[ 上一节 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一节 ]
待修正:需要更多内容。
Debian 还提供许多安全工具,可以使 Debian 系统适用于安全目的。这些目的包括通过防火墙(数据包或应用层)、入侵检测(网络和主机型)、漏洞评估、防病毒、专用网络等来保护信息系统。
自从 Debian 3.0 (woody) 起,该发行版就将加密软件集成到主发行版中。默认安装中包含了 OpenSSH 和 GNU Privacy Guard,并且强大的加密现在已经存在于 Web 浏览器和 Web 服务器、数据库等等中。计划在未来的版本中进一步集成加密技术。由于美国的出口限制,该软件最初没有与主发行版一起分发,而仅包含在非美国站点中。
Debian 提供的用于执行远程漏洞评估的工具包括:[59]
nessus
raccess
nikto (whisker 的替代品)
到目前为止,最完整和最新的工具是 nessus,它由一个客户端 (nessus) 用作 GUI 和一个服务器 (nessusd) 组成,服务器启动已编程的攻击。Nessus 包含了相当多系统的远程漏洞,包括网络设备、ftp 服务器、www 服务器等。最新的安全插件甚至能够解析网站并尝试发现哪些交互式页面可用,可能被攻击。还有 Java 和 Win32 客户端(未包含在 Debian 中)可以用来联系管理服务器。
nikto 是一个仅用于 Web 的漏洞评估扫描器,包括反 IDS 策略(其中大多数已不再是反 IDS)。它是可用的最佳 cgi 扫描器之一,能够检测 WWW 服务器并仅对其启动一组给定的攻击。用于扫描的数据库可以很容易地修改以提供新信息。
Debian 确实提供了一些用于远程扫描主机的工具(但不是漏洞评估)。在某些情况下,漏洞评估扫描器使用这些工具作为对远程主机运行的第一种“攻击”类型,以尝试确定可用的远程服务。目前 Debian 提供
nmap
xprobe
p0f
knocker
isic
hping2
icmpush
nbtscan (用于 SMB /NetBIOS 审计)
fragrouter
strobe (在 netdiag 软件包中)
irpas
虽然 xprobe 仅提供远程操作系统检测(使用 TCP/IP 指纹识别),但 nmap 和 knocker 都执行远程主机的操作系统检测和端口扫描。另一方面,hping2 和 icmpush 可用于远程 ICMP 攻击技术。
nbtscan 专为 SMB 网络设计,可用于扫描 IP 网络并从启用 SMB 的服务器检索名称信息,包括:用户名、网络名称、MAC 地址...
另一方面,fragrouter 可用于测试网络入侵检测系统,并查看 NIDS 是否可以被碎片攻击规避。
待修正:检查 Bug #153117 (ITP fragrouter) 以查看它是否已包含。
待修正:根据 Debian Linux Laptop for Road Warriors 添加信息,其中描述了如何使用 Debian 和笔记本电脑扫描无线 (803.1) 网络(链接已失效)。
目前,Debian 中使用的 tiger 工具是唯一可以用于执行主机内部(也称为白盒)审计的工具,以确定文件系统是否正确设置、哪些进程正在主机上监听等等。
Debian 提供了几个软件包,可用于审计 C/C++ 源代码程序,并查找可能导致潜在安全漏洞的编程错误
flawfinder
rats
splint
pscan
虚拟专用网络 (VPN) 是一组两个或多个计算机系统,通常连接到具有有限公共网络访问权限的专用网络,它们通过公共网络安全地通信。VPN 可以将单台计算机连接到专用网络(客户端-服务器),或将远程 LAN 连接到专用网络(服务器-服务器)。VPN 通常包括使用加密、远程用户或主机的强身份验证以及隐藏专用网络拓扑的方法。
Debian 提供了相当多的软件包来设置加密的虚拟专用网络
vtun
tunnelv (非美国区)
cipe-source, cipe-common
tinc
secvpn
pptpd
openvpn
openswan (http://www.openswan.org/)
待修正:更新此处的信息,因为它是在考虑 FreeSWAN 的情况下编写的。检查 Bug #237764 和 Message-Id: <200412101215.04040.rmayr@debian.org>。
OpenSWAN 软件包可能是总体最佳选择,因为它承诺几乎可以与任何使用 IP 安全协议 IPsec (RFC 2411) 的东西互操作。但是,上面列出的其他软件包也可以帮助您快速建立安全隧道。点对点隧道协议 (PPTP) 是 Microsoft 专有的 VPN 协议。它在 Linux 下受支持,但已知存在严重的安全问题。
有关更多信息,请参阅 VPN-Masquerade HOWTO (涵盖 IPsec 和 PPTP)、VPN HOWTO (涵盖 PPP over SSH)、Cipe mini-HOWTO 和 PPP and SSH mini-HOWTO。
还值得查看的是 Yavipin,但似乎还没有 Debian 软件包可用。
如果您想为混合环境(Microsoft 操作系统和 Linux 客户端)提供隧道服务器,并且 IPsec 不是一个选项(因为它仅为 Windows 2000 和 Windows XP 提供),则可以使用 PoPToP (Point to Point Tunneling Server),在 pptpd 软件包中提供。
如果您想将 Microsoft 的身份验证和加密与 ppp 软件包中提供的服务器一起使用,请注意来自 FAQ 的以下内容
It is only necessary to use PPP 2.3.8 if you want Microsoft compatible
MSCHAPv2/MPPE authentication and encryption. The reason for this is that
the MSCHAPv2/MPPE patch currently supplied (19990813) is against PPP
2.3.8. If you don't need Microsoft compatible authentication/encryption
any 2.3.x PPP source will be fine.
但是,您还必须应用 kernel-patch-mppe 软件包提供的内核补丁,该补丁为 pppd 提供 pp_mppe 模块。
请考虑到 ppptp 中的加密会强制您以明文形式存储用户密码,并且 MS-CHAPv2 协议包含 已知的安全漏洞。
公钥基础设施 (PKI) 是一种安全架构,旨在为通过不安全网络交换信息提供更高水平的信任。它利用公钥和私钥加密的概念来验证发送者的身份(签名)并确保隐私(加密)。
在考虑 PKI 时,您会遇到各种各样的问题
一个证书颁发机构 (CA),它可以颁发和验证证书,并且可以在给定的层次结构下工作。
一个目录,用于保存用户的公钥证书。
一个数据库 (?) 用于维护证书吊销列表 (CRL)。
与 CA 互操作的设备,以便打印出智能卡/USB 令牌/任何东西,以安全地存储证书。
支持证书的应用程序,可以使用 CA 颁发的证书来参与加密通信,并根据 CRL 检查给定的证书(用于身份验证和完整的单点登录解决方案)。
一个时间戳机构,用于数字签名文档。
一个管理控制台,可以从中正确使用所有这些(证书生成、吊销列表控制等...)。
Debian GNU/Linux 具有软件包来帮助您解决其中一些 PKI 问题。它们包括 OpenSSL(用于证书生成)、OpenLDAP(作为保存证书的目录)、gnupg 和 openswan(具有 X.509 标准支持)。但是,截至 Woody 版本 (Debian 3.0),Debian 没有任何免费提供的证书颁发机构,例如 pyCA、OpenCA 或 OpenSSL 中的 CA 示例。有关更多信息,请阅读 Open PKI book。
Debian 确实随发行版提供了一些 SSL 证书,以便可以在本地安装它们。它们在 ca-certificates 软件包中找到。此软件包提供了一个中央证书库,这些证书已提交给 Debian 并已获得软件包维护者的批准(即已验证),对于任何验证 SSL 连接的 OpenSSL 应用程序都很有用。
待修正:阅读 debian-devel 以查看是否添加了任何内容。
Debian GNU/Linux 中没有包含很多防病毒工具,可能是因为 GNU/Linux 用户不受病毒困扰。Unix 安全模型区分特权(root)进程和用户拥有的进程,因此非 root 用户接收或创建然后执行的“恶意”可执行文件无法“感染”或以其他方式操纵整个系统。但是,GNU/Linux 蠕虫和病毒确实存在,尽管(希望)还没有任何一种在任何 Debian 发行版中广泛传播。在任何情况下,管理员可能希望构建防病毒网关,以防止其网络中其他更易受攻击的系统上产生的病毒。
Debian GNU/Linux 目前提供以下工具来构建防病毒环境
Clam Antivirus,自 Debian sarge (3.1 版本) 起提供。软件包同时为病毒扫描器 (clamav)、扫描器守护程序 (clamav-daemon) 和扫描器所需的数据文件提供。由于保持防病毒软件的更新对于其正常工作至关重要,因此有两种不同的方法来获取此数据:clamav-freshclam 提供了一种通过 Internet 自动更新数据库的方法,而 clamav-data 直接提供数据文件。[60]
mailscanner 一个电子邮件网关病毒扫描器和垃圾邮件检测器。以 sendmail 或 exim 为基础,它可以使用 17 种以上的不同病毒扫描引擎(包括 clamav)。
libfile-scan-perl 它提供 File::Scan,一个用于扫描文件中的病毒的 Perl 扩展。此模块可用于制作独立于平台的病毒扫描器。
Amavis Next Generation,在 amavis-ng 软件包中提供,并在 sarge 中可用,它是一个邮件病毒扫描器,与不同的 MTA(Exim、Sendmail、Postfix 或 Qmail)集成,并支持 15 种以上的病毒扫描引擎(包括 clamav、File::Scan 和 openantivirus)。
sanitizer,一个使用 procmail 软件包的工具,可以扫描电子邮件附件中的病毒,根据文件名阻止附件等等。
amavis-postfix,一个脚本,提供从邮件传输代理到一个或多个商业病毒扫描器的接口(此软件包仅构建为支持 postfix MTA)。
exiscan,一个用 Perl 编写的电子邮件病毒扫描器,可与 Exim 一起使用。
blackhole-qmail 一个用于 Qmail 的垃圾邮件过滤器,内置支持 Clamav。
一些网关守护程序已经支持工具扩展来构建防病毒环境,包括 exim4-daemon-heavy(Exim MTA 的重型版本)、frox(透明缓存 ftp 代理服务器)、messagewall(SMTP 代理守护程序)和 pop3vscan(透明 POP3 代理)。
Debian 目前提供 clamav 作为主要官方发行版中唯一的防病毒扫描软件,并且它还提供多个接口来构建具有针对不同协议的防病毒功能的网关。
一些其他可能包含在未来 Debian GNU/Linux 版本中的自由软件防病毒项目
待修正:是否有软件包提供脚本从 http://www.openantivirus.org/latest.php 下载最新的病毒签名?
待修正:检查 scannerdaemon 是否与 open antivirus 扫描器守护程序相同(阅读 ITP)。
但是,Debian 永远不会提供专有的(非自由和不可分发的)防病毒软件,例如:Panda Antivirus、NAI Netshield、Sophos Sweep、TrendMicro Interscan 或 RAV。有关更多指针,请参阅 Linux antivirus software mini-FAQ。这并不意味着此软件无法在 Debian 系统中正确安装[61]。
有关如何设置病毒检测系统的更多信息,请阅读 Dave Jones 的文章 Building an E-mail Virus Detection System for Your Network。
如今,对电子邮件进行数字签名(有时加密)非常普遍。例如,您可能会发现许多参与邮件列表的人员对其列表电子邮件进行签名。公钥签名是目前验证电子邮件是否由发送者发送而不是由其他人发送的唯一手段。
Debian GNU/Linux 提供了许多具有内置电子邮件签名功能的电子邮件客户端,这些客户端可以与 gnupg 或 pgp 互操作
evolution.
mutt.
kmail.
icedove (Mozilla 的 Thunderbird 的重新品牌版本) 通过 Enigmail 插件。此插件由 enigmail 软件包提供。
sylpheed。根据此软件包的稳定版本的发展方式,您可能需要使用前沿版本,sylpheed-claws。
gnus,当与 mailcrypt 软件包一起安装时,是 emacs 到 gnupg 的接口。
kuvert,它通过与邮件传输代理 (MTA) 交互,独立于您选择的邮件用户代理 (MUA) 提供此功能。
密钥服务器允许您下载已发布的公钥,以便您可以验证签名。其中一个密钥服务器是 http://wwwkeys.pgp.net。gnupg 可以自动获取您公钥环中尚不存在的公钥。例如,要配置 gnupg 以使用上述密钥服务器,请编辑文件 ~/.gnupg/options 并添加以下行:[62]
keyserver wwwkeys.pgp.net
大多数密钥服务器都是链接的,因此当您的公钥添加到一台服务器时,该添加会传播到所有其他公钥服务器。还有一个 Debian GNU/Linux 软件包 debian-keyring,它提供了所有 Debian 开发人员的公钥。gnupg 密钥环安装在 /usr/share/keyrings/ 中。
更多信息
[ 上一节 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一节 ]
Debian 手册安全篇
版本:3.13,Sun, 08 Apr 2012 02:48:09 +0000jfs@debian.org