科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Linux安全之道:安全部署的五个步骤(5)

Linux安全之道:安全部署的五个步骤(5)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

道,意味着途径或方法,是一个对实现想要的结果而设置的指南或规则,与其它道类似,安全需要一个结构化的、系统化的方法,同时,它也应该是整体的、涵盖系统生命周期(从计划到退休)的每一个部分。在本文中的道由五个步骤组成,每个Linux系统要建立一个基线都应该通过这些步骤。这些步骤不是开始也不是最终的安全方案。

来源:论坛整理 2008年10月8日

关键字: 安全防范 系统安全 Linux

  • 评论
  • 分享微博
  • 分享邮件
尽管你可以手动一步一步执行这些步骤,但有一款工具可以使得做这些事情更容易,他就是Bastille(图7、图8),它通过问题/答案的形式将你的安全设置信息保存到脚本中,然后将其应用到真实的系统上,在互联网上也可以找到许多对于大部分发行版和应用程序都是可用的手工安全检查列表,最好的检查列表就是由互联网安全中心完成的检查标准,这些标准包括了详细的设置和对特定操作系统及流行的应用程序有关的最佳实践描述,它们是Bastille最好的伙伴。

 7 Debian中的Bastille


 8在一个有X环境的Fedora下的Bastille

步骤五:监视/审核

最好一步是一个不断进行的过程,持续监视你的系统将验证实现你的安全目标是否超时了,最有用的工具是从/var/log/messages文件提取系统日志,你可以看到许多与系统和应用程序安全有关的信息,许多应用程序有它自己的日志文件,也请仔细审核它们,如果你有许多系统,你应该使用一个中心日志文件服务器来收集日志,在syslog.conf文件可以很容易地进行配置。

一个新的代替叫做Splunk(图9),它有免费的版本(每天限制大小是500M)和企业版本,最让人高兴的是它安装超级容易,并且你可以通过一个革新的基于web的界面象使用google命令似的搜索日志。

 9 Splunk是一个最好且非常有用的开源项目

与日志用途一样,它们也不提供一个完整的关于你的安全设置是否工作良好的图形,仅仅经常审核能实现目的,因此我要告诉你如果你的安全措施仍然适当并在运行,我不建议你为每个系统做渗透测试,但是有效性测试你的设置是一个很好的保险措施,创建检查列表或脚本来测试那些维护你系统安全目标的设置是很重要的,代替检查列表,你可以使用—assess开关运行Bastille来得到一个你目前配置的安全报告,你也可以使用CIS检查标准(它依赖于Bastille)作为一个基准检查列表,如果你有能力购买它,你能得到一个顾问服务并用他/她自己的测试校验你的安全,你会更加镇静,特别是你在一家厉害的管理企业工作时。

10 Bastille评估报表给你显示了当前安全配置的详细信息

上路

在你的安装中使用这些步骤是第一步,这个简单、有序的战略将给你的系统带来更多的安全保障,但是,每个系统都不一样,确定你的安全目标匹配你的系统需要,安全并不困难,使用简单可重复的步骤,保留最佳实践和常见弱点,在任何可能的地方实行最小权限,经常查看你的日志,你将发现你已经上路了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章