第21章安全性问题
如果你需要下列问题的一个快速解决方案请查阅节号:
- 关闭简单的薄弱环节 21.2.1
- 列出成功登录的记录清单 21.2
- 列出不成功登录的记录清单 21.2.3
- 查找安全漏洞 21.2.4
- 密切注意系统安全性方面的进展 21.2.5
- 确定是否需要一堵防火墙 21.2.6
- 强化对网络驱动器访问的控制 21.2.7
- 过滤向外发送的数据包 21.2.8
- 安装ipchains 21.2.9
- 在重启动/关机之前保存数据包过滤规则 21.2.10
- 开机引导后恢复数据包过滤规则 21.2.11
- 安装SOCKS 21.2.12
- 安装代理服务器程序 21.2.13
- 配置SOCKS 21.2.14
- 设置Linux机器通过代理防火墙 21.2.15
21.1 概述
任何连接到因特网上的计算机或者LAN都必须采用一些安全性措施来防备侵入者。其中某些措施是很容易添加到系统中的。这样做需要了解正在使用的系统和它的基本薄弱环节,一旦发现了漏洞,就应该把它们堵上。另外一些措施比较复杂一点,需要额外的软件或硬件才能实现。重要的是要知道它们是什么,评价系统安全性要求,然后正确地实现它们。
防火墙选项
在关于网络安全性的讨论中,防火墙是经常被强调的重点,但它们并不是一个万能的工具。它们的基本功能是过滤并阻挡网络或者网络的某个部分与外部世界(也就是因特网)之间的数据传送。在其工作过程中,它们将接管在此之前从网络内部存取因特网和从因特网存取该内部网络的路由设置。请参考21.2.6节中的项目清单,它会帮助你决定增加一个防火墙是否就是系统安全性所要求的最佳解决方案。
- IP过滤防火墙
要想实现IP过滤防火墙需要使用ipchains软件包—2.1及以上的内核版本都能够支持这个软件包。这个软件包管理着对Linux操作系统内核本身极为重要的那些IP帐户和防火墙功能。用户使用的内核必须已经在编译时激活ipchains功能;如果打算使用这个功能,却又没有内核级的ipchains支持的话,请阅读第10章,那里介绍了怎样编译内核。如果想掌握ipchains运行在哪一个层次,就必须在数据包级别上精通TCP/IP网络的数据传输情况。数据包是一段段的数据,其中同时包括了用来把它们发送到各自的目的地所必须的信息。你可以把数据包想象成一个邮包:数据包本身就是邮包中的数据,而信封上则是所有用来把这些信息发送到正确的机器和正确的程序中去的书信抬头,它同时还包含着回信地址。
暂无评论