|
至不需要在FTP服務(wù)器上有一個有效的帳號。最近,WuFTP也是頻頻出現(xiàn)安全漏洞�����。
它的最好的替代程序是ProFTPD�����。ProFTPD很容易配置��,在多數(shù)情況下速度也比較快���,而且它的源代碼也比較干凈(緩沖溢出的錯誤比較少)�����。有 許多重要的站點使用ProFTPD���。sourceforge.net就是一個很好的例子(這個站點共有3,000個開放源代碼的項目,其負(fù)荷并不小 ���。��。��。一些Linux的發(fā)行商在它們的主FTP站點上使用的也是ProFTPD��,只有兩個主要Linux的發(fā)行商(SuSE和Caldera)使用 WuFTPD���。
ProFTPD的另一個優(yōu)點就是既可以從inetd運行又可以作為單獨的daemon運行。這樣就可以很容易解決inetd帶來的一些問題�����,如:拒絕 服務(wù)的攻擊(denial of service attack)���,等等�����。系統(tǒng)越簡單���,就越容易保證系統(tǒng)的安全�����。WuFTPD要么重新審核一遍全部的源代碼(非常困難)���,要么完全重寫一遍代碼,否則 WuFTPD必然要被ProFTPD代替���。
Telnet
Telnet是非常非常不安全的��,它用明文來傳送密碼��。它的安全的替代程序是OpenSSH。
OpenSSH在Linux上已經(jīng)非常成熟和穩(wěn)定了���,而且在Windows平臺上也有很多免費的客戶端軟件���。Linux的發(fā)行商應(yīng)該采用 OpenBSD的策略:安裝OpenSSH并把它設(shè)置為默認(rèn)的��,安裝Telnet但是不把它設(shè)置成默認(rèn)的�����。對于不在美國的Linux發(fā)行商���,很容易就可以 在Linux的發(fā)行版中加上OpenSSH。美國的Linux發(fā)行商就要想一些別的辦法了(例如:Red Hat在德國的FTP服務(wù)器上(ftp.redhat.de)就有最新的 OpenSSH的rpm軟件包)��。
Telnet是無可救藥的程序�����。要保證系統(tǒng)的安全必須用OpenSSH這樣的軟件來替代它�����。
Sendmail
最近這些年�����,Sendmail的安全性已經(jīng)提高很多了(以前它通常是黑客重點攻擊的程序)��。然而,Sendmail還是有一個很嚴(yán)重的問題�����。一旦出現(xiàn) 了安全漏洞(例如:最近出現(xiàn)的Linux內(nèi)核錯誤)��,Sendmail就是被黑客重點攻擊的程序��,因為Sendmail是以root權(quán)限運行而且代碼很龐 大容易出問題��。
幾乎所有的Linux發(fā)行商都把Sendmail作為默認(rèn)的配置��,只有少數(shù)幾個把Postfix或Qmail作為可選的軟件包�����。但是�����,很少有 Linux的發(fā)行商在自己的郵件服務(wù)器上使用Sendmail���。SuSE和Red Hat都使用基于Qmail的系統(tǒng)�����。
Sendmail并不一定會被別的程序完全替代�����。但是它的兩個替代程序Qmail和Postfix都比它安全���、速度快,而且特別是Postfix比它 容易配置和維護(hù)�����。
su
su是用來改變當(dāng)前用戶的ID���,轉(zhuǎn)換成別的用戶�����。你可以以普通用戶登錄��,當(dāng)需要以root身份做一些事的時候�����,只要執(zhí)行“su”命令��,然后輸入 root的密碼���。su本身是沒有問題的��,但是它會讓人養(yǎng)成不好的習(xí)慣��。如果一個系統(tǒng)有多個管理員���,必須都給他們root的口令。
su的一個替代程序是sudo���。Red Hat 6.2中包含這個軟件���。sudo允許你設(shè)置哪個用戶哪個組可以以root身份執(zhí)行哪些程序。你還可以根據(jù)用戶登錄的位置對他們加以限制(如果有人“破”了 一個用戶的口令�����,并用這個帳號從遠(yuǎn)程計算機登錄���,你可以限制他使用sudo)�����。Debian也有一個類似的程序叫super�����,與sudo比較各有優(yōu)缺點��。
讓用戶養(yǎng)成良好的習(xí)慣��。使用root帳號并讓多個人知道root的密碼并不是一個好的習(xí)慣���。這就是www.apache.org被入侵的原因,因為它有多個系統(tǒng)管理員他們都有 root的特權(quán)��。一個亂成一團(tuán)的系統(tǒng)是很容易被入侵的�����。
named
大部分Linux的發(fā)行商都解決了這個問題��。named以前是以root運行的��,因此當(dāng)named出現(xiàn)新的漏洞的時候��,很容易就可以入侵一些很重要的 計算機并獲得root權(quán)限��,F(xiàn)在只要用命令行的一些參數(shù)就能讓named以非root的用戶運行。而且�����,現(xiàn)在絕大多數(shù)Linux的發(fā)行商都讓named以 普通用戶的權(quán)限運行���。命令格式通常為:named -u ; -g ;
INN
在INN的文檔中已經(jīng)明確地指出:“禁止這項功能(verifycancels)�����,這項功能是沒有用的而且將被除掉”��。大約在一個月前�����,一個黑客發(fā)布 了當(dāng) “verifycancels”生效的時候入侵INN的方法��。Red Hat是把“verifycancels”設(shè)為有效的��。任何setuid/setgid的程序或網(wǎng)絡(luò)服務(wù)程序都要正確地安裝并且進(jìn)行檢查以保證盡量沒有安 全漏洞��。
安全守則
1. 廢除系統(tǒng)所有默認(rèn)的帳號和密碼�����。
2. 在用戶合法性得到驗證前不要顯示公司題頭��、在線幫助以及其它信息�����。
3. 廢除“黑客”可以攻擊系統(tǒng)的網(wǎng)絡(luò)服務(wù)�����。
4. 使用6到8位的字母數(shù)字式密碼�����。
5. 限制用戶嘗試登錄到系統(tǒng)的次數(shù)�����。
6. 記錄違反安全性的情況并對安全記錄進(jìn)行復(fù)查���。
7. 對于重要信息,上網(wǎng)傳輸前要先進(jìn)行加密�����。
8. 重視專家提出的建議,安裝他們推薦的系統(tǒng)“補丁”�����。
9. 限制不需密碼即可訪問的主機文件���。
10.修改網(wǎng)絡(luò)配置文件��,以便將來自外部的TCP連接
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.riomediacenter.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商���!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
