作者:马传连 本文选自:开放系统世界—赛迪网 2003年03月03日
[size=24a]
随着
计算机技术的发展,系统安全日益成为人们谈论较多的一个话题。因为,现在的计算机正日渐成为
网络功能的技术集合。从概念上来看,网络和安全是互相矛盾的。网络的设计目的是尽可能地实现一台计算机的开放性,而安全则要尽可能地实现一台计算机的封闭性。因此,在现实中我们所讨论的安全性实际上就是要在二者中寻找到一个平衡点,一个可以让用户都可以接受的平衡点。从这个意义上讲,计算机安全是一个无穷无尽的主题,因此,在计算机领域没有终极的安全方案。也就是说,对于计算机来说,安全本身就是一个相对的概念。
怎样的Linux系统才算足够安全
这是一个很难回答的问题。因为不同的应用环境对安全的要求不一样,我们可以用一句不是很严谨,但比较简单的话来回答这个问题:用户了解自己的Linux系统和设置,并且可以保护好自己的数据和机密文件的安全。这样的计算机系统对该计算机用户来说就可以称之为是足够安全系统的。
安装Linux系统
安装一个安全的Linux系统,是一个比较复杂的过程。不过我们可以将其简化为以下几个步骤:
1.确定系统所要实现的功能
一般而言,商业用户和个人用户使用Linux时要实现的功能可分为服务器、工作站、台式机等。在安装系统之前,必须确定哪一种最适合你的要求,因为这一步骤的选择将直接影响到下面所要采取的措施。
2.选择发行版
选择发行版是一个比较关键的步骤。这里的“选择”包含两个概念,一个是选择厂商,比如Debian、Red Hat、Mandrake等;另一个就是选择版本,比如Red Hat 7.0、7.2、7.3、8.0等。当然,这一步骤的选择是和第一步相关联的。比如说,如果要安装的是一台服务器,那么对系统要关注的问题首先是安全性,其次是速度,最后才是功能。对于网络的基础结构更是如此,比如说要安装一台防火墙机器,那么它惟一的任务就是提供安全性和网络功能。所以对USB的支持,以及一些其它用于桌面或者Web服务的功能对它来说就显得无足轻重,而一些所谓次要的漏洞和稳定性方面的问题则是完全不能够忽视的。
如果是作为桌面办公应用,那么对3D图形卡的支持、对USB的支持就显得重要得多。也就是说,此时系统的功能是最重要的。最新版本的内核和发行版一般都可以提供最新的功能,但这些功能和版本并没有经过广泛的安全性方面的测试。因此,一般来说台式机可以选择最新版本的内核。
如果要作为服务器,那么选择的发行版应该是最稳定的。比如Debian,它可以称得上是目前世界上比较保守的Linux发行版,其测试周期非常长,但它是目前很稳定、安全的发行版。同时,Debian也是对设备和商用Linux软件支持较差的版本。Red Hat也是一个非常不错的选择。因为有商业实体的支持,Red Hat对设备及商业软件的支持都要好得多,同时它也得到了IBM、Oracle等IT巨头的广泛支持。
对于桌面应用,功能显然是最重要的事情,用户应该选择那些对桌面应用支持非常好的版本。比如,Mandrake。一直以来,Mandrake都被看成是一个桌面Linux发行版,虽然其也可以作为服务器,但它对多媒体的支持、良好的用户界面及易用性,都是桌面用户所需要的。
除此以外,国内的红旗和中软Linux发行版现在也有不俗的表现,并且在设计中更多地考虑了中国人的使用习惯,因此也可以作为桌面应用的首选。相比较而言,Debian和Red Hat(特别是Red Hat 8.0)对多媒体的支持就要差一些。
选择同一发行版的不同版本,也需要根据不同的用途来决定。一般而言,用于服务器时不要选择“.0”版本,因为这些版本一般都没有经过广泛测试,很可能存在许多未修正的错误和漏洞。然而,桌面用户可以选择这样的版本,因为新版本中一般都会有新的功能。
选择发行版一般比较通行的做法是:使用前一代产品的最后版本来配置服务器,比如Red Hat 7.3、Debian 2.3;而使用最新的版本用于桌面应用,比如Mandrake 9.0、Lindows 3.01、Red Hat 8.0等。
3.获取Linux
因为我们此处考虑的是安全性,所以获取要安装的Linux也是一个非常重要的步骤。就这一点而言,最重要的是要保证源介质的完整性。也就是说,不要从不信任的FTP上下载RPM文件,不要使用来源不明的安装光盘。因为,有居心叵测的人会通过FTP来散发被修改的安装文件(或者FTP站点被人攻破后对软件包进行了修改),并在其中加入后门。我认为最好的办法是购买发行商出售的软件包,或者从发行版的官方网站下载安装文件。
4.进行安装
一旦获得可靠的安装盘之后,接下来的工作就是把操作系统安装至机器上。现在Linux操作系统的安装一般都设计得非常简单,只需点击几下鼠标、敲几下键盘即可完成安装。应该说这是Linux操作系统发展过程中的一大进步,大大降低了使用Linux的门槛,加速了Linux用户群体的增长。它带来的负面影响是,用户安装完系统后并不一定确切地知道自己都安装了些什么东西,从而给系统埋下了安全隐患。
因此,在安装Linux系统时,我们应该尽可能地选择定制安装,并且要对所安装的软件有清晰地了解。一般而言,对于服务器的安装要注意如下几点:
◆ 不要安装开发工具 在服务器系统不要或者尽量少地安装开发工具。如果服务器确实需要某软件,可在某一工作站上编译完成后拷贝至服务器上。
◆ 不要安装X-Window系统 因为X-Window本身也是基于网络的,所以和其它任何网络服务一样也容易受到恶意的攻击。因此,如果不在系统上运行桌面应用程序,就不要安装X-Windows系统。
◆ 只安装必要的服务 如果确定自己的服务器实现的是某一项功能,那么就没有必要安装其它的服务,因为每多安装一项服务就会增加系统被攻破的风险。比如,如果使用的是Web服务器,那么就没有必要安装FTP、Samba、NFS、Sendmail等其它的服务。其它的应用程序也是如此,如果不是桌面应用,那么就不要安装那些不使用的软件。因为有些应用程序没有经过严格、广泛的测试,很有可能存在着漏洞,从而使服务器面临被攻破的风险。
5.进行更新
系统安装完成后,并不是说就一切万事大吉了。因为在系统或者软件发布以后,发行商一般都会发布一些补丁。之所以发布补丁,是因为系统中有漏洞被黑客找到并且入侵,这些补丁就是为了修补这些漏洞的。因此,为了避免自己的系统被黑客入侵,需要随时关注系统和软件的更新信息。
下面介绍几个与Linux安装相关的站点:
◆ Debian安装站点
http://security.debian.org 这个站点更新的速度非常快,它承诺能够在接到报告后48小时内修补任何发现的漏洞。
◆ Red Hat勘误表页面
http://www.redhat.com/support/errata/ 该页面由Red Hat支持,里面有最新的Red Hat Linux方面的一些安装建议。
◆
www.linux.org 该站点会发布有关Linux的最新的安全信息。
◆
www.linuxtoday.com 这里有有关Linux方面的最新资讯,其中就包括有有关各发行版发布的最新安装补丁方面的信息。
总结
如果注意以上所述的要点,那么无论是在服务器应用还是在桌面应用,你的Linux应该都具有了很好的安全性。当然,正如本文开头时所说的,安全本身就是一个相对的概念,因此,安装配置好一个安全的Linux系统后,还应该有很好的使用习惯。除上述的注意事项外,对硬盘进行恰当的分区及分离系统文件等也是避免使用过程中被黑客攻破的有效方式。
[/sizea]
