日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

Linux操作系統(tǒng)十大高級(jí)安全管理技巧( 二 )

云知道



●;其它方式的備份雖然/etc中的許多文件經(jīng)常會(huì)變化 , 但/etc中的許多內(nèi)容仍然可以放到光盤上用于系統(tǒng)完整性驗(yàn)證 。其它不經(jīng)常進(jìn)行修改的文件 , 可以備份到另一個(gè)系統(tǒng)(如磁帶)或壓縮到一個(gè)只讀的目錄中 。這種辦法可以在使用光盤映像進(jìn)行驗(yàn)證的基礎(chǔ)上再進(jìn)行額外的系統(tǒng)完整性檢查 。;

既然現(xiàn)在絕大多數(shù)操作系統(tǒng)現(xiàn)在都在隨光盤一起提供的 , 制作一個(gè)CD-ROM緊急啟動(dòng)盤或驗(yàn)證盤操作起來(lái)是十分方便的 , 它是一種十分有效而又可行的驗(yàn)證方法 。;

三、改進(jìn)系統(tǒng)內(nèi)部安全機(jī)制;

可以通過(guò)改進(jìn)Linux操作系統(tǒng)的內(nèi)部功能來(lái)防止緩沖區(qū)溢出攻擊這種破壞力極強(qiáng)卻又最難預(yù)防的攻擊方式 , 雖然這樣的改進(jìn)需要系統(tǒng)管理員具有相當(dāng)豐富的經(jīng)驗(yàn)和技巧 , 但對(duì)于許多對(duì)安全級(jí)別要求高的Linux系統(tǒng)來(lái)講還是很有必要的 。;

●;SolarisDesigner的安全Linux補(bǔ)丁SolarisDesigner用于2.0版內(nèi)核的安全Linux補(bǔ)丁提供了一個(gè)不可執(zhí)行的棧來(lái)減少緩沖區(qū)溢出的威脅 , 從而大大提高了整個(gè)系統(tǒng)的安全性 。;

緩沖區(qū)溢出實(shí)施起來(lái)是相當(dāng)困難的 , 因?yàn)槿肭终弑仨毮軌蚺袛酀撛诘木彌_區(qū)溢出何時(shí)會(huì)出現(xiàn)以及它在內(nèi)存中的什么位置出現(xiàn) 。緩沖區(qū)溢出預(yù)防起來(lái)也十分困難 , 系統(tǒng)管理員必須完全去掉緩沖區(qū)溢出存在的條件才能防止這種方式的攻擊 。正因?yàn)槿绱?, 許多人甚至包括LinuxTorvalds本人也認(rèn)為這個(gè)安全Linux補(bǔ)丁十分重要 , 因?yàn)樗乐沽怂惺褂镁彌_區(qū)溢出的攻擊 。但是需要引起注意的是 , 這些補(bǔ)丁也會(huì)導(dǎo)致對(duì)執(zhí)行棧的某些程序和庫(kù)的依賴問(wèn)題 , 這些問(wèn)題也給系統(tǒng)管理員帶來(lái)的新的挑戰(zhàn) 。;

不可執(zhí)行的棧補(bǔ)丁已經(jīng)在許多安全郵件列表(如securedistros@nl.linux.org)中進(jìn)行分發(fā) , 用戶很容易下載到它們等 。;

●;StackGuardStackGuard是一個(gè)十分強(qiáng)大的安全補(bǔ)丁工具 。你可以使用經(jīng)StackGuard修補(bǔ)過(guò)的gcc版本來(lái)重新編譯和鏈接關(guān)鍵的應(yīng)用 。;

StackGuard進(jìn)行編譯時(shí)增加了棧檢查以防止發(fā)生棧攻擊緩沖區(qū)溢出 , 雖然這會(huì)導(dǎo)致系統(tǒng)的性能略有下降 , 但對(duì)于安全級(jí)別要求高的特定應(yīng)用來(lái)講StackGuard仍然是一個(gè)十分管用的工具 。;

現(xiàn)在已經(jīng)有了一個(gè)使用了SafeGuard的Linux版本 , 用戶使用StackGuard將會(huì)更加容易 。雖然使用StackGuard會(huì)導(dǎo)致系統(tǒng)性能下降約10~20% , 但它能夠防止整個(gè)緩沖區(qū)溢出這一類攻擊 。;

●;增加新的訪問(wèn)控制功能Linux的2.3版內(nèi)核正試圖在文件系統(tǒng)中實(shí)現(xiàn)一個(gè)訪問(wèn)控制列表 , 這要可以在原來(lái)的三類(owner、group和other)訪問(wèn)控制機(jī)制的基礎(chǔ)上再增加更詳細(xì)的訪問(wèn)控制 。;

在2.2和2.3版的Linux內(nèi)核中還將開發(fā)新的訪問(wèn)控制功能 , 它最終將會(huì)影響當(dāng)前有關(guān)ext2文件屬性的一些問(wèn)題 。與傳統(tǒng)的具有ext2文件系統(tǒng)相比它提供了一個(gè)更加精確的安全控制功能 。有了這個(gè)新的特性 , 應(yīng)用程序?qū)⒛軌蛟诓痪哂谐?jí)用戶權(quán)限的情況下訪問(wèn)某些系統(tǒng)資源 , 如初始套接等 。;

●;基于規(guī)則集的訪問(wèn)控制現(xiàn)在有關(guān)的Linux團(tuán)體正在開發(fā)一個(gè)基于規(guī)則的訪問(wèn)控制(RSBAC)項(xiàng)目 , 該項(xiàng)目聲稱能夠使Linux操作系統(tǒng)實(shí)現(xiàn)B1級(jí)的安全 。RSBAC是基于訪問(wèn)控制的擴(kuò)展框架并且擴(kuò)展了許多系統(tǒng)調(diào)用方法 , 它支持多種不同的訪問(wèn)和認(rèn)證方法 。這對(duì)于擴(kuò)展和加強(qiáng)Linux系統(tǒng)的內(nèi)部和本地安全是一個(gè)很有用的 。;

四、設(shè)置陷井和蜜罐;

所謂陷井就是激活時(shí)能夠觸發(fā)報(bào)警事件的軟件 , 而蜜罐(honeypot)程序是指設(shè)計(jì)來(lái)引誘有入侵企圖者觸發(fā)專門的報(bào)警的陷井程序 。通過(guò)設(shè)置陷井和蜜罐程序 , 一旦出現(xiàn)入侵事件系統(tǒng)可以很快發(fā)出報(bào)警 。在許多大的網(wǎng)絡(luò)中 , 一般都設(shè)計(jì)有專門的陷井程序 。陷井程序一般分為兩種:一種是只發(fā)現(xiàn)入侵者而不對(duì)其采取報(bào)復(fù)行動(dòng) , 另一種是同時(shí)采取報(bào)復(fù)行動(dòng) 。;

推薦閱讀