安全之道　部署Linux五个步骤

来源：51cto 作者：51cto 出处：巧巧读书 2008-03-31 进入讨论组

• 关 键 词：
• fedora core
• loopback
• linux系统
• 网络地址转换
• syslog

上一页 1 2 3 4 5 下一页 

与其长时间讨论如何正确配置一个防火墙，还不如使用我编写的现成脚本，我编写了下面的脚本并配有注释来加固Debian系统，它限制了新发起的 ssh、http、ssl连接通信，将本例中的ip地址修改为你服务器的ip地址，想了解更多关于iptables可用选项的细节，请参考帮助文档，当安装你自己的防火墙时，不要忘了只在iptables中开放必须的端口以减小攻击面的目标。　　

#!/bin/sh 　　PATH=/usr/sbin:/sbin:/bin:/usr/bin 　　#FLUSH PREVIOUS TABLE ENTRIES 　　iptables --flush 　　#CHANGE DEFAULT POLICIES FROM 　　#ACCEPT TO DROP 　　iptables -P INPUT DROP 　　iptables -P FORWARD DROP 　　iptables -P OUTPUT DROP 　　#ALLOW LOCAL LOOPBACK TRAFFIC 　　iptables -A INPUT -i lo -j ACCEPT 　　iptables -A OUTPUT -o lo -j ACCEPT 　　#ALLOW ESTABLISHED CONNECTIONS 　　iptables -A INPUT -m state --state \ 　　ESTABLISHED,RELATED -j ACCEPT 　　iptables -A OUTPUT -m state --state \ 　　ESTABLISHED,RELATED -j ACCEPT 　　#ALLOW DEFINED TRAFFIC 　　# 　　#SSH - 22 　　iptables -A INPUT -d 192.168.1.2 -p tcp \ 　　--dport 22 --sport 1024:65535 -m state \ 　　--state NEW -j ACCEPT 　　#HTTP - APACHE -80 　　iptables -A INPUT -d 192.168.1.2 -p tcp \ 　　--dport 80 --sport 1024:65535 -m state \ 　　--state NEW -j ACCEPT 　　#SSL - 443 　　iptables -A INPUT -d 192.168.1.2 -p tcp \ 　　--dport 443 --sport 1024:65535 -m state \ 　　--state NEW -j ACCEPT

　　将这些脚本保存到本地，然后拷贝或移动到/etc/network/if-up.d目录，当系统启动网络开启后它将被执行，如果你西藏应用这个配置到一个基于Redhat的系统上，你只需简单地运行上面的脚本并用iptables-save命令来重设规则，可以不用重新启动系统。

　　尽管你可以手动一步一步执行这些步骤，但有一款工具可以使得做这些事情更容易，他就是Bastille(图7、图8)，它通过问题/答案的形式将你的安全设置信息保存到脚本中，然后将其应用到真实的系统上，在互联网上也可以找到许多对于大部分发行版和应用程序都是可用的手工安全检查列表，最好的检查列表就是由互联网安全中心完成的检查标准，这些标准包括了详细的设置和对特定操作系统及流行的应用程序有关的最佳实践描述，它们是Bastille最好的伙伴。

       

　　                       图7 Debian中的Bastille

　　

　　                        图8在一个有X环境的Fedora下的Bastille

　　步骤五：监视/审核

　　最好一步是一个不断进行的过程，持续监视你的系统将验证实现你的安全目标是否超时了，最有用的工具是从/var/log/messages文件提取系统日志，你可以看到许多与系统和应用程序安全有关的信息，许多应用程序有它自己的日志文件，也请仔细审核它们，如果你有许多系统，你应该使用一个中心日志文件服务器来收集日志，在syslog.conf文件可以很容易地进行配置。

　　一个新的代替叫做Splunk(图9)，它有免费的版本(每天限制大小是500M)和企业版本，最让人高兴的是它安装超级容易，并且你可以通过一个革新的基于web的界面象使用google命令似的搜索日志。

　　

　　                       图9 Splunk是一个最好且非常有用的开源项目

　　与日志用途一样，它们也不提供一个完整的关于你的安全设置是否工作良好的图形，仅仅经常审核能实现目的，因此我要告诉你如果你的安全措施仍然适当并在运行，我不建议你为每个系统做渗透测试，但是有效性测试你的设置是一个很好的保险措施，创建检查列表或脚本来测试那些维护你系统安全目标的设置是很重要的，代替检查列表，你可以使用—assess开关运行Bastille来得到一个你目前配置的安全报告，你也可以使用CIS检查标准(它依赖于 Bastille)作为一个基准检查列表，如果你有能力购买它，你能得到一个顾问服务并用他/她自己的测试校验你的安全，你会更加镇静，特别是你在一家厉害的管理企业工作时。

　　

　　             图10 Bastille评估报表给你显示了当前安全配置的详细信息

更多内容请看路由安全配置专题、系统安全设置、配置安全的操作系统专题，或进入讨论组讨论。

上一页 1 2 3 4 5 下一页 

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：全面解析Linux内核的主要配置

较新的文章：Linux系统下Snmp的配置问题详细解析