在新装的Linux PC连接Internet前应该做的10件事情-红联Linux系统门户

　　1.(明确)你的目的

　　正如微软的Windows一样,Linux只是一个计算机操作系统.这是我对我的那些初次体验Linux的朋友或同事着重强调的.Linux本身并不是什么魔杖,也不能让各种各样的计算问题消失.像Windows一样,Linux也有很多自身的问题.没有完美的和绝对安全的操作系统.无论是作为桌面还是服务器使用,(明确)你的目的总是安装和配置你的Linux PC的关键

　　2.(系统)安装

　　不像Windows,Linux并不明确的区分服务器版或桌面版.在典型的Linux安装过程中,由你自己决定希望安装什么软件,从而决定了你的系统的类型.正因如此,你需要知道安装程序为你安装了哪些软件包.比如说,一些发行版在安装基本系统的时候替你配置并启动了Samba服务或mail服务.但是,相对于你使用LinuxPC的目的和设置的安全等级来说,它们很可能是你所不需要的.花些时间来熟悉你的发行版的安装程序会避免很多以后的麻烦或者避免重装系统.

　　3.安装并配置软件防火墙

　　对于任何类型的网络来说,本地的软件防火墙可以提供一个"以防万一"的安全层.正如Windows防火墙一样,利用这些防火墙你可以过滤流向你的PC的网络信息.例如,Shorewall是Mandriva一个软件包.它和Netfilter(Linux内核的一个组件)一起构成了一个软件防火墙.在安装系统的时候,通过安装和配置Shorewall,你就可以限制或封锁流入或流出你的PC的某些网络信息. (下面是Mandriva相关的,就不翻译了,呵呵)控制网络信息流量只是确保安全的一个层次.那么怎样才能确保你自己安全的提供网络服务呢?基于主机的安全(策略)则是另外一个层次.

　　4.配置/etc/hosts.deny和/etc/hosts.allow

　　限制可以连接的本地服务器的主机可以进一步确保服务器的安全.编辑/etc/hosts.deny和/etc/hosts.allow文件可以帮助我们完成这项工作.当一台计算机试图访问你的LinuxPC上的一个服务(比如secure shell server)时,系统将查看/etc/hosts.deny 和 /etc/hosts.allow这两个文件,然后根据规则来决定是同意还是拒绝此次访问.对桌面LinuxPC来说,通常在/etc/hosts.deny中加入ALL:ALL是非常有用的.这将阻止任何主机对本机所提供的服务进行访问.这看起来似乎太过严格.但是我们可以在/etc/hosts.allow中设置哪些主机可以访问我们的服务.例如:

　　sshd: 192.168.0.1 #allow 192.168.0.1 to access ssh
　　sshd: somebox.somedomain.com #allow somebox.somedomain.com to access ssh

　　这两个文件给我们的LinuxPC提供了强大的基于主机过滤机制

　　5.关闭或删除不重要的服务

　　像Windows一样,你的LinuxPC可能在后台运行着一些你不想要或者你不需要的服务.运行命令chkconfig (Mandriva),你可以查看或根据需要打开或关闭服务.没有运行的服务不会为黑客流向安全漏洞,也不会占用宝贵的CPU资源.

　　6.确保必要服务的安全

　　如果你的LinuxPC有一些(需要)接受Internet连接的服务,请确保你清楚这些服务的配置,并根据需要进行调整.比如说,你主机接受secure shell 连接,请检查sshconfig文件,屏蔽掉允许root用户登录等选项.由于每一台LinuxPC都有一个root用户,你应该禁止root用户通过ssh登录,来对你的超级用户的密码进行暴力破解的企图.

　　7.调整内核的网络安全选项

　　Linux内核本身提供了一些网络安全机制.熟悉一下/etc/sysctl.conf文件并根据需要进行配置.例如,这个文件里的选项可以控制什么类型的网络信息需要被登记的你的系统日志中.

　　8.连接到路由器

　　现在硬件路由器已经是相当普及常用的设备.它通常是家庭或公司网络的第一道防线,并使得多台主机对外共享统一的IP地址.路由器可以帮助你封锁任何或所有没有经你允许的网络流量.这对那些想侵犯你的LinuxPC的黑客或恶意程序来说可不是一个好消息.家庭网络路由器是大公司路由器(使内网和Internet隔离开来)的缩小版.

　　9.(软件)更新

　　无论你在运行Linux,Windows,BSD或其他什么,一定要及时打上安全补丁保证你的软件及时更新.你所用的发行版会定期发布安全补丁. 正如Windows一样,下载补丁并更新总是你的Internet之旅的第一站.

　　10.(安装)其他软件

　　接下来的第二站则可能需要安装其他的hardening和系统监测软件.

　　Bastille-Linux 就是一个能让你的LinuxPC在某些方面变得更坚挺(harden)或更安全的软件.它可以以交互的方式产生应用于系统的安全策略,并生成有关系统潜在安全漏洞方面的报告.更为重要的是,它是一个用来学习如何使你的LinuxPC变得更安全的好工具.

　　Tripwire 是一个用来监测你的二进制系统代码是否未经未授权就发生改变的软件包.黑客们往往(试图)改变二进制系统代码(这常常被用来检查是否发生系统入侵).被改变的程序接着会向你汇报虚假信息,来掩盖你的系统已经被黑客控制的事实.

在新装的Linux PC连接Internet前应该做的10件事情

共有 2 条评论

频道文章

最新教程

随机推荐