系统安全提升指南

### 系统安全提升指南 在当今数字化的时代，系统安全至关重要。本文将介绍一系列提升系统安全的方法，包括关闭不必要的守护进程、移除不安全文件、文件校验和监控、使用轻量级目录访问协议（LDAP）、基于 Kerberos 的安全认证、实施基于主机的防火墙、使用 TCP 包装器以及基于主机的数据包过滤等。 #### 1. 关闭不必要的守护进程 接受网络连接的程序就像系统的一扇门，即使这些门可能是锁着的，但仍可能被攻破。因此，关闭不必要的程序可以减少系统遭受网络入侵的风险。 以下是一个使用 CFEngine 关闭特定守护进程的任务示例： ``` _kjpnkh: ]ju:: =``Ejop]hh]^ha = $(`eo]^ha[tbo) lnk_aooao: okh]neot42xokh]neo:: `phkcej oecj]h=gehh na`d]p:: tbo _]pekj=s]nj i]p_dao=8- `abeja=`eo]^ha[tbo odahh_kii]j`o: na`d]p*`eo]^ha[tbo:: +o^ej+oanre_a tbo opkl peiakqp=2, ejbkni=pnqa +o^ej+_dg_kjbec tbo kbb peiakqp=2, ejbkni=pnqa `eo]^ha: okh]neot42xokh]neo:: +ap_+n_.*`+O55`phkcej ``` 在这个示例中，我们选择关闭用于 X 窗口系统的两个不同守护进程：在 Solaris 上的 `phkcej` 守护进程处理图形登录，而在 Red Hat 上的 `tbo` 守护进程是 X 字体服务器，这些在我们的服务器系统中都不需要。 #### 2. 移除不安全文件 可以使用 CFEngine 禁用系统上的各种文件和程序。当可执行文件和其他文件被禁用时，它们会被重命名为带有 `_b` 扩展名，并将其权限设置为 `000`。 以下是一个示例： ``` `eo]^ha: ]ju:: +nkkp+*ndkopo ejbkni=pnqa +ap_+dkopo*amqer ejbkni=pnqa # OqjKO + JO@=L Nkkpgep +qon+he^+rkh`+jo`]l+*gep ejbkni=pnqa +qon+he^+rkh`+jo`]l+`abejao ejbkni=pnqa +qon+he^+rkh`+jo`]l+l]p_dan ejbkni=pnqa ``` 这个示例禁用了所有系统上的 `+nkkp+*ndkopo` 和 `+ap_+dkopo*amqer` 文件，因为使用这些文件通常被认为存在安全风险。同时，我们还移除了一些旧的 rootkit 安装产生的文件。 #### 3. 文件校验和监控 可以使用 CFEngine 监控系统上的二进制文件。对于二进制文件，特别是那些具有 setuid root 权限的文件，这个功能非常有用。 以下是一个示例： ``` behao: +^ej+ikqjp ik`a=0111 ksjan=nkkp cnkql=nkkp _]pekj=bet]hh _da_goqi=i`1 ``` 在许多系统上，`+^ej+ikqjp` 程序设置了 setuid 位，并由 `nkkp` 用户拥有。这个示例中的参数告诉 CFEngine 检查这个二进制文件（以及所有其他 setuid root 权限的文件）的权限，并将其校验和记录在数据库中。 #### 4. 使用轻量级目录访问协议（LDAP） LDAP 允许使用中央信息存储库进行各种系统和应用程序用途。使用 LDAP 进行用户目录和身份验证可以提高站点的整体安全性，因为集中式身份验证目录服务具有以下优点： - 可以设置用户账户锁定，当用户在一个或多个系统上多次登录失败时。 - 密码可以在多个应