RHCE253安全管理.ppt

* 网络安全资源包括： 红皮书：“可信任的网络阐述”（Trusted Network Interpretation），由美国政府的国家计算机中心（National Computer Center）出版的“彩虹系列”（Rainbow Series）中的一部分，它论述了安全网络的特点。 实用UNIX 和Internet 安全（Practical UNIX Internet Security），作者Simson Garfinkel 和Gene Spafford，O‘Reilly出版社发行 有用的Web站点 /caic 美国能源部 计算机事件顾问中心（Computer Incident Advisory Capability） /advisories CERT协调中心安全顾问 Packet Storm的主页，其中包括安全信息及相关程序的下载 /support/errata/ Red Hat的勘误页面，上面有Red Hat发布的升级软件包 w00w00安全研究组的主页，有很多与应用相关的信息 * 黑客：非常善于编程，能熟练的按自己的意愿更改或编写代码 破解者：试图破解并进入安全计算机系统的人，在进入系统时他们可能会破坏文件，或利用已知的系统去攻击其他计算机。新闻媒体经常把破解者叫做黑客。 Internet提供了破解安全漏洞的更多的机会，但是同时它也使发布和修补漏洞更快速。为了让你的系统更安全，请把通过Red Hat支持网站把你的系统组件升级到最新的版本。以下是一些常见攻击： 缓冲区溢出：当一个基于网络的服务没有提供恰当的输入校验，破解者有可能把自己输出的命令变成从Root的Shell中输出的。 拒绝服务：可以使系统资源或服务实效的攻击。Teardrop攻击是一种拒绝服务攻击，它利用TCP/IP协议中某些版本的弱点，使远程用户可以冲击系统。 病毒：一段独立或寄生于别的程序的攻击性代码，只有在主机上的程序启动时病毒才会启动。 特洛伊木马：与病毒类似，特洛伊木马好像有一些有用的功能，但是它实际上有一些隐藏的被用来破坏系统的功能 蠕虫：一个独立的可以自我传播的程序，蠕虫经常有意无意的破坏主机。 * 物理上的安全性：我们需要在建筑物内实行什么样的安全？我们应该将计算机加锁，防止别人接触计算机的硬件吗。 用户限制：我们是否允许所有的用户在所有时间通过任何地点的任何计算机访问我们的主机？ 服务限制：有谁被允许访问我们的服务？独立的服务可以在自己的配置文件中定义安全选项，基于Xinetd的非独立服务可以使用tcp_wrappers 。 网络限制：什么样的网络交通是我们允许的，我们可以通过配置防火墙阻止对你的网关或主机未经授权的访问。 加密：我们在哪里需要加密？我们可以使用加密的连接工具，象ssh，stunnel，gpg等 * 安全策略应该是通用的并且很少更改的，它不应该包括特定的个体、文件或程序，也不该限定计算机的信息或环境。个别的个体应该包含在策略的标题中而不是在名字中。 针对个别应用程序设定的特殊安全策略可以作为通用的安全策略的补充。 安全策略可以帮助我们设定参考值和怎样保护资源，它可以定义谁是可靠的，应该遵循什么样的步骤。 安全策略应该由上到下强制使用，管理人员应该加入安全策略的制定和实施中，系统管理员常常是辛辛苦苦领导开发了一个安全策略，然而，上层的管理人员却没有参与进来，导致在实施安全策略时无法得到管理人员协助，最终不了了之。 安全策略中应该明确指定人员的责任，并且让管理人员签署，并且分发给雇员签字，对员工进行良好的培训。 * 可以使用smbmount的远端目录，一样可以写在/etc/fstab中，在开机时自动挂载，例如： //server1/tmp /mnt/tmp smbfs defaults 0 0 * 在通常的情况下，一封电子邮件的发送需要经过用户代理，传输代理和投递代理等三个程序的参与。用户发送一封电子邮件时，他并不能直接将信件发送到对方邮件地址指定的服务器上，而是必须首先试图去寻找一个信件传输代理，把邮件提交给它；信件传输代理得到了邮件后，首先将它保存在自身的缓冲队列中，然后，根据邮件的目标地址，信件传输代理程序查询到应对这个目标地址负责的邮件传输代理服务器，并且通过网络将邮件传送给它。对方的服务器接收到邮件之后，将其缓冲存储在本地，直到电子邮件的接收者察看自己的电子信箱。显然，邮件传输是从服务器到服务器的，而且每个用户必须拥有服务器上存储信息的空间（称为信箱）才能接受邮件。（发送邮件不受这个限制）。 投递代理则从信件传输代理取得信件传送至最终用户的邮箱。显然，最终用户只能看到用户投递代理。 用户代理接受用户输入的各种指令，将用户