Linux 安全快速入门指南
上一页下一页

2. 前言

在深入细节之前,让我们先尝试简要回答一些关于我们为什么首先需要关注安全性的问题。

很容易理解为什么电子商务网站、在线银行或拥有敏感文件的政府机构会关注安全性。但是普通用户呢?为什么即使是 Linux 家庭桌面用户也应该担心安全问题?

任何连接到互联网的人都是目标,这很直接。兼职拨号连接或全职连接的区别不大,尽管全职连接的目标更大。大型网站也是更大的目标,但这并不能让小型用户幸免,因为“小型用户”可能技能较差,因此更容易成为受害者。

总有一些人在扫描寻找容易下手的受害者。如果您开始记录不需要的连接尝试,您很快就会看到这一点。毫无疑问,其中许多尝试都是恶意驱动的,在某些情况下,攻击者正在寻找要破解的 Linux 机器。地球另一端的人真的想借用我的打印机吗?

他们想要什么?通常,他们可能只是想要您的计算机、您的 IP 地址和您的带宽。然后他们利用您来攻击他人,或者可能实施犯罪或恶作剧,并将他们真实的身份隐藏在您身后。这是一个非常常见的场景。商业和高知名度网站更直接地被针对,并且有更大的担忧,但我们都面临这种常见的威胁。

通过一些合理的预防措施,Linux 可以非常安全,并且凭借所有可用的工具,可以实现非常有趣且强大的互联网连接或服务器。大多数成功的入侵都是无知或粗心的结果。

底线是

除非我们采取适当的预防措施,否则这些都是真实的可能性。

Warning

如果您正在阅读本文是因为您已经被入侵,或者怀疑您已被入侵,那么您不能信任您的任何系统实用程序来提供可靠的信息。并且接下来几节中提出的建议将无法帮助您恢复系统。请直接跳转到 我是否被黑客入侵了? 部分,并先阅读该部分。

2.1. 最佳配置

理想情况下,我们希望将一台计算机用作专用防火墙和路由器。这将是一个最简安装,没有服务器运行,并且仅安装必需的服务和组件。我们其余的系统将通过此专用路由器/防火墙系统连接。如果我们想要公共可访问的服务器(Web、邮件等),这些服务器将位于 “DMZ”(隔离区)中。路由器/防火墙允许从外部连接到 DMZ 中运行的任何服务,方法是“转发”这些请求,但它与内部网络的其余部分(又称 LAN)隔离。这使得内部网络的其余部分处于相当安全的隔离和相对安全的状态。“危险区”被限制在 DMZ 内。

但并非每个人都有硬件来专门用于这种安装。这将至少需要两台计算机。如果您要运行任何公共可用的服务器(最初不是一个好主意),则需要三台。或者也许您只是 Linux 新手,并且还不太熟悉。因此,如果我们无法进行理想的安装,我们将采取次佳方案。

2.2. 开始之前

在我们进入实际配置部分之前,有几点注意事项。

首先,Linux 的有趣方面之一是不同的发行版,如 Caldera、Red Hat、SuSE 和 Debian。虽然这些都是 “Linux”,并且可能共享某些功能,但在它们可能默认安装哪些实用程序方面肯定存在一些差异。大多数 Linux 发行版也会编写自己的系统配置工具。而且对于 Linux 来说,方法不止一种。但为了我们讨论的目的,我们将不得不使用尽可能通用的工具集。不幸的是,GUI 工具不适合这种类型的文档。我们将在很大程度上使用基于文本的命令行工具。如果您熟悉您的发行版的实用程序,请随时在适当的地方替换它们。如果不是,您应该学习它们或合适的替代方案。

接下来的几节的编写方式使您可以边阅读边执行建议的步骤。这就是文档标题中的“快速入门”

为了做好准备,以下是您在下面的配置部分中需要的

我们将在此处使用一个假设的系统作为示例,主机名为 “bigcat”。Bigcat 是一台 Linux 桌面电脑,全新安装了最新/最棒的 Linux 发行版。Bigcat 具有全职、直接的互联网连接。即使您的安装不是那么“新”,也不要气馁。亡羊补牢,为时未晚。

上一页主页下一页
简介 步骤 1:我们真正需要哪些服务?