[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]

Securing Debian Manual
第 6 章 - Debian 系统安全配置的自动化


读完前边几章内容以后, 您可能想知道"我必须做那么多事情来增强系统的安全性, 这些事情可以自动完成吗?". 回答是肯定的, 但是要小心使用自动化工具. 有些人认为, 一个好的管理员并不需要安全化工具. 因此不要愚蠢的认为可以自动完成整个过程, 并能修补所有相关内容. 安全永远是一个进行中的过程, 管理员必须参与其中, 而不是仅仅站在一边, 让工具完成所有的工作, 因为没有哪个工具可以胜任: 所有可能的安全策略, 所有的攻击, 和所有的环境.

从 woody (Debian 3.0) 开始系统提供两个软件包, 用于安全化设置. harden 软件包近似根据软件包的依赖关系, 快速安装有价值的安全工具包,并删除带有问题的,这些 软件包的配置必须由管理员来完成. bastille 软件包基于前边管理员的配置, 而为本地系统提供一个安全策略(通过简单的回答 yes/no 就能完成配置过程).


6.1 harden

harden 软件包试图是需要高安全性的主机的安装和管理更加容易. 此软件包应该为那些增强系统安全的人提供一些快速帮助. 这将与已知漏洞相冲突, 包括(但不仅限于): 已知安全错误(如缓冲溢出), 使用明文密码, 缺乏存取控制, 等等. 它还自动安装一些可能在其它方面增强安全的工具: 入侵检测工具, 安全分析工具, 等等. Harden 安装以下虚拟包(即, 没有内容, 仅仅依赖于其它软件包):

应当注意如果您安装了一些和前边的软件相冲突的软件(由于种种原因并不希望将其卸载), 则可能会使harden不能充分发挥作用. 甚至 harden 软件包(完全)不能工作. 但是, 它们确实不是故意与已知的不安全的软件包相冲突. 这时,Debian 软件包系统将不会提供这些软件包的安装. 例如, 如果您在一个安装了 harden-servers 的系统上安装 telnet 守护进程时, apt 将会回应:

     # apt-get install telnetd 
     The following packages will be REMOVED:
       harden-servers
     The following NEW packages will be installed:
       telnetd 
     Do you want to continue? [Y/n]

这应当在管理员的头脑中引起一些警惕,考虑一下您的操作.


6.2 Bastille Linux

Bastille Linux 是一个自动安全化工具, 最初出现于 RedHat 和 Mandrake Linux 发行版中. 但在Debian(从woody开始)中也出现了为Debian GNU/Linux 系统提供同样功能的 bastille 软件包 .

管理员可以使用 Bastille 不同的前端(在其联机手册中提及), 来完成:


[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]

Securing Debian Manual

v3.2, Mon, 20 Jun 2005 08:01:11 +0000

Javier Fernández-Sanguino Peña jfs@debian.org
Translator: eTony etony@tom.com
作者, 第 1.1 节