主机防护计划：怎样加强主机的安全性呢？_阐述提高主机安全性的方法

主机防护计划：

在网络上面( 尤其是 BBS )最常听到的就是这样的哀嚎声音：“阿！！救命哪！我被入侵了！要怎么办？”真是伤脑筋的很！我也不知道要怎么帮助您呢！因为这真是......自作自受吶！一些老人家常常在讲，架设一个网站很容易，因为目前的在线教学实在是太多了，市面上的教战手册之类的书籍也真是多如过江之鲫，然而，大家都只知道我要架设网站却不知到我要架设的是一个安全的网站，这就是我们老人家的心声哪！因为架设一个安全的网站，真的很难....！其中，维护的心力更难哪！为什么呢？由上面的 TCP/IP 的封包路线图，我们可以发现，嘿嘿！目前的入侵您的主机的管道实在是太多了！而一个良好的防火系统又不是只要上述的其中一层就可以做好的！而是复合式的整体规划，并且要持续不断的监测您的主机系统，才能够较为完善的保护好您的主机呢！唉～还真是不容易吶！

底下我们来谈一谈，如果由主机内部到外部来规划，要怎样来加强主机的安全性呢？

1. 建立完善的登入密码规则限制：
   要做好主机的防护，第一步就是要建立完善的密码规则啦！因为这个常是 cracker 尝试入侵的第一步！您必须要建立好主机的密码规则， /etc/shadow 档案格式，还有 /etc/login.defs 这个档案的内容，都是相当重要的密码规则订定的所在！另外，有些 cracker 软件会利用套件的漏洞而主动的在您的系统上面新增一个可以让远程 cracker 登入的账号，所以，如果您的账号更动并不会很频繁时，可以尝试以 chattr 来将 /etc/passwd 及 /etc/shadow 做成不可变更的档案！较为安全啦！
   　
2. 完善的主机权限设定：
   换个角度来想，如果搞破坏的人是您系统上面具有可以登入的使用者呢？呵呵！那么主机的权限设定就显的相当的重要了！还记得 SUID 与 SGID 吧！？如果您的系统上面具有很多这样权限的执行档，那么一般身份的使用者就可以很轻易的取得系统管理员的执行权限了！很麻烦的～所以，主机的权限需要好好的管理，千万不可掉以轻心～
   　
3. 升级与修补套件漏洞、及移除危险套件：
   这个真的相当的重要的！那就是因为您的服务套件的安全性啦！例如有名的 wu-ftpd 这个 ftp 套件，被说了很多次，好像不怎么安全哩！那么就好就不要启动他，或者是虽然启动，但是限制他的使用网域，这样最起码可以达到一点保护的效果！此外，定时的升级与不定时上网查看危险通告，是很重要的态度呢！那么从那里知道这些安全信息？底下的网站记得要常常观看：
   • 台湾计算机危机处理小组：http://www.cert.org.tw/
   • Mandrake security：http://www.mandrakesecure.net/en/docs.php
   • Red Hat update：http://www.redhat.com/apps/support/errata/
   　
4. 每项系统服务的安全设定项目：
   每个服务器软件都有自己开发的功能，有些功能很强大，强大到可以让 Client 端取得 root 的权限来操作。这些功能都是便利管理者来进行主机的管理，不过，却也可能造成一些为网络安全的疑虑。举例来说，SSH 这个提供远程登入的服务器软件，可以提供 root 这个账号来登入，但是，由于每个 Linux 系统都有 root 这个账号，所以，只要有人知道您的系统启动了 SSH ，那么他就可能会以 root 这个账号来猜测您主机上的密码，并据以登入您的系统！很危险，不是吗？！所以，可能的话，尽量将服务器软件的较为危险的功能取消，例如拿掉 SSH, FTP, Telnet 等软件的 root 登入权限！另外，大部分的服务器软件也会提供安全设定的项目，例如 SSH 就具有 deny 某些 IP 或是使用者身份的设定项目呢！所以，发现危险人士，就加入拒绝往来名单当中吧！
   　
5. TCP_Wrappers 的基础防火设定：
   这是最基础的防火墙了！您可以订定某些比较危险的服务仅针对内部网络开放，例如 FTP 与 Telnet 这两个极度危险的服务，让他们仅能在内部私有网域使用，那么 TCP_Wrappers 就可以达到这样的功能咯！因为 TCP_Wrappers 主要是针对服务来设计的，他可以针对某些服务的服务 IP 网段来进行通过与否的检查呢！这个我们会在下一章继续说明。
   　
6. iptables 的防火规则设定：
   这个是 Linux 核心支持的工作咯！可以利用一行一行的规则订定，来设定防火墙的安全规则，如此则可以抵挡掉大部分的不受欢迎的 TCP 封包啰！这部份我们也会在下个章节中继续说明。
   　
7. 主机资源侦测系统( MRTG )：
   当主机受到不明原因的攻击时，通常会有一些端倪可以瞧出来，例如最明显的是 CPU 的 loading 会飙到 90 ~ 100% 左右！还有，当有内部无聊人士在大量下载数据时，网络流量频宽被他占光了！这个时候主机的资源侦测系统就显的重要了，我们也可以用简易的 snmp 配合 MRTG 来捉取数据，以实时的角度来观察主机的现况！
   　
8. 登录档案分析系统：
   还是要再说一遍，登录档的良好的分析习惯，对于系统管理员来说，是真的很重要的一件事情！

基本上，主机的防护至少需要达到上面的要求，多多观察网络上面的安全通报是真的很重要的事情，此外，由于系统管理员或许无法全天都在主机前面管理，此时自动分析的系统就很重要了！例如我们可以透过 apt 或 urpmi 之类的套件管理进行网络自动套件升级、利用类似 logwatch 之类的套件来进行登录档的仔细分析等等，都可以帮助系统管理员有效率的管理主机吶！OK！那么系统管理员的主要任务是什么呢？