| 注意您的用户 |
 |
| 使策略自动化 |
|
| 保持警觉 |
|
| 结束语 |
|
安全性是一大难题。他不会一成不变,而且很难知道他需要扩展到多大程度:假如您不小心的话,当您的老板真正想要的是不让看门人看到他的年度预算时,您才会最终相信他需要理解安全性的好处。
不管在计算安全性的任何方面跟上潮流是多么的具备挑战性,毕竟有几个领域已足够成熟,值得进行系统地学习。对于任何使用 Linux 服务器的人,我建议他学习的第一个领域是帐户管理。
注意您的用户
在第一批专门介绍 Linux 管理和编程的书籍中,许多都包括关于“用户管理”或“帐户管理”的一章。他们的意思很明确:如何为使用您主机的人配置和维护计算帐户和组关系。
在那时,“使用”必然意味着“登录”。帐户管理的全部工作就是:使用诸如
useradd 、
chsh 等命令来配置 Linux 帐户,以便于由同部门研发人员占多数的用户群使用。/etc/passwd 及其 API 是 Linux 专家的关注重点。
那
个时代早已成为过去,我对大多数服务器提出的第一个建议就是清除 /etc/passwd
的大部分内容。我的意思是:由于历史原因,大多数电子邮件服务器、Web 服务器、文档服务器等,都用 /etc/passwd
管理他们的用户访问。我认为这通常都是个错误。在早些时候,当可能有十几个或二十几个工程师共享一台高端工作站时,这是一种明智方式。但是,当一台电子
邮件服务器可能要处理几万名用户(他们中的大多数只是把计算当成和饮水器或电话系统相同的公用设施)的邮箱时,传统的 /etc/passwd
方式就是个错误。
依靠 /etc/passwd
当然是可能的。他经历了足够的修补和调整,足以应付令人惊讶的工作量。但不是必须如此。假如您将用户帐户移到专门的数据存储,如
LDAP(轻量级目录访问协议)甚至 RDBMS(关系数据库管理系统)数据存储,您能够在可伸缩性、安全性和维护方面受益。将
/etc/passwd 限制为只供少数真正需要登录的研发人员和管理员使用。
这一实践在安全性方面有很大好处,因为服务
(电子邮件和 Web 等)用户的忙闲度和研发人员的完全不同。一旦您已配置好了一台新的服务器,他的 /etc/passwd
就不应经常更改。监控他是否被更新 — 特别是篡改 —
是一项简单的任务。但是,假如您正在运行一个较大的服务器,那么每天都会有几个新的和过期的电子邮件帐户更改。需要将这些帐户从
/etc/passwd 赋予的更大的访问权隔离开来。
构建一个替代性帐户数据存储是个认真而严肃的建议吗?的确如此,这确实令人惊讶。为了使由无需登录的用户占多数的很庞大的 /etc/passwds 正常工作,过去几年已投入了大量的工作。假如您确实决定编写自己的帐户认证,并且依靠象
sendmail 这样的传统电子邮件程式,那么您很可能发现自己正在为 SMTP、POP3 和 IMAP4 服务器编写更改。
那
些障碍常常使研发人员倾向于使用现成的软件。我的习惯是使用别人已编写好而我能够重用的解决方案。但是,和这些业界使用的服务器不同的一点在于:我还是常
常需要定制他们 —
例如,配置特别消息目录、日志记录信息或使用记帐。对我来说最重要的一点是使安全性考虑事项模块化。我希望能够将研发人员和管理员帐户和最终用户服务完全
分开地加以管理。通过将后者从 /etc/passwd 清除,我能够很容易地锁定一方而不会影响另一方。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
| |
版权所有 西部数码(www.west263.com)
CopyRight (c) 2002~2007 west263.com all right reserved.
公司地址:四川成都市万和路90号天象大厦4楼 邮编:610031
电话总机:028-86263408 86263960 86264018 86267838 86262244 86263408
售前咨询:总机转201 202 203 204 205 206 207 208
售后服务:总机转211
212 213 214 217 218 晚上0点以后拔分机225
|
|
财务咨询:总机转224
223 传真:028-86264041 财务QQ: 635483282
售前咨询QQ: 327314358  241975952  275026793  408235859  2182518  499513144
售后服务QQ: 634349278  809071471  307742704  512359778  287976517  363783715  在线咨询
《中华人民共和国增值电信业务经营许可证》编号:川B2-20030065号
|
