第 1 章 安全话题概述

由于对使用强大的联网计算机进行业务运作以及对个人信息管理的依赖性不断增加,各个行业都要了解网络和计算机安全实践。企业要求具有专业知识和技能的安全专家正确审核系统并量身定制解决方案以适应其机构的操作要求。因为大多数机构都在不断壮大,其员工要在本地或者远程访问关键公司 IT 资源,因此安全的计算环境变得更加重要。

遗憾的是,很多机构(以及个人用户)对于安全问题都是马后炮,对于安全的考虑总是放在功能、生产力、便利性、易于使用以及预算之后才考虑。正确的安全部署通常都是事后考虑 — 即在未授权入侵发生“之后”才考虑。在还没连接到不可信的网络例如互联网之前,采取正确的方法可有效阻止入侵尝试。

注意

这个文档会经常参考在 /lib 目录中的文件。当使用 64 位系统时,有些提到的文件可能位于 /lib64 目录中。

1.1. 什么是计算机安全?

计算机安全是一个笼统术语,其意义涵盖了从计算到信息处理的很大领域。依赖计算机系统和网络进行日常业务处理以及访问重要信息的行业视其数据为总资产的重要组成。有些名词和度量已经成为我们日常业务词汇,比如总拥有成本(TCO)、投资回报(ROI)和服务质量(QoS)。使用这些度量,各行业可将某些方面,比如数据整合和高可用性(HA)作为其计划和过程管理成本的一部分。在有些行业中,比如电子商务,数据的可用性和可信性意味着成功与失败。

1.1.1. 标准化的安全性

每个行业中的企业都要依赖由标准制定团体(比如美国医疗协会,AMA;电气与电子工程师协会,IEEE)设定的法规和规则。这同样也适用于信息安全。很多安全顾问和卖方都认同标准安全模式,即 CIA,或称“保密、完整及可用”。这个三层的模式是一般被人们接受的评估敏感信息并建立安全策略的元素。下面我们将进一步详细描述 CIA 模式:

  • 保密 — 敏感信息必须只能对预先定义的一组个体可用。应限制未授权传输以及使用信息。例如:信息保密可确保客户个人或者财务信息不会被未授权个人以恶意目的获取,比如盗窃或者伪造信用。
  • 完整 — 不应以任何方式修改信息以致其不完整或者不正确。应限制未授权用户修改或者销毁敏感信息的能力。
  • 可用 — 授权用户应该可以在需要时随时访问信息。可用性可保证以共同商定的频率和时效获取信息。这经常要根据百分比进行计算,并在网络服务供应商及其企业客户使用的服务等级协议(SLA)中有具体说明。

1.2. 安全控制

计算机安全通常可分为三个主要类型,通常指的是 controls:

  • 物理控制
  • 技术控制
  • 管理控制

这三个主要类型定义了正确安全部署的主要任务。在这些控制中有一些子分类可进一步细化这些控制以及如何部署它们。

1.2.1. 物理控制

物理控制是在定义的结构内实施保证安全的方法,用来阻止或者防止对敏感资料的未授权访问。物理控制示例包括:

  • 闭路监控摄像机
  • 动作或者热量报警系统
  • 警卫
  • 照片 ID
  • 上锁并有固定锁的钢制门
  • 生物识别(包括指纹、声音、面部、笔迹及其它用来识别个体的自动方法)

1.2.2. 技术控制

技术控制使用技术作为基础来控制对整个物理构架和网络中名敏感数据的访问和使用。技术控制影响范围很大,包括以下技术方面:

  • 加密
  • 智能卡
  • 网络认证
  • 访问控制(ACL)
  • 文件完整审核软件

1.2.3. 管理控制

管理控制定义安全性中人的因素。它们涉及机构中所有级别的个人,并决定哪些用户可以访问哪些资源和信息:

  • 培训和认知
  • 灾难准备及恢复计划
  • 人员招聘和分离策略
  • 人员注册及使用

1.3. 漏洞评估

如果有充分的时间、资源和热情,攻击者几乎可以攻陷任何系统。所有安全过程和技术目前都不能保证系统绝对不会受到入侵。路由器可帮助保护到互联网的网关安全。防火墙可帮助保护网络终端安全。虚拟私用网络可安全地以保密流方式传送数据。入侵探测系统可警告您那些恶意动作。但是这些技术能否成功依赖各种不同因素,其中包括:

  • 负责配置、监控和维护技术的专业人士。
  • 迅速有效地补丁和更新服务及内核的能力。
  • 可让您对网络一直保持警惕的反应能力。

由于数据系统和技术的不断变化,保证企业资源安全是很复杂的。鉴于这个复杂性,通常很难找到可用于您所有系统的专业资源。虽然人们可以在很多领域达到很高的水准,但是很难找到在多个领域都非常精通的人。主要是因为信息安全的每个领域都要求您的持续关注,信息安全不是一成不变的。

漏洞评估是您网络和系统安全的内部审计。其结果表明您网络信息的保密性、完整性和可用性(如< 第 1.1.1 节 “标准化的安全性” >所作出的解释)。通常,在侦查阶段启用漏洞评估。在此阶段,对目标系统和资源这些重要数据进行收集。此阶段会导致进入系统准备阶段,借此对所有已知漏洞进行必要的目标检测。准备阶段会以报告阶段终止,在报告阶段中会对所有发现的风险进行等级分类,分为高、中和低三级;关于目标的安全增强方式(或降低漏洞风险的方式)也会进行讨论。

如果您在家里进行弱点评估,您一般会检查家里的每扇门看看是否关上并锁好。您还会查看每扇窗户,确定关上并锁好。这个理念也同样适用于系统、网络和电子数据。恶意用户就是您数据的小偷和劫匪。清楚他们的工具、心态和动机,您就可以对其动作迅速作出反应。

1.3.1. 定义评估和测试

弱点评估可分为两类:“由外而内”和“由内而外”。

当进行“由外而内”的弱点评估时,您要从外部对抗您的系统。身处公司之外为您提供了黑客的视角。您看到的就是黑客看到的 — 公开路由的 IP 地址、您 DMZ 中的系统、您防火墙的对外接口等等。DMZ 代表“停火区”,对应那些处于可信内部网络,比如企业专用 LAN和不可信的外部网络,比如公共互联网之间的计算机或者小的子网。通常 DMZ 包括可连接到内部网络流量的设备,比如 Web(HTTP)服务器、FTP 服务器、SMTP(电子邮件)服务器和 DNS 服务器。

当进行“由内而外”的弱点评估时,您处于有利地位,因为您在内部且被认为是可信的。这就是您和您的同事登录到系统后的视角。您会看到打印服务器、文件服务器、数据库和其它资源。

这两种弱点评估有很大不同。作为公司的内部用户可拥有比外部用户更多的特权。在大多数机构中是将安全配置为防止入侵者进入。很少是用来防备机构的内部用户(比如部门防火墙、用户等级访问控制以及对内部资源的授权过程。)一般来说,作为大多数系统从内部看来有很多资源是公司的内部资源。一旦您身处公司之外,您的状态就成为不可信。您在公司外部可使用的系统和资源通常非常有限。

请考虑弱点评估和“入侵测试”之间的不同。将弱点评估作为入侵测试的第一步。弱点评估收集的信息可用于测试。进行该评估是来检查漏洞和潜在弱点,而入侵测试则是要利用所发现的漏洞和弱点。

评估网络设备是一个动态过程。无论是信息安全还是物理安全,都是动态的。执行评估所显示的概况,可能会出现误报和漏报。误报是指工具所发现的漏洞实际上并不存在。漏报是指遗漏了实际漏洞。

安全管理员只能通过其所使用的工具和所拥有的知识来发挥其作用。采用任何当前可行的评估工具,在您的系统运行这些评估工具,但几乎可确定的是其中存有误报。无论是程序错误还是用户错误,其结果是相同的。这些工具可能会发现误报,或更有甚者,发现漏报。

现在明确了弱点评估和入侵测试之间的不同,请在执行入侵测试前仔细考虑评估结果以便获得新的最佳实践方法。

警告

不要尝试利用生产系统的漏洞。这样做可能会对您系统和网络的生产和效率起到截然相反的效果。

以下列表给出了一些执行弱点评估的优点。

  • 主动关注信息安全。
  • 在黑客发现潜在漏洞之前找到这些潜在漏洞。
  • 保持系统的更新和修补。
  • 提升员工的专业知识并给与帮助。
  • 减少经济损失和负面宣传。

1.3.2. 漏洞评估方法

在选择弱点评估工具方面,建立弱点评估方法论是很必要的。遗憾的是目前还没有预先确定或者业内公认的方法论,但尝试和最佳实践可作为有效的指导方法。

“目标是什么?我们要查看的是某台服务器还是整个网络以及网络中的所有东西?我们是在公司外部还是内部?”这些问题的答案在帮助您决定工具选择乃至使用方法时至关重要。

要更多地了解所发布的方法,请参阅以下网站:

  • http://www.owasp.org/ — 开放式 Web 应用程序安全项目(OWASP,The Open Web Application Security Project)

1.3.3. 漏洞评估工具

通过使用某些形式的信息收集工具,可启动评估。在评估整个网络时,首先绘制出布局,查找正在运行的主机。一旦找到主机的位置,将分别检查每个主机。关注这些主机需要另一套工具。知道使用哪一种工具是查找漏洞时最关键的一步。

就像日常生活的每个方面一样,很多工具可执行同一任务。这个概念也可用于执行弱点评估。有些具体到操作系统、应用程序甚至网络的工具(要看所使用的协议)。有些工具是免费的,有些不是。有些工具很直观易用,而有些则比较神秘,且文档支持很差,但拥有其它工具没有的一些功能。

使用合适的工具可能是一项艰巨的任务,最终,还是经验决定一切。如果可能的话,建立一个测试实验室,尽您所能尝试许多不同的工具,记下每一个工具的优点和缺点。查核 README 文件,或这些工具的手册页。此外,在互联网上查阅更多信息,如文章、分步指南,或是针对这些工具的邮件列表。

下面讨论的工具只是众多可用工具中的一个例子。

1.3.3.1. 使用 Nmap 扫描主机

Nmap 是一种常用工具,可用于判定网络的布局。Nmap 多年来一直被使用,它可能是收集信息时最经常使用的工具。其优秀的手册页中对其选项和使用方法进行了详细描述。管理员可以在网络上使用 Nmap 来查找主机系统以及打开这些系统的端口。

Nmap 是漏洞评估的第一步。您可以映射出在您网络上所有的主机,甚至可以传递选项,允许 Nmap 尝试对特定主机正在运行的操作系统进行识别。 Nmap 为制定关于使用安全服务和限制未使用服务的政策奠定了良好基础。

要安装 Nmap ,则须作为 root 用户运行 yum install nmap 命令。

1.3.3.1.1. 使用 Nmap

通过在所扫描机器的主机名或 IP 地址下输入 nmap 命令,Nmap 就可以在 shell 提示符中运行:

nmap <hostname>

例如,扫描机器的主机名 foo.example.com,用 shell 提示输入以下命令:

~]$ nmap foo.example.com

基本扫描(只需花几分钟,根据主机所在位置以及其他网络状况)的结果与以下结果相似:

Interesting ports on foo.example.com:
Not shown: 1710 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
53/tcp  open   domain
80/tcp  open   http
113/tcp closed auth

Nmap 可测试最常见网络通信端口,以用于侦听或等待服务。这个常识对于想关闭不必要或未使用的服务的管理员来说,是非常有用的。

关于使用 Nmap 的更多信息,请参阅以下 URL 的官方主页:

http://www.insecure.org/

1.3.3.2. Nessus

Nessus 是一个可提供全方位服务的安全扫描程序。Nessus 的插件式结构允许用户自定义其系统和网络。与其他的扫描程序一样,Nessus 只能在其依赖的签名数据库中发挥作用。好在 Nessus 会时常更新,且具有全面报告、主机扫描以及实时漏洞搜索的功能。请记住,即使是像 Nessus 时常更新的强大工具,也可能会出现误报和漏报。

注意

Nessus 客户端和服务器软件需要支付订阅费才能使用。这一点已加到此文档中,以供那些有兴趣使用该程序的用户参考。

关于 Nessus 的更多信息,请参阅以下 URL 的官方网站:

http://www.nessus.org/

1.3.3.3. OpenVAS

OpenVAS (Open Vulnerability Assessment System,开放式漏洞评估系统)是一套可用于扫描漏洞和全面漏洞管理的工具和服务系统。 OpenVAS 框架可提供许多基于网络、桌面和命令行的工具,用于控制解决方案的不同组件。 OpenVAS 的核心功能是其所提供的安全扫描器,可使用超过 33,000 每日更新的网络漏洞测试(NVT, Network Vulnerability Test )。与 Nessus (请参阅 第 1.3.3.2 节 “Nessus”)不同,OpenVAS 并不需要任何订阅费。

关于 openVAS 的更多信息,请参阅以下 URL 的官方网站:

http://www.openvas.org/

1.3.3.4. Nikto

Nikto 是一款杰出的“ 通用网关接口 ”(CGI,common gateway interface) 脚本扫描器。 Nikto 不仅可用于检查 CGI 漏洞,还可以躲避的方式运行,以便躲避入侵探测系统。Nikto 所提供完整的文档资料,在运行程序前,应当仔细查核。如果您有提供 CGI 脚本的网络服务器,那么Nikto 就是用于检查此类服务器安全的最佳资源。

关于 Nikto 的更多信息,可见以下 URL :

http://cirt.net/nikto2

1.4. 安全威胁

1.4.1. 网络安全威胁

如果不能在以下方面很好地配置网络,就会增加被袭击的风险。

不安全的构架

错误配置的网络是未授权用户的主要切入点。让一个可信任并且开放的本地网络暴露于高风险的互联网上就如同开门揖盗— 有时可能什么都不会发生,但  最终  会有人利用这样的机会。

广播网络

系统管理员通常无法意识到其安全方案中联网硬件的重要性。简单的硬件,比如集线器和路由器,它们依赖的是广播或者非切换的原则,即,无论何时,某个节点通过网络将数据传送到接收节点时,集线器或者路由器都会向接受者发送该数据包的广播并处理该数据。这个方法是外部入侵者以及本地主机的未授权用户进行地址解析(ARP)或者介质访问控制 (MAC)地址嗅探的最薄弱的环节。

集中管理的服务器

另一个潜在的联网陷阱是使用集中管理的计算机。很多企业常用的削减支出的方法是将所有服务都整合到一个强大的机器中。这很方便,因为它容易管理,同时费用相对多台服务器配置来说更加便宜。但是集中管理的服务器也会造成网络单点的失败。如果中央服务器被破坏,则会造成整个网络完全不能使用,甚至更糟糕的是,有可能造成数据被篡改或者被盗。在这些情况下,中央服务器就成为访问整个网络的开放通道。

1.4.2. 服务器安全威胁

服务器安全与网络安全同样重要,因为服务器通常拥有机构的大量重要数据。如果服务器被破坏,则其所有内容都可被破解者偷走或者任意篡改。下面的小节详细论述了一些主要问题。

未使用的服务及开放端口

一般系统管理员安装操作系统时不会注意实际安装了哪些程序。这可能会造成一些问题,因为可能安装了并不需要的服务,而这些服务可能被安装和配置了默认设置,并且有可能被开启。这样可能会造成在服务器或者工作站中运行不必要的服务,比如 Telnet、DHCP 或者 DNS,而管理员并没有意识到这一点,从而造成不必要的流量经过该服务器,甚至成为破解者进入该系统的潜在通道。有关关闭端口以及禁用未使用服务的详情请参考 〈第 4.3 节 “安全服务”〉。

未打补丁的服务

默认安装包括的大多数服务器应用程序都是经过严格测试的安全软件。经过在产品环境中的长期应用后,将彻底改进其代码,并会发现和修复很多 bug。

但是世界上不存在十全十美的软件,而且总是有可以改进的空间。另外,较新的软件通常不会进行您希望的严格测试,因为它最近才用于产品环境,或者因为它可能不如其它服务器软件那么受欢迎。

开发者和系统管理员经常会在服务器应用程序中找到可开发的 bug,并将该信息在 bug 跟踪和与安全相关的网页中发布,比如 Bugtraq 邮件列表(http://www.securityfocus.com)或者计算机紧急反应团队(CERT)网站(http://www.cert.org)。虽然这些机制是警告社区安全隐患的有效方法,但关键还是要系统管理员可正确为其系统打补丁。这是事实,因为破解者也可访问同样的弱点跟踪服务,并在可能的情况下使用那些信息破解未打补丁的系统。良好的系统管理需要警惕、持续的 bug 跟踪,同时严格的系统维护可保证您有一个更安全的计算环境。

有关保持系统更新的详情请参考〈 第 3 章 及时更新系统〉。

疏忽的管理

管理员不能为其系统打补丁是服务器安全的最大威胁之一。根据“系统管理、审核、网络、安全研究院”(即 SANS)资料,造成计算机安全漏洞的主要原因是“让未经培训的人员维护系统安全,不为其提供培训,也没有足够的时间让其完成这项工作。”[1]这指的是那些缺乏经验的管理员以及过度自信或者缺乏动力的管理员。

有些管理员无法为其服务器和工作站打补丁,而有些则不会检查来自系统内核或者网络流量的日志信息。另一个常见的错误是不修改默认的密码或者服务密钥。例如:有些数据包使用默认的管理员密码,因为数据库开发者假设系统管理员会在安装后立刻更改这些密码。如果数据库管理员没有更改这个密码,那么即使是缺乏经验的破解者也可使用广为人知的默认密码获得该数据库的管理特权。这里只是几个疏忽管理造成服务器被破坏的示例。

自身有安全问题的服务

即使最谨慎的机构,如果选择自身就有安全问题的网络服务,也可能成为某些安全漏洞的受害者。例如:很多服务的开发是假设在可信网络中使用,一旦这些服务可通过互联网使用,即其本身变得不可信,则这些假设条件就不存在了。

一种不安全的网络服务那些使用不加密用户名和密码认证的服务。Telnet 和 FTP 就是这样的服务。如果数据包嗅探软件正在监控远程用户间的数据流量,那么这样的服务用户名和密码就很容易被拦截。

此类服务还更容易成为安全业内名词 “中间人” 攻击的牺牲品。在这类攻击中,破解者会通过愚弄网络中已经被破解的名称服务器,将网络流量重新指向其自己的机器而不是预期的服务器。一旦有人打开到该服务器的远程会话,攻击者的机器就成为隐形中转人,悄无声息地在远程服务和毫无疑心的用户间捕获信息。使用这个方法,破解者可在服务器或者用户根本没有意识到的情况下收集管理密码和原始数据。

另一个不安全的类型是网络文件系统和信息服务,比如 NFS 或者 NIS,它们是专门为 LAN 使用而开发的,但遗憾的是 WAN 网络(用于远程用户)现在也使用。NFS 默认情况下没有配置任何验证或者安全机制以防止破解者挂载到 NFS 共享并访问其中包括的内容。NIS 同样也有重要信息,网络中的每台计算机都必须了解这些信息,其中包括密码和文件权限,而且它们是纯文本 ASCII 或者 DBM(ASCII 衍生的)数据库。获得这个数据库访问的破解者可访问网络中的每个帐户,包括管理员帐户在内。

默认情况下 Red Hat Enterprise Linux 7 的发布是关闭此类服务的。但是由于管理员通常会发现他们必须使用这些服务,所以谨慎的配置很关键。有关使用安全方式设定服务的详情请参考 <第 4.3 节 “安全服务”>。

1.4.3. 工作站和家庭 PC 安全威胁

工作站和家庭 PC 可能比网络或者服务器受到攻击的可能性小,但因为它们通常都有敏感数据,比如信用卡信息,因此它们也是破解者的目标。工作站还可在用户不知情的情况下在合作攻击中被指派作为破解者的“奴隶”机器。因此,了解工作站的安全漏洞可让用户免于经常重新安装操作系统,或者防止数据被盗。

不安全的密码

不安全的密码是攻击者获取系统访问的最简单的方法之一。有关如何在生成密码时避免常见缺陷,详情请参考< 第 4.1.1 节 “密码安全”>。

有漏洞的客户端应用程序

虽然管理员可保障服务器安全并进行修补,但这并不意味着远程用户在访问该服务器时是安全的。例如:如果该服务器通过公共网络提供 Telnet 或者 FTP 服务,那么攻击者就可以捕获通过该网络的用户名和密码,然后使用该帐户信息访问远程用户的工作站。

即使使用安全协议,比如 SSH,如果远程用户没有即时更新其客户端应用程序,那么对于某些攻击来说,他们也是不堪一击的。例如:v.1 SSH 客户端无法抵御恶意 SSH 服务器的 X 转发攻击。一旦它连接到该服务器,那么攻击者就可悄无声息地捕获所有该客户端通过该网络执行的击键和鼠标动作。这个问题在 v.2 SSH 协议中得到了解决,但这也取决于该用户是否留意什么样的应用程序有此类漏洞并根据需要更新它们。

<第 4.1 节 “计算机安全”>中详细论述了管理员和家庭用户应采取什么步骤限制计算机工作站的安全漏洞。

1.5. 常见的漏洞和攻击

表 1.1 “常见漏洞”详细论述一些入侵者访问机构网络资源的最常见漏洞和切入点。这些常见漏洞的重点是解释了攻击是如何进行的以及管理员怎样正确保护其网络免受类似攻击。

表 1.1. 常见漏洞

漏洞

描述

备注

空值或者默认密码

使管理密码空白或者使用有产品供应商所设定的默认密码。这在硬件中非常常见,比如说路由器和防火墙,但是这些服务在Linux上运行可包含默认管理者密码(通过 Red Hat Enterprise Linux 7 并没有产品附赠)。

通常与联网硬件有关,比如路由器、防火墙、VPN 以及网络附带存储(NAS)装置。

常见于传统操作系统,特别是那些捆绑服务(比如 UNIX 和 Windows)。

管理员有时会仓促创建特权用户账户,并将密码设为空,这样就为发现该账户的恶意用户提供了最佳切入点。

默认共享密钥

安全服务有时可因开发或者评估测试为目的而打包默认安全密钥。如果不更改这些密钥并将其放在互联网的产品环境中,拥有同一默认密钥的所有用户都可访问共享密钥资源及其所包含的敏感信息。

预先配置到安全服务器装置中,这在无线访问点中最常见。

IP 欺诈

远程机器会装作是您本地网络中的节点,查找服务器弱点并安装后门程序或者木马以获得您网络资源控制权。

欺骗是很困难的,因为它包括攻击者预测的 TCP/IP 序列号以便与目标系统链接,但有些工具可帮助攻击者完成这样的任务。

相比 PKI 或者其它在 ssh 或者 SSL/TLS 中所使用加密认证的其它形式,我们不建议您使用根据目标系统运行的使用根据资源认证技术的服务(比如 rsh、telnet、FTP 及其它)。

窃听

通过窃听两个节点之间的连接收集通过网络的两个活跃节点的数据。

这类攻击最可能在纯文本传输协议中有效,比如 Telnet、FTP 和 HTTP 传输。

远程攻击者必须可访问 LAN 中受威胁的系统以便执行此类攻击。通常黑客会使用活跃攻击(比如 IP 欺诈或者中间人)威胁 LAN 中到系统。

预防方法包括使用加密密钥交换到服务、一次性密码或者加密的认证防止密码欺诈,还建议您在传输过程中使用强大加密。

服务弱点

攻击者找到在网络中运行的服务的缺陷或者漏洞,通过这些弱点攻击者可威胁整个系统及其所有数据,并可能威胁该网络中到其它系统。

基于 HTTP 的服务,比如 CGI 对于远程命令执行甚至互动的 shell 访问来说都是容易受到攻击的。即时作为非特权用户,比如 “nobody” 运行 HTTP 服务,也可读取类似配置文件以及网络映射等信息,或者攻击者可启动拒绝服务攻击,这样就可耗尽系统资源或者让其他用户无法使用系统资源。

在开发和测试阶段服务有时候会有一些被忽视的弱点,这些弱点(比如缓冲溢出,攻击者可使用任意值填满程序的内存缓冲从而使服务崩溃,给攻击者一个互动命令提示符即可允许其执行所有任务)可让攻击者完全拥有管理控制。

管理员应确定不要作为 root 用户运行那些服务,且应该随时注意供应商或者类似 CERT 和 CVE 安全性机构为程序提供的补丁会勘误更新。

应用程序弱点

攻击者要查找桌面和工作站程序(比如电子邮件客户端)的缺陷,并执行任意代码,植入木马以便进一步破坏,或者使系统崩溃。如果被破坏的工作站对剩余网络有管理特权,则会发生进一步的攻击。

工作站和桌面更容易被攻击因为工作人员没有防止或者探测这种侵害的专业知识或者经验。有必要在安装未授权软件或者打开不明电子邮件附件时告知他们可能存在的危险。

可使用一些防护软件以便电子邮件客户端软件不会自动打开或者执行附件。另外,通过红帽网络;或者其它系统管理服务自动更新工作站软件可减轻多种安全性部署的负担。

拒绝服务(DoS)攻击

攻击者或者一组攻击者通过向目标主机(可以是服务器、路由器或者工作站)发送未授权数据包联合攻击某个机构的网络或者服务器资源。这样可迫使合法用户无法使用该资源。

在美国大多数报告的 DoS 案例发生在 2000 年。一些有很高流量的商业和政府网站受到 ping flood 攻击而变得不可用,这些攻击是利用几个被破坏的系统使用宽带连接作为 zombies,或者重新指向广播节点进行的。

通常会伪装源数据包(也会重新广播),让调查攻击的真实源变得困难。

使用 iptables 和网络入侵探测系统,比如 snort 进行进入过滤(IETF rfc2267)的优点是可帮助管理员追踪并阻止发布的 DoS 攻击。

[1]  http://www.sans.org/security-resources/mistakes.php

红帽企业版 Linux 7安全性指南-第 1 章 安全话题概述相关推荐

  1. 红帽linux企业版6的进程,红帽企业版 Linux 6 设备映射多路径

    前言 本书论述了红帽企业版 Linux 6 发行本中红帽企业版 Linux 设备映射器多路径(DM-Multipath)的功能. 1. 读者 本书主要面向管理 Linux 操作系统的系统管理员使用,需 ...

  2. 红帽企业版Linux成为Linux下的.NET Core的参考平台

    微软和红帽声明将在红帽企业版Linux运行的.NET纳入官方支持.经两家公司透露,"红帽企业级Linux将成为Linux下的.NET Core主要参考操作系统". \\ 来自红帽资 ...

  3. Red Hat6 Linux镜像文件,如何下载红帽企业版Linux的ISO镜像文件,如何开始安装红帽企业版Linux?...

    发行版本:红帽企业版 Linux,所有版本 问题: 如何下载红帽企业版 Linux 的 ISO 镜像文件,以便从光盘安装红帽企业版 Linux? 备注:如果您想下载红帽企业版Linux的评估版,需要首 ...

  4. linux 企业版系统安装教程,红帽企业版Linux 6安装指南(中文)

    三.无盘(GRUB)安装 这节讨论的话题假设你已经安装了红帽企业版Linux.使用GRUB作为你的引导程序,同时假设你是Linux高级用户. 在这一小节中,我们使用GRUB引导程序启动安装进程. 3. ...

  5. 红帽企业版linux 7.3,红帽推企业Linux 7.3 新功能特性一览

    原标题:红帽推企业Linux 7.3 新功能特性一览 [IT168 云计算]日前红帽宣布推出企业Linux 7.3版本,作为Linux平台的最新版本,红帽方面透漏本次更新的版本在网络与存储功能两方面做 ...

  6. 红帽linux更新资源库,如何用APT维护红帽企业版Linux

    Linux系统维护中令管理员很头疼的就是软件包之间的依赖性了,往往是你要安装 A 软件,但是编译的时候告诉你X软件安装之前需要 B 软件,而当你安装 Y 软件的时候,又告诉你需要 Z 库了--好不容易 ...

  7. Linux内核源代码分析-第三章 内核体系结构概述-1

    第3章 内核体系结构概述 本章从较高层次上对内核进行说明.从顺序上来说,本章首先介绍内核设计目标,接下来 介绍内核体系结构,最后介绍内核源程序目录结构. 3.1 内核设计目标 Linux 的内核展现出 ...

  8. 红帽企业版linux 7.4更新启动,红帽Linux企业版7.4 淘汰Btrfs文件系统

    我们不得不承认Btrfs是一种古老的文件系统,当初(2007年)是由甲骨文宣布并进行中的COW(copy-on-write式)文件系统,意图取代Linux的ext.但是天不遂人愿,2011年8月9日, ...

  9. 如何在官网下载 红帽企业版linux

    1.登陆官网:www.redhat.com ,点击右上方的 LOGIN  .当然网站会更新,总之找到登陆,如果你没有账号,就点击"register"注册一个,注意,是注册为&quo ...

最新文章

  1. 洛谷——1115 最大子段和(区间DP)
  2. 在Python中创建单例
  3. Python开发【第一篇】:目录
  4. 【设计模式 03】装饰模式——俄罗斯套娃?
  5. 信息学奥赛一本通(1212:LETTERS)
  6. SQL server USE GO语句学习总结
  7. 最简单的方法实现小程序按钮跳转到指定界面
  8. 计蒜客--T1212 仙岛求药
  9. 网红品牌终将祛魅,而伊利、康师傅这些老司机们却仍然历久弥新
  10. 全世界应当普及的经典文章:另辟蹊径解读《心经》
  11. 微信小程序真机调试连接不到后台服务器,解决微信小程序wepy真机预览跟本地表现不一样,数据变化了视图没变化...
  12. 在移动设备上使用M3G编程教程(转)
  13. 台式计算机品牌及价格,全球十大台式电脑品牌 联想拥有良好的品质和适合的价格...
  14. 三键调光调色带定时遥控台灯方案-DLT8T10S-杰力科创
  15. Linux系统安装Chrome浏览器、CentOS安装google浏览器简单教程
  16. Behance上值得借鉴的设计风格
  17. deepin、UOS 安装wine
  18. Linux | Liunx安装Tomcat(Ubuntu版)
  19. 软件无线电,QT绘制频谱图、瀑布图、星座图、眼图、比特图、音频图
  20. OpenCV系列之交互式前景提取使用GrabCut算法 | 三十五

热门文章

  1. 基于Java的二手交易市场系统设计与实现
  2. JAVA经典面试题93道
  3. python面向对象【头歌】
  4. 《公正:该如何做是好?》(Justice: What's the Right Thing to Do? )【youtube上最受欢迎讲座】【哈佛大学最受新生喜爱公共课】【更新BBC里斯讲座】
  5. 看美国影片必须了解的英文粗语脏话
  6. Android获得SD卡权限
  7. Tensorflow2实现像素归一化与频谱归一化
  8. python如何画损失函数图_Pytorch 的损失函数Loss function使用详解
  9. 将我的啤酒从Couchbase迁移到MongoDB
  10. 阿里云Linux挂载新磁盘