FreeBSD handbook中文版 10 安全

HOUSCOUS

[code:1]FreeBSD handbook中文版 10 安全
本文出自: 作者: 张纪青编译 [email protected] (2003-01-15 06:02:00)
目录
10 安全
10.1 概要
10.2 介绍
10.3 确保FreeBSD 的安全特性
10.4 DES, MD5 和Crypt  
10.5 S/Key  
10.6 Kerberos  
10.7 防火墙
10.8 OpenSSL  
10.9 IPsec  
10.10 openSSH  
=============================================================
第10 章安全
=============================================================
(翻译中出现的任何问题或错误，请广大读者及时反馈给我：[email protected])  
10.1 概要
这章将对系统安全概念作一个的基本介绍，还有一些通用的好的规则，和一些在
FreeBSD 下的高级主题。这儿提到的许多主题已经很好地应用于系统和Internet 的安全。
确保你的系统安全将保护你的数据，不至于被黑客所窃取。
FreeBSD 提供了许多工具和机制来确保你的系统和网络的安全。
读完这章，你将了解到这些：  
. FreeBSD 的基本系统安全概念。
. FreeBSD 中可用的如DES 和MD5 这样的加密（crypt）机制。
. 如何设置S/Key，一种一次性的密码验证机制。
. 如何设置Kerberos，另一种密码验证机制。
. 如何使用IPFW 来创建防火墙。
. 如何配置IPSec。
. 如何配置和使用OpenSSH，FreeBSD 的SSH 执行方式。
在阅读这章之前，你必须了解：  
. 了解基本的FreeBSD 和internet 概念。
10.2 介绍
安全是系统管理至始至终最基本的要求。所有的BSD UNIX 系统都有它自身内在的安
全性，建构和维护额外的安全机制，确保用户的“诚实”大概是系统管理最艰巨的工作之一。
机器仅保持着建构时最原始的安全性，而安全性必须要考虑到用户使用的便利性。通常
UNIX 系统能够支持巨大的并发用户处理，而这些处理中绝大部分是以服务器形式处理的----  
这意味着外部的实体能够连接和互相交谈。昨天的小型电脑和主机变成了今天的桌面机，电
脑已连到局域网和互联网，安全就成了一个非常严峻的问题。
第1 页FreeBSD 使用手册
通过一个分层的方法，安全能够很好地实现。你所要做的就是创建很多的安全层，然后
仔细地监视系统以防入侵。你不要过多地创建安全层，否则你将会影响检测面。检测是许多
安全机制中最重要的方法。例如，在每一个二进制程序中，很难判断schg 标记，因为这样
会临时地保护二进制，它会妨碍对一个已经侵入的攻击者作一个很容易的检测，以至最终你
的安全机制根本检测不到攻击者。
系统安全也涉及到攻击的许多方面，包括试图摧毁或使一个系统无法使用。安全问题主
要被分成几类：  
1， 拒绝服务的攻击；  
2， 窃取用户的帐户；  
3， 通过最近的服务器窃取root 帐户；  
4， 通过用户帐户窃取root 帐户；  
5， 创建后门；  
拒绝式服务攻击是侵占机器所需资源的一种方法。有代表性的，D.O.S 攻击，是非常残
忍的攻击机制，它通过压倒性的流量来破坏服务器和网络堆栈，试图摧毁机器或使机器无法
使用。一些D.O.S 攻击利用在网络堆栈中的错误，仅用一个简单的信息包就可以摧毁一台机
器。这可以向内核添加一个错误补丁来修复。在一些不利的条件下，对服务器的攻击能够被
修复，只要适当地修改一下系统的选项来限制系统对服务器的负荷。顽强的网络攻击是很难
对付的。例如，一个欺骗性信息包的攻击，无法阻止入侵者切断你的系统与internet 的连接。
它不会使你的机器死掉，但它会把internet 管道塞满。
窃取用户帐户要比D.O.S 攻击更加普遍。许多系统管理员仍然在它们的服务器上运行着
基本的telnetd,rlogind,rshd,ftpd 服务。这些服务器默认情况下，不会通过加密连接来操作。
结果是如果你的系统有中等规模大小的用户，在通过远程登陆的方式登陆到你系统的用户
中，一些人的密码会被人窃取。仔细的系统管理员会从那些成功登陆系统的远程访问日志中
寻找可疑的资源地址。
假定，一个入侵者已经访问到了一个用户的帐户，入侵者就会使超级用户失效。然而，  
事实是在一个安全的系统中，访�