FreeBSD 6.0架设管理与应用（七）

第七章 系统安全
系统安全是每个管理者都必须注重的课题。有人说：「没有不安全的系统，只有懒惰的管理者。」每个系统都有可能会出现漏洞，而有安全性的漏洞产生时，发行的单位都会立即发布通告及修补的方式，而系统管理者的职责便是要随时注意是否需要更新漏洞、随时注意系统是否有异常的讯息。
本章将针对 FreeBSD 系统安全做详细的说明，读完本章后，您将可以了解下列主题：

• 基本系统管理应注重的安全项目。
  
• 如果安全的管理账号。
  
• 网络安全管理。
  
• 如何进行漏洞修补。

7.1 概论
FreeBSD 相对而言虽然是比较安全的操作系统，但是有时候问题不是在操作系统本身，而是所安装的软件。在 FreeBSD 中常见的情形是安装非 FreeBSD 内定的软件，但该软件被收录在 ports 中，FreeBSD 也会提出警告。因此，我们必须到 FreeBSD 的网站上查看是否有系统安全的消息，网址是
http://www.freebsd.org/security/index.html
。当发现问题时，可以依照发布的文件中所提供的修正方式来进行修补。
基本上只要计算机电源打开，系统就没有安全的一天，更何况要连上网络提供服务。系统安全的范围很广，从硬设备的保全、人员管理、网络规划、到系统本身的管理，我们并不打算说明如何制定一个安全性政策，也无法在这里说明所有系统安全的相关议题，我们所提及的只是笔者在 FreeBSD 使用上的建议。如果想要更多 FreeBSD Security 的信息，可以参考 FreeBSD Handbook，我们在安装 FreeBSD 时己经将 doc 安装在 /usr/share/doc 中，你可以使用 lynx 来观看 FreeBSD 的文件。例如：
# lynx /usr/share/doc/en_US.ISO8859-1/books/handbook/security.html

小提示
lynx 并非 FreeBSD 内附的软件，您必须先到 /usr/ports/www/lynx 中进行安装后才可以使用喔。
系统安全并不局限在如何防止他人入侵，对于防止系统内部问题的产生一样重要。主要的概念就是要让我们的系统能正常的提供服务，并且对于我们不想让他人取得的信息加以保护。然而，为了系统安全往往必须限制某些功能的使用，而牺牲了便利性。身为系统管理者往往因为对于系统限制太多而受到来自使用者的抱怨，在取舍上本来就不是件容易的事。正因为如此，一个尽责的管理者在行事上必须具有高度的抗压性及对安全性的偏执。
由于系统安全十分重要，我们在开始说明各种软件安装、服务器架设之前，先说明系统安全应注意的事项，希望读者在读完本章之后，能对系统安全更有概念。
7.2 系统管理
7.2.1 执行程序的路径
有没有注意到当我们要执行所在目录中的某一个程序时，例如，在执行所在目录中的 myscript.sh，我们必须要打 ./myscript.sh。预设的 PATH 中，并没有将所在目录 "." 加入路径中。如果把 "." 加入 PATH 的设定中，可能会产生安全性的问题。例如，如果使用者在 /tmp 中加入一个名为 ls 的 shell script，内容为 rm -rf /usr，而我们又将 "." 加入路径中，当以 root 在 /tmp 中执行 ls 指令时，后果可想而知。因此，我们在执行指令时，最好能指定路径名称，如 /bin/ls，并检查在 shell 设定中是否有将 "." 加入路径中：

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有