[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]

Securing Debian Manual
第 8 章 - Debian 中的安全工具


FIXME: 需要更多内容.

Debian 也提供了很多安全工具, 使得 Debian 计算机可以满足安全的需要. 这种需要包括通过防火墙保护信息系统(数据包级或应用级), 入侵检测(基于主机的和网络的), 风险评估, 防病毒, 私有网络,等等.

从 Debian 3.0(woody) 开始, 发行版就具有了将密码软件集成到主发行版中的特点. 缺省安装包括 OpenSSH 和 GPG(GNU Privacy Guard), 在浏览器, web服务器, 数据库, 等等中也出现了高强度加密. 计划在未来的发行版中, 进一步集成数据加密. 由于美国的出口限制, 这种软件是不允许随主发行版发布的, 只能包含在 non-US 站点上.


8.1 远程风险评估工具

Debian提供的用于完成远程有: [36]

显然, 最完善和最新的工具是 nessus, 它由一个GUI客户端(nessus), 和一个负责攻击的服务器端(nessusd)组成. Nessus 包括许多系统的远程漏洞如网络工具, ftp 服务器, www 服务器, 等等. 最新版本甚至可以解析网站, 并设法发现可以用于攻击的交互式页面. 并且还提供(没有包含在 Debian 中)用于连接管理服务器的 java 和 Win32 客户端.

注意, 如果您使用的是 woody, 则 Nessus 软件包的版本确实老了点 (参阅 bug #183524. 将一个 unstable 中的版本移植到 woody 中并不困难, 但是如果觉得对于您来说有点困难, 那么 您可以考虑使用由 co-maintainers 移植的软件包, 可以从 http://people.debian.org/~jfs/nessus/ (版本可能不如 unstable提供的新)处获取.

Whisker 是一个 web-only 包括 anti-IDS 策略(其中很多不在是anti-IDS)的风险评估扫描器. 这是一款最好的 cgi 扫描器. 可以用于扫描 www 服务器并给出一系列的攻击, 用于扫描的数据库可以很容易的修改来提供新的信息.

与在执行时使用的审计工具相比, Bass (Bulk Auditing Security Scanner) 和 Satan (用于网络分析的安全审核工具)被认为更类似于"概念验证"程序. 这两个软件都相当古老, 并不再被更新. 但是 SATAN 是第一个提供一个简单的(GUI)方法进行风险评估的工具, 而 Bass 仍然是一个高性能的评测工具.


8.2 网络扫描器工具

Debian 确实提供了一些工具用于远程扫描主机(并不是风险评估). 这些工具在某些情况下被用作风险评估扫描器, 而不是当做攻击工具用于扫描以发现远程可用服务. Debian 当前提供:

其中 quesoxprobe 仅仅提供远程操作系统探测(使用 TCP/IP 指纹), nmapknocker 不但提供操作系统探测, 还提供远程主机的端口扫描功能. 另一方面, hping2icmpush 可用于远程 ICMP 攻击技术.

专门为 Netbios 网络设计的 nbtscan 可以用于扫描IP网络, 并从启用 SMB 的服务器获取名称信息, 包括:用户名,网络名,MAC地址...

另一方面, fragrouter 可以用于测试网络的入侵检测系统, 检查攻击者是否能绕过 NIDS.

FIXME: 检查 Bug #153117 (ITP fragrouter) 是否包括了这些内容.

FIXME 增加基于 Debian Linux Laptop for Road Warriors 的信息, 其描述了如何使用 Debian 和笔记本来扫描无线(803.1)网络(连接不存在了).


8.3 内部审计

当前, 在 Debian 系统中只有 tiger 工具可用于完成主机的内部(也称作白盒)审计, 以确定文件系统是否设置正确, 这个过程进行主机监听, 等等.


8.4 源代码的审核

Debian 提供了三个软件包用于完成 C/C++ 源代码程序的审核, 以及发现程序可能导致潜在安全问题的错误:


8.5 虚拟专用网

一个虚拟专用网(VPN)至少由两台以上计算机系统组成, 典型的通过公网访问私有网络, 实现在公网的安全通信. VPNs 可能是将单机连入一个私有网络(客户端-服务器), 也可能是将一个远程局域网与一个私有网络相连(服务器-服务器). VPNs 通常包括使用加密, 远程用户或主机的强认证, 和隐藏私有网络拓扑结构的方法.

Debian 提供一些软件包用于设置虚拟专用网的加密:

FIXME: 更新这部分内容, 因为这是基于 FreeSWAN 撰写的. 检查 Bug #237764 和 Message-Id: <200412101215.04040.rmayr@debian.org>.

软件包 FreeSWAN 可能是最佳的整体选择,因为它承诺几乎支持所有的IP安全协议, IPsec (RFC 2411). 然而,上边列举的其它软件包也可以帮助您快速获取一个安全通道. 点对点隧道协议是微软的私有VPN协议. 在 linux 下也支持此协议, 但是众所周知其存在着严重的安全问题.

更多信息参 VPN-Masquerade HOWTO (覆盖 IPsec 和 PPTP), VPN HOWTO (covers PPP over SSH), 和 Cipe mini-HOWTO, 和 PPP and SSH mini-HOWTO.

Yavipin 也很有价值, 但是好象仍然没有为 Debian GNU 制作的软件包.


8.5.1 点对点隧道

如果您想为混合环境(微软操作系统和 linux 客户端)提供隧道服务, 并且不能选 IPsec(它是基于 Windows 2000 和 Windows XP 的), 那么可以使用 pptpd 软件包中提供的 PoPToP (点对点隧道服务).

如果您想使用 PPP 包中提供的微软的认证和加密服务, 注意下边的FAQ:

     如果您想使用微软兼容MSCHAPv2/MPPE认证和加密, 则只能使用 PPP 2.3.8 .
     因为 MSCHAPv2/MPPE 提供的最新补丁(19990813)支持 PPP 2.3.8 .
     如果您不需要微软兼容的认证/加密, 则任何一个 2.3.x PPP 源码都是不错的.

然而, 您还必须使用 kernel-patch-mppe 软件包提供的内核补丁才行, 它为 pppd 提供了 pp_mppe 模块.

应当考虑到, 在 ppptp 中的加密需要您明文保存密码, MS-CHAPv2 协议包含 众所周知的安全漏洞.


8.6 公钥机制 (PKI)

公钥机制(PKI)是在不安全的网络上, 用于增加信息通讯的安全信心级别的安全平台. 它利用公钥和私钥的概念来核实发送者(签名)的身份以确保保密性(加密).

就 PKI 而言, 您要面对各种各样的问题:

Debian GNU/Linux 中有些软件包可以帮助您解决其中一些安全问题. 包括 OpenSSL(用户证书生成), OpenLDAP(作为存储证书的目录), gnupgfreeswan(支持 X.509). 但是, 在 Woody 发行版(Debian 3.0)中, 并未提供任何证书认证工具, 譬如 pyCA,OpenCA 或源自 OpenSSL 的 CA 例程. 更多信息参见 Open PKI book.


8.7 SSL 机制

Debian 在发行版中提供一些用于安装到本地的 SSL 证书. 您可以在 ca-certificates 包中找到它们. 此软件包提供了一个重要的证书仓库, 它已由软件包维护者认可(就是校验)的, 并被提交到了Debian, 对任何一个使用 SSL 校验连接的 OpenSSL 应用程序都非常有用.

FIXME: 查看 debian-devel 中是否有些东西需要添加到这里.


8.8 病毒工具

在 Debian GNU/Linux 中提供的杀毒工具并不多, 也许是因为 GNU/Linux 用户并没有病毒的困扰. UN*X 安全模式严格区分特权(root)程序和用户私有程序, 因此, 非特权用户接收的或制作的"有害"的可执行程序的执行并不能"感染"或者控制整个系统. 但是, GNU/Linux 蠕虫和病毒确实存在. 尽管并没有(希望如此)在任何一个 Debian 发行版中大面积传播. 即便如此, 管理员也许希望构建一个防病毒网关来保护其网络中其它脆弱的系统不受病毒的困扰.

当前的 Debian GNU/Linux 提供如下用于构建防火墙环境的工具:

一些网关守护进程已经支持工具扩展, 以构建防病毒环境, 其包括 exim4-daemon-heavy (Exim MTA 的 heavy 版), frox(一个透明缓存的 ftp 代理服务器), messagewall(一个 SMTP 代理守护进程), 和 pop3vscan (透明的 POP3 代理).

如同您所看到的, Debian 当前版本(当前为 3.0)的主正式发行版中并不包含病毒扫描软件, 但是它确为构建防病毒网关提供了很多接口. 在下一个正式发行版中将提供 Clamav 扫描器.

也许在未来的 Debian GNU/Linux 发行版中会包括一些其它的防病毒自由软件:

还有一个 virussignatures 软件包, 用于为所有的软件包提供签名, 此软件包提供了一个用来从 http://www.openantivirus.org/latest.php 下载最新病毒签名的脚本.

FIXME: 检查 scannerdaemon 是否与 open antivirus scanner daemon 相同(参阅 ITPs).

但是,Debian 将不会提供商业防病毒软件, 如:Panda Antivirus, NAI Netshield, Sophos Sweep, TrendMicro Interscan, 或 RAV. 更多观点参见 Linux antivirus software mini-FAQ. 这并不意味着这些软件不能在 Debian 上正确安装.

关于如何设置病毒检测系统的更多内容参见 Dave Jones 的文章 Building an E-mail Virus Detection System for Your Network.


8.9 GPG 代理

现在对一个邮件进行数字签名(有时是加密)非常普遍. 例如, 您可能发现邮件列表上的很多人对其列表邮件进行签名. 公钥签名是现在唯一的核实一个邮件是由其发送者发送, 而不是其他人仿冒的唯一手段.

Debian GNU/Linux 提供了很多内置可以与 gnupgpgp 交互的邮件客户端:

Key 服务器允许您下载公钥, 这样您就可以验证签名了. http://wwwkeys.pgp.net 就是这样的 key 服务器. gnupg 可以自动获取在您的 public keyring 中没有的公钥. 例如, 可以配置 gnupg 使用上边的 key server, 编辑 ~/.gnupg/options 文件, 加入如下行: [38]

     keyserver wwwkeys.pgp.net

很多 key server 是相互连接的, 因为当您的公钥加入一个服务器时, 它也将附加的蔓延到其它 key server 上. Debian GNU/Linux 也提供了一个 debian-keyring 软件包, 提供了 Debian 开发者的所有公钥. gnupg keyrings 被安装在 /usr/share/keyrings/ 目录下.

更多信息:


[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]

Securing Debian Manual

v3.2, Mon, 20 Jun 2005 08:01:11 +0000

Javier Fernández-Sanguino Peña jfs@debian.org
Translator: eTony etony@tom.com
作者, 第 1.1 节