_ssl 下载地址： Open?SSL 下载地址： 2. 安装 $ lynx /dist/httpd/apache_1.3.26.tar.gz $ lynx /source/mod_ssl-2.8.10-1.3.26.tar.gz $ lynx /source/openssl-0.9.6d.tar.gz $ gzip -d -c apache_1.3.26.tar.gz | tar xvf - $ gzip -d -c mod_ssl-2.8.10-1.3.26.tar.gz | tar xvf - $ gzip -d -c openssl-0.9.6d.tar.gz | tar xvf – 安装配置见书P175、176。 §5.4 .3 构造chroot 的DNS 在前面理论篇的存储空间部分，介绍了chroot，如同我们知道的那样，DNS的bind服务程序很容易被溢出并且导致致命的漏洞。解决方法一方面是注意更新和升级bind服务器程序，另一方面就是要设置bind即使在被溢出的情况下也不会导致攻击者获得shell。后一种方法可以用Lids来实现，也可以通过chroot来做到。这里就谈谈如何利用chroot-bind构建dns服务器，进一步加强bind的安全性。 1. 安装 · 安装bind 从 下载bind源代码后进行编译安装： cd /tmp 　　tar xvfz bind-9*.tar.gz 　　cd bind-9* 　　./configure 　　make 　　make install · 准备chroot环境 配置named.conf、启动与管理见书P178/179。 §5.4 .4 代理服务器socks socks代理也是一种处理安全性和灵活性之间平衡的重要手段。许多情况下，需要在防火墙上钻一个洞出来而不危及整个安全策略，这时候就需要代理服务器的支持，而socks就是一种比较常用的代理技术。目前socks有两个版本，我们这里简单介绍一下socks5。 1. SOCKS v5的安装 · 软件获取 下载地址：/cgi-bin/download.pl · 编译安装（以目前最新版socks5 v1.0 release 11 –UNIX Source为例） #tar xvzf socks5-v1.0r11.tar.gz #cd socks5-v1.0r11 #./configure #make #make install 2. SOCKS v5的配置 主要配置文件：socks5.conf，该文件路径可在编译SOCKS v5时自行指定，缺省路径为：/etc/socks5.conf。 配置示例及Proxy的架设见书P181. §5.4 .5 邮件服务器 下面我们来处理邮件服务器，Linux下常用的邮件服务器主要是sendmail，Postfix和qmail。这里我们选择qmail。qmail是一种可以完全替代Sendmail-binmail体系的新一代Unix邮件系统，较之其它邮件服务器软件具有安