下一个工具是必需提到的:TCPWrapper。他能够工作在大多数的类Unix版本中。简短解说,他限制某些主机对一些服务的访问。这些主机允许还是拒绝由2个文档来决定:/etc/hosts.allow和/etc/hosts.deny。TCPWrapper能够通过2种方法配置:或把他放到后台,或改变 /etc/inetd.conf配置文档。假如选择后者,您能够看到TCPWrapper能够和其他的工具和平相处。您能够在下面的链接中找到他: ftp://ftp.porcupine.org/pub/security
另一个有益的工具就是xinetd。简短解说,xinetd是inetd的更新换代,他有更多的特性。刚才我们已评论过了inetd,所以我们不推荐他。假如您感兴趣,您能够在以下的网址找到他: http://www.xinetd.org.
在Linux环境下,这个工具您一定要有:他的名子是Bastille-Linux。他的链接是:http://www.bastille-linux.org. 这个工具是用Perl写的,不但很dd还很有效率。运行了一个脚本后,您会回答很多的问题, Bastille-Linux会根据您的每个回答一一配置。每一个问题都有解释并且提供缺省的配置。您能够不改变缺省的配置,起动一个新的配置,然后检查一下Bastille-Linux做了些什么。您都看到了吧!他也提供了一个防火墙的配置:我们回过头会在讨论他。写这篇文章的时候,Bastille-Linux的版本是1.1.1,但是1.2.0 作为候选版本已发布了。他提高了不少,并且提供了基于Tk和Perl模块的图像界面。(作者提示:这篇文章在几个月前写的。事实上, Bastille-Linux最近的版本是1.3.0)。
入侵监测系统也是不错。2个”重量级”的工具是snort和portsentry。第一个能够从下面下载: http://www.snort.org,第二个能够从Abacus网站下载, http://www.psionic.com。这2个有所不同:NIDS (网络入侵监测系统)主要是提供入侵信息,但是第2个能够说是面向主机并且功能更强大。snort有很多的可选项来监测网络通讯。您能够监听任何您想知道的:从主机出去的信息,到主机的信息,防火墙以内的,防火墙以外的。当然,他会产生巨大的log文档,但是您应该知道您想监测那些东西。Win 32版本也是有的,他是蛮重要的,因为这些”系统”中免费软件的数量是很有限的。
portsentry有一个很有意义的特性:他能够根据的您选择来阻塞被扫描的端口。您或把攻击者重定位到一个没有使用的地址,或重定位到防火墙上。当然,您能够选择哪些阻塞,那些不阻塞。现在我们就能够回到TCPWrapper上来了:portsentry能够编辑/etc/hosts.deny文档,假如您想。这样,portsentry的效率会很高。我们不想陷入portsentry使用端口绑定的哲学的讨论中去,这在于您的选择:到您更进一步深入到这个主题后,您再做出自己的选择。另外,portsentry的一个特性是他能够是电脑”看不到”。这可不坏!最后portsentry能够使用不同的操作模式,但是这最高级的特性没有对Linux开放(至少现在是)。
我们讨论安全就不能不提到加密。但是各国的法律对待加密上是不相同的。有的会完全禁止使用加密。
推论:假如您的国家允许使用加密,最好安装ssh客户端和服务端在您的Unix机器上。(当然,根据您的需求)。
在讨论Unix工具的结束,我提示一下在各个系统上专有的工具:在Solaris中,您能够选择ndd, aset;在Irix中,您能够使用ipfilterd。 MacOS X 提供了一些免费的工具:ssh,ipfwadm... 一会儿会再说到他。
现在,我们能够讨论那个孤独的(真是很幸运,只有一个!)Not Terminated 4.0了。这里就谈不上什么免费软件了...无论如何来自Redmond的人提供了”免费”的东西来提高系统特性(这里可是发现臭虫没有什么关系,因为他没有臭虫!)。关于系统安全,NT 4.0可是个教材...但是是,反面的。 It's a bit like a sieve! Never mind. 相应的,您只要下载最新的Service Pack(写这篇文章时是6)就能够了。和补丁... 安全的补丁。 其次... 您能够得到一些免费工具(意思是免费使用没有原代码)。这就是他了。
其他的系统您就要搜寻一番了。AmigaOS来说,研发工作没有吸引很多的人并且TCP/IP层有一点老了。无论如何,在公众领域,他们还在运作。关于BeOS,情况也不大好:这个很好的系统似乎有一个折中的性能并且称做Bone的网络层还在工作。(作者提示:不幸的是BeOs已死了。很少有人使他保持活力。作为一个免费软件产品... 他们还是做的不错的)。但是,您还是能够在Unix世界里找到一些工具来提高系统性能。
主机安全化
现在您必需配置任何这一切!再提一遍,我们假定每一个Unix机器都”配备”了影射工具, PAM,TCPWrapper,没有用的服务都停掉了或删除了,一些”敏感”的目录的访问权限被加强了,等等。
在Linux机器上,这时是起动Bastille-Linux时候了。(这个工具能够运行在很多的Linux发布版本中,虽然他原先是专为Redhat和Mandrake设计的)。您能够很轻松的回答他限制性很强的提问。
使用Linux机器作为网关,系统一定”最小化”。您能够去掉大多数的服务:http,ftp,等等。去掉X11图像界面:您无需他!去掉无需的软件...这么一来,系统大部分都去掉了。停掉没有用到的后台程式。您应该得到这么一个系统:当您键入 ps ax命令时,显示填不满一个屏幕。假如您使用IP伪装,lsof -i命令只显示一行:那个他关注的监听的服务器(我们假设他不是个永久的联接)。
您一定要把portsentry装到机器上并且他会在机器起动时起动,使用”高级”模式(为Linux定做的,他使用 -atcp和-audp选项)。这意味着TCPWrapper和firewall都已安装上了。回头再说这个。
对Solaris来说,我们使用aset and ndd命令。回头也要提到他。 portsentry已要安装。我们要使用IP Filter并且使用RPCbind版本2.1取代标准版本,版本2.1能够从porcupine.org下载。对Irix来说,我们选择ipfilterd来进行如其名曰的包过滤。他时Irix发布版本中的一部分,但是不被缺省安装。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
