发信人: mark7312(小马哥)
整理人: skybird(2002-01-26 01:10:09), 站内信件
|
Hmmmm,更深入一点,看一下现在哪些端口打开了怎么样?试试这个:输入"nmap localhost.localdomain",用你选择的主机名来代替localhost。现在你应该可以看到你的计算机上的所有活动端口了。提示,使用"man nmap"来看一下有关nmap命令的更多内容。你没有?没有问题,从这里下载好了(http://www.insecure.org/nmap)。
我可以看到你的眼睛在发亮,想知道更多内容么?
输入"netstat -l"或者更好的方法是使用"man netstat"来看一下有关你机器上打开和监听的端口的更详细的内容。在分析netstat命令的结果时不用理会"Active UNIX domain sockets (only servers)..."一行后面的内容,不要问为什么,如果你已经知道了那么就根本不需要我告诉你了。下面是"netstat -l"输出的一个例子:
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:6000 *:* LISTEN
raw 0 0 *:icmp *:* 7
raw 0 0 *:tcp *:* 7
Active UNIX domain sockets (only servers) - txt文件在这里(http://www.net-security.org/text/articles/default_1.txt)。
通过简单关闭所有你不需要或者不想使用的服务和守护进程,你就可以保证打开端口的数量最少。也就是说,在上面的例子中,只有端口6000是活动的,但是我们通过在文件中调用你的GUI的行中增加"-nolisten tcp"就可以把它关闭,所有的配置文件都位于/etc目录。试试找到这些文件,浏览一下你的系统,有时候这很有意思...当你禁止了不需要的内容之后,你应该可以看到没有端口仍在监听了,这样你就感到有点安全了。注意,当在线时有些端口是打开的,例如,如果你使用一些ICQ。
接下来要介绍的是空前著名的防火墙,是的,就是防火墙,神秘的防火墙。如果你想了解更多内容,我建议你试试以下内容。最基本的,通过使用"ipchains"命令(hmmm,"man ipchains"听起来怎么这么耳熟啊?)你就可以控制所有到达/来自于你的计算机的通讯,当然你必需要正确设置你的防火墙规则。让我们给出一个例子:
ipchains -A input -i ppp0 -p TCP -d 0.0.0.0/0 $portnumber -j DENY
这里的$portnumber代表你希望隔离的实际端口号。也许你不希望被ping到(至少是icmp ping):
ipchains -A output -i ppp0 -p icmp -j DENY
有关ipchains可以写很多内容,最好的方法是自己去一点一点地探究,了解一点,试验一点,但是不要担心后面罗列的那一长串参数,因为你可以以很简单的方法使用ipchains。如果你希望了解更多内容,这里有一个很好的ipchains-HOWTO(http://www.linuxsecurity.com/resource_files/firewalls/HOWTO/IPCHAINS-HOWTO.html)。
所有这些过程都会使你的系统变得安全点,但是记住并没有绝对的安全。只有人们按照系统允许的操作去维护系统,系统才是安全的。对连接到internet的服务进行限制并关闭服务是一种防止差错泛滥的方法。记住,对你从网络上接收到的内容以及发送者保持警惕,不要忘记经常对重要文件进行备份。综合使用这些方法会向你证明这是很有意义的。
还有,最后一种但不是必需的方法--补丁。经常给你的软件找些新的补丁和解决方案。这些你可以在最近的linux发行商站点上找到。永远不要沉睡不醒...
自己从各种资源(例如发行商,安全站点,等等)订阅一些邮件或者新闻列表是个好主意:
Linux Security Newsletter and Security Advisories Weekly
(http://www.linuxsecurity.com/general/newsletter.html)
Security Focus Linux
(http://www.securityfocus.com/forums/focus-linux/intro.html)
Help Net Security Newsletter
(http://www.net-security.org/text/newsletter)
推荐一些有用的站点:
http://www.linuxsecurity.com/
http://www.slashdot.com/
http://www.rootprompt.org/
http://www.linux.com/
http://www.xmission.com/~howardm/
---- 小马哥
美丽的梦和美丽的诗一样,都是可遇而不可求的,
常常在最没能料到的时候里出现
|
|