为Linux操作系统安装套件强化系统安全

　　内容摘要:

　　本文介绍系统安全防护策略， 让系统管理员借以阻绝入侵者。 针对不同的 Linux 系统， 讨论一些改善方式。

　　导读

　　不少人开始广泛谈论入侵网路主机的话题， 而 Linux 与 FreeBSD 则成为近日主要的攻击对象， 包括像 imapd 与 BIND 程式里的 buffer overflow 问题。 每天， 各式各样的「系统漏洞」， 都会在 BUGTRAQ 邮递论坛中宣布， 此一邮递论坛已有将近 20,000 位订阅者。 ( 若是您只想订阅一份系统安全相关的邮递论坛， 那麽这个不容错过 )。

　　假设上述的 19,305 位订阅者当中， 有至少一位打算写个 for() 回圈， 配合公开的系统漏洞攻击程式， 藉以快速取得网路上主机的控制权... 事实上这样的假设并不为过。

　　如此一来， 您的电脑早晚会成为下一个遭受攻击的目标， 到时候， 您可能就措手不及了。

　　或许有些「专家」已经让您以为， 安装及维护一部安全的电脑， 有如「太空科学」般地复杂， 事实上没那麽难啦。 拥有一套完善而健全的系统管理措施， 才能保障您免於来自全球网路的威胁， 而本文讨论的便是， 我在规画 Red Hat Linux 网路系统时， 一般会采取的预防措施。 虽然文中提供了保障系统安全的指引， 但它绝不是一份完整的参考说明。

　　下列的步骤， 用意在使您的系统， 不要成为网路程式安全漏洞公开後的受害者。 请特别注意： 如果您不确定清楚自己在做什麽， 那麽就别动手。 有些步骤是假设， 您已经具备程度之上的相关知识。 文末另外还附上一些建议的参考读物。

　　系统安全之实作步骤

　　1. 将系统中所有没必要的网路服务全部移除。 可以连到您电脑的方式越少， 表示入侵者恶闯的途径越少。 把 /etc/inetd.conf 档案中， 所有不需要的项目都加注取消， 如果系统并不需要 telnet， 那就将它取消， 诸如 ftpd、 rshd、 rexecd、 gopher、 chargen、 echo、 pop3d 等， 也是同样的处理原则。 改完 inetd.conf 档案後， 别忘了要做个 'killall -HUP inetd' 动作。 另外， 也别忽略 /etc/rc.d/init.d 目录里的东西， 有些网路服务 ( 像 BIND、 印表机伺服程式 ) 是独自执行的程式， 透过目录里的命令稿来启动。