以上是我家庭局域网一周的真实、实时数据。上述许多内容似乎专门针对 Linux 系统。许多被针对的“目标”端口被知名的 Linux 和 Unix 服务使用,并且所有这些服务都可能已安装,甚至可能正在您的系统上运行。
这里的重点将是所有 Linux 用户都面临的威胁,无论是双启动家庭用户还是大型商业站点。我们将采取一些相对快速和简单的步骤,使运行 Red Hat Linux 的典型家庭桌面系统或小型办公室系统在很大程度上免受外部威胁。对于那些在更大或更复杂环境中负责 Linux 系统的人员,强烈建议您阅读本文档,然后根据您的具体情况进行额外的阅读。实际上,这对所有人来说可能都是一个好建议。
我们将假设读者对 Linux、网络、TCP/IP 以及运行像 Linux 这样的服务器操作系统的一些细节知之甚少。为了本文档的目的,我们还将假设所有本地用户都是“受信任的”用户,并且不会详细讨论物理或本地网络安全问题。再次强调,如果情况并非如此,强烈建议进一步阅读。
指导我们进行探索的原则是
没有灵丹妙药。没有一个单一的方法可以让我们变得安全。事情没有那么简单。
安全是一个需要维护的过程,而不是一个要达到的目标。
没有 100% 安全的程序、软件包或发行版。只有不同程度的不安全。
我们将采取以下步骤来实现目标
步骤 1:关闭,甚至卸载任何和所有不必要的服务。
步骤 2:确保所有已安装的服务都已更新并修补到当前的安全版本——并保持这种状态。每个服务器应用程序都有潜在的漏洞。有些漏洞尚未被发现。
步骤 3:通过实施防火墙和/或其他限制性策略,限制来自外部源的连接。目标是仅允许满足我们个人情况所需的最低限度的流量。
意识。了解您的系统,以及如何正确维护和保护它。新的漏洞不断被发现和利用。今天安全的系统可能存在明天尚未发现的弱点。
如果您没有时间阅读所有内容,请专注于步骤 1、2 和 3。这才是主题的重点。附录包含大量支持信息,这些信息可能对某些读者有所帮助,但并非对所有读者都是必要的。
本文档是自由的;您可以根据自由软件基金会发布的 GNU 通用公共许可证条款重新发布和/或修改它;可以是许可证的第 2 版,或者(由您选择)任何后续版本。
发布本文档的目的是希望它有用,但没有任何担保;甚至没有对适销性或特定用途适用性的暗示担保。有关更多详细信息,请参阅 GNU 通用公共许可证。
当前官方版本始终可以在以下网址找到:http://www.tldp.org/HOWTO/Security-Quickstart-Redhat-HOWTO/。预发布版本可以在 http://feenix.burgiss.net/ldp/quickstart-rh/ 找到。
其他格式,包括 PDF、PS、单页 HTML,可以在 Linux 文档 HOWTO 索引页找到:https://tldp.cn/docs.html#howto。
更新日志
版本 1.2:关于示例防火墙脚本的澄清,以及对“我是否被黑客入侵”的小幅补充。关于 Zonealarm 类型应用程序的说明。更多关于脚本小子使用 “chattr” 以及如何检查它的信息。其他小的补充和澄清。
版本 1.1:各种更正、扩充和大量主要是小的补充。太多了,无法一一列举。哦,对了,学会正确拼写 Red Hat ;-)
版本 1.0:这是本文档的初始版本。欢迎评论。