萬盛學電腦網

 萬盛學電腦網 >> Linux教程 >> Linux網絡安全之經驗談(5)

Linux網絡安全之經驗談(5)

class="22784"> 關於日志

  所有的日志都在/var/log下(僅對linux系統而言),默認情況下linux的日志就已經很強大了,但除ftp外。因此我們可以通過修改/etc/ftpaccess 或者/etc/inetd.conf,來保證每一個ftp連接日志都能夠紀錄下來。下面是一個修改inetd.conf的例子,假如有下一行:

  ftp  stream  tcp  nowait  root  /usr/sbin/tcpd  in.ftpd -l -L -i -o

  注釋:
  -l 每一個ftp連接都寫到syslog
  -L 紀錄用戶的每一個命令
  -i 文件received,紀錄到xferlog
  -o 文件transmitted,記錄到xferlog

  不過你也不要太相信日志,因為絕大部分黑客都有“擦腳印”的“好”習慣啰!如果你不放心,最好安裝一個Sniffer吧。

  關於TCP_WRAPPERS

  默認的,Redhat Linux允許所有的請求,這是很危險的。如果用TCP_WRAPPERS來增強我們站點的安全性簡直是舉手之勞,你可以將禁止所有的請求放入“ALL: ALL”到/etc/hosts.deny中,然後放那些明確允許的請求到/etc/hosts.allow中,如:

  sshd: 192.168.1.10/255.255.255.0 gate.openarch.com

  對IP地址192.168.1.10和主機名gate.openarch.com,允許通過ssh連接。配置完了之後,用tcpdchk檢查,你可以直接執行:tcpdchk 。在這裡,tcpchk是TCP_Wrapper配置檢查工具,它檢查你的tcp wrapper配置並報告所有發現的潛在/存在的問題。

  關於補丁

  你應該經常到你所安裝的Linux系統發行商的主頁上去找最新的補丁。例如:對於Redhat系統而言可以在:http://www.redhat.com/corp/support/errata/上找到補丁。幸運的是,在Redhat6.1以後的版本帶有一個自動升級工具up2date,它能自動夠測定哪些rpm包需要升級,然後自動從Redhat的站點下載並完成安裝。這對某些懶惰的管理員來說,可是個省精神的福音哦!^_^

copyright © 萬盛學電腦網 all rights reserved