读完前边几章内容以后, 您可能想知道"我必须做那么多事情来增强系统的安全性, 这些事情可以自动完成吗?". 回答是肯定的, 但是要小心使用自动化工具. 有些人认为, 一个好的管理员并不需要安全化工具. 因此不要愚蠢的认为可以自动完成整个过程, 并能修补所有相关内容. 安全永远是一个进行中的过程, 管理员必须参与其中, 而不是仅仅站在一边, 让工具完成所有的工作, 因为没有哪个工具可以胜任: 所有可能的安全策略, 所有的攻击, 和所有的环境.
从 woody (Debian 3.0) 开始系统提供两个软件包, 用于安全化设置.
harden
软件包近似根据软件包的依赖关系,
快速安装有价值的安全工具包,并删除带有问题的,这些
软件包的配置必须由管理员来完成. bastille
软件包基于前边管理员的配置, 而为本地系统提供一个安全策略(通过简单的回答 yes/no
就能完成配置过程).
harden
软件包试图是需要高安全性的主机的安装和管理更加容易.
此软件包应该为那些增强系统安全的人提供一些快速帮助. 这将与已知漏洞相冲突,
包括(但不仅限于): 已知安全错误(如缓冲溢出), 使用明文密码, 缺乏存取控制, 等等.
它还自动安装一些可能在其它方面增强安全的工具: 入侵检测工具, 安全分析工具, 等等.
Harden 安装以下虚拟包(即, 没有内容, 仅仅依赖于其它软件包):
harden-tools
: 增强系统安全的工具(完整检测, 入侵检测, 内核补丁...)
harden-doc
: 提供对应手册和其它相关安全文档软件包.
harden-environment
: 帮助配置一个安全化的环境(当前为空).
harden-servers
: 删除一些由于种种原因被认为不安全的服务.
harden-clients
: 删除一些由于种种原因被人为不安全的客户端.
harden-remoteflaws
:
删除一些可能被远程攻击者利用的存在已知安全漏洞的软件包(和版本有关).
harden-localflaws
:
删除一些可能被本地攻击者利用的存在已知安全漏洞的软件包(和版本相关)
harden-remoteaudit
: 远程系统监测的工具.
应当注意如果您安装了一些和前边的软件相冲突的软件(由于种种原因并不希望将其卸载),
则可能会使harden
不能充分发挥作用. 甚至 harden
软件包(完全)不能工作. 但是, 它们确实不是故意与已知的不安全的软件包相冲突.
这时,Debian 软件包系统将不会提供这些软件包的安装. 例如, 如果您在一个安装了
harden-servers
的系统上安装 telnet 守护进程时, apt 将会回应:
# apt-get install telnetd The following packages will be REMOVED: harden-servers The following NEW packages will be installed: telnetd Do you want to continue? [Y/n]
这应当在管理员的头脑中引起一些警惕,考虑一下您的操作.
Bastille Linux
是一个自动安全化工具, 最初出现于 RedHat 和 Mandrake Linux 发行版中.
但在Debian(从woody开始)中也出现了为Debian GNU/Linux 系统提供同样功能的
bastille
软件包 .
管理员可以使用 Bastille 不同的前端(在其联机手册中提及), 来完成:
InteractiveBastille(8)
)
BastilleChooser(8)
)
AutomatedBastille(8)
)
Securing Debian Manual
v3.2, Mon, 20 Jun 2005 08:01:11 +0000jfs@debian.org
etony@tom.com