文件记录大多数 Linux 发行版都提供用于安全更新公告的邮件列表服务,以及将更新应用到系统的工具。 Linuxsecurity.com 上报告了仅适用于一般 Linux 的安全问题。
更新是一个持续的过程,所以它应该是几乎每天的习惯。
10.5.4. 防火墙和访问策略
10.5.4.1. 什么是防火墙?
在上一节中,我们已经提到了 Linux 中的防火墙功能。 虽然防火墙管理是网络管理员的任务之一,但您应该了解一些有关防火墙的知识。
防火墙是一个含糊的术语,可以表示任何充当我们与外部世界(通常是 Internet)之间保护屏障的东西。 防火墙可以是提供此功能的专用系统或特定应用程序。 或者它可以是组件的组合,包括硬件和软件的各种组合。 防火墙由用于定义允许进入和/或退出给定系统或网络的“规则”构建。
禁用不必要的服务后,我们现在要限制接受的服务,只允许最少的连接。 一个很好的例子是在家工作:应该只允许您的办公室和您家之间的特定连接,应该阻止来自 Internet 上其他机器的连接。
10.5.4.2. 包过滤器
第一道防线是 包过滤器,它可以查看 IP 数据包内部并根据内容做出决定。 最常见的是 Netfilter 包,提供 iptables的 命令,Linux 的下一代数据包过滤器。
较新内核中最值得注意的增强功能之一是 有状态检查 功能,它不仅可以告诉数据包中的内容,还可以检测数据包是否属于或与新的或现有的数据包相关
连接。
Shoreline Firewall 或简称 Shorewall 是 Linux 中标准防火墙功能的前端。 更多信息可以在 Netfilter/iptables 项目页面找到。
10.5.4.3. TCP 包装器
TCP 包装提供与数据包过滤器大致相同的结果,但工作方式不同。 包装器实际上接受连接尝试,然后检查配置文件并决定是接受还是拒绝连接请求。 它在应用程序级别而不是在网络级别控制连接。
TCP 包装器通常用于 希内特 提供基于主机名和 IP 地址的访问控制。 此外,这些工具包括易于配置的日志记录和利用率管理功能。
TCP 包装器的优点是连接客户端不知道使用了包装器,并且它们与它们保护的应用程序分开运行。
基于主机的访问控制在 主机允许 和 主机拒绝 文件。 更多信息可以在 TCP 包装器文档文件中找到 /usr/share/doc/tcp_wrappers[- /] or /usr/共享/文档/tcp 并在基于主机的访问控制文件的手册页中,其中包含示例。
10.5.4.4. 代理
代理可以执行各种职责,并非所有这些职责都与安全性有很大关系。 但是,它们是中介这一事实使代理成为执行访问控制策略、限制通过防火墙的直接连接以及控制代理背后的网络对 Internet 的看法的好地方。
通常与数据包过滤器结合使用,但有时单独使用代理提供额外的控制级别。 更多信息可以在防火墙 HOWTO 或 Squid 网站上找到。
10.5.4.5. 访问个人应用程序
某些服务器可能有自己的访问控制功能。 常见示例包括 Samba、X Window、Bind、Apache 和 CUPS。 对于您要提供的每项服务,请检查适用的配置文件。
10.5.4.6.日志文件