实用 Linux 安全性

使策略自动化
和 将研发人员帐户和用户服务分开几乎同样重要的是使策略自动化。为创建和删除帐户 — 既包括研发人员（/etc/passwd）的也包括最终用户（电子邮件、Web 和数据库等）的 — 建立明确而周详的过程。尽管将这些纳入可执行文档是很好的规定，但并不完全有必要。重要的是过程是可理解的和明确的。不小心的帐户创建和删除 总是会留下安全性漏洞。应当和人力资源、客户支持或其他相关部门一起检查您的过程。假如不亲身体验替代方案，那么您很难认识到这是多么关键。

当您没有为添加和除去用户帐号编写过程时，则总会出现这样的结果：假定新员工周一报到，那么他或她可能到周五仍不能访问其公司文档。或，某人辞职，在假日聚会做了道别，可在二月份开始时仍在检索特别用途的公司资产。

帐户自动化一个附带的好处是他鼓励更加完全的验证。假如研发人员没有用不同特性配置帐户的方便办法，他们很可能不会执行那些预计将使配置发生变化的应用程式。

我 最近亲身经历了这样的情况。我因某个紧急事件而被召来，当时实现小组实际上在“正确地”允许经理查看雇员业绩评审 — 甚至包括那些不属于他们管理的雇员！尽管听起来可笑，但这是典型的安全性问题。他甚至在分析和设计评审期间被指出过几次。虽然每次都向决策者反映了这个问 题，但由于他是巨大而混乱的问题集合的一部分，所以他每次都在没有明确决议的情况下被忽略。

只有当一位支持专家最终建立起一个一般实例的具体示例（在该示例中有几位经理，每位经理有多份雇员报告）时，错误才得到应有的注意。不要临阵磨枪；要定期对任何种类的用户帐户的配置进行完全的测试。

保持警觉
安全性最困难的部分，至少对我们中的许多人而言，是如何避免犯错。安全性是属于“最弱环节”事件之一，一个漏洞就能够使您现在的任何投资（不管多么庞大、计划多么周详）一钱不值。要做好安全性工作，您必须对原本不会考虑的事情保持警觉。

美国政府网站常常是证实那种挑战的严重程度的最好例子。常在有关“反恐”的安全问题新闻中出现的某联邦机构维护一个网站，在那里用户密码在用于更改用户最好选择项的页面上公开地显示。相当多的组织解决频繁发生的丢失密码问题的方法是：根据或多或少的公共信息 指定密码（例如，“您的密码是您出生地的头四个字母，加上您出生年份的后两位数字”）。

如何能避免这样的灾难性错误？遗憾的是，几乎没有系统的方法能“聪明地”成功实现这样的抽象目标。但是，在需要采取的有用步骤中，对 RISKS 文摘的研究和严格的工程检查是有用的步骤之一。

RISKS 是 Peter G. Neumann 自 1985 年就一直在编辑的在线时事通讯（请参阅下面的 参考资料）。在思考事情（特别是 Linux 服务器上的安全性）的出错原因方面，阅读他是个很好的习惯。Neumann 使该文摘易读而且有趣，当然偶尔会令人恐怖。

您 还应该养成让其他人试验您的想法的习惯。您可能认为“软件检查”但是是找出研发人员的源代码中放错地方的标点符号的一种方法，但他实际上是很有趣和高效 的实践。特别是，检查是对需求文档、网站和任何其他产品的同行评审进行组织的极佳方法。请进行检查。通过别人的眼睛查看您的工作。您将有可能了解许多关于 您服务器的安全或不安全性的信息。

结束语
参考资料指向更多读物，他们涉及关于加固服务器、Linux 安全性和检查方面的主题。尽管服务器安全性是个庞大的主题，但您能够快速且少花代价地学习本专栏所描述的方方面面。假如您还没有研究这些方法，那么您应该一试；他们将极大地提高您操作的安全性。

您觉得什么样的服务器安全性问题最难？“服务器诊所”在来年将至少有几次回到这一安全性问题。假如您 给我发邮件或 在论坛公开您的想法，我将尽力解决您的问题。

参考资料

• 您能够参阅本文在 developerWorks 全球站点上的 英文原文.
  
  
• 通过单击本文顶部或底部的 讨论图标参和关于本文的 讨论论坛。
  
  
• “ General System Security”是对 Red Hat Linux 的在线 Hands-on Guides的第 5 章。
  
  
• “ OpenSSH key management, Part 1”对如何实际使用 ssh 的极佳介绍（ developerWorks，2001 年 7 月）。
  
  
• “ Addressing security issues in Linux”是讨论各种安全性问题的 IBM 白皮书，他概括了处理这些问题的策略，并列举了能帮助系统安全工作的 IBM 产品和非 IBM 产品。
  
  
• 能够从 RISKS Digest页面访问订阅信息和 The RISKS Digest以前期刊的索引。
  
  
• LinuxSecurity.com是指向有用信息的社区资源。
  

  文章整理：西部数码--专业提供域名注册、虚拟主机服务
  http://www.west263.com
  以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!