Linux 指南/安全性
與其他一些流行系統相比,Linux 非常安全,這得益於其 UNIX 遺產。但是,雖然感染系統很難,但並非不可能。在安全方面,偏執的思維方式通常是最合適的。此外,病毒遠不是安全問題的唯一一部分。還需要考慮適當的配置以及在具有多個客戶端的多使用者系統中的特殊注意事項。
沒有軟體是完美的。幾乎總是可以在任何足夠複雜的軟體中找到安全漏洞。因此,務必緊跟您發行版提供的安全更新。許多發行版提供更新工具來自動檢查更新。您的系統可能能夠自動更新許多軟體包。設定自動更新通常是一個好主意。檢查您的發行版是否提供安全公告郵件列表,該郵件列表將通知您重要的更新。
病毒在 Linux 上非常罕見,通常您不必擔心繫統會被病毒入侵。但是,您的 Linux 系統可能會充當 Windows 客戶端的檔案伺服器或向 Windows 客戶端傳送電子郵件的電子郵件伺服器。在這種情況下,應確保檔案和電子郵件乾淨,以防止您的客戶端感染。
Samba 能夠插入流行的免費 Linux 反病毒系統 ClamAV。您的發行版可能具有為您配置此功能的工具。有關更多資訊,請諮詢您發行版的文件。
至少您應該使用一個簡單的防火牆。您將在下面找到一個示例指令碼,以提供一個*簡單*的防火牆。我已將此指令碼用作 Slackware 和 Debian 系統上更復雜防火牆方案的基礎。它是一個*非常*簡單的指令碼,也許其他人會覺得有必要貢獻更高階和更具體的用法指令碼。
#!/bin/bash # Basic script to keep the server secured # Flush the current tables. iptables -F ## Default policy to drop 'everything'uyuy iptables -P INPUT DROP iptables -P FORWARD DROP #iptables -P OUTPUT DROP #BLOCKS ALL 'OUTBOUND' TRAFFIC ## Allow local loopback communications (localhost). iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT ## Allow established connections with stateful connection tracking iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT ## Drop packets of unknown origin which are not TCP/SYN related. iptables -A INPUT -m conntrack --ctstate INVALID -j DROP ## Allow offered service clients to connect to ethernet interface. ## You may need to change your interface from eth1. # HTTPd & SSL #iptables -A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT #iptables -A INPUT -p tcp --dport 443 -i eth1 -j ACCEPT #end script
首先,我們重新整理當前表,這基本上意味著您的規則集將要更改。然後我們建立 2 條規則來丟棄(*不是拒絕*)所有進入或透過我們的計算機轉發的流量。我們希望訪問網際網路,因此我們建立了另外 2 條規則,第一條規則允許與我們*自行發起*的出站請求*明確關聯*的流量進入我們的計算機。第二條規則負責我們的本地主機……我們的計算機可以訪問我們的計算機並可以使用網路環回介面。最後兩條規則允許埠 80 http 和 443 https,它們被註釋掉,因此預設情況下不會開啟埠。
如果您決定使用此簡單指令碼作為基礎參考,請為此頁面和主題做出貢獻。我已經將此指令碼儲存在多個位置,每個位置都有其組織上的優缺點。我已將此檔案放在 /root/ 和 /root/bin/ 以及 /etc/firewall/ 中。