【IT168 服务器学院】主机防护 A 计划：

　　在网络上面( 尤其是 BBS )最常听到的就是这样的哀嚎声音：『阿！！救命哪！我被入侵了！要怎么办？』真是伤脑筋的很！我也不知道要怎么帮助你呢！因为这真是......『自作自受』吶！一些老人家常常在讲，架设一个『网站』很容易，因为目前的线上教学实在是太多了，市面上的『教战手册』之类的书籍也真是多如过江之鲫，然而，大家都只知道『我要架设网站』却不知到『我要架设的是一个安全的网站』，这就是我们老人家的心声哪！因为『架设一个安全的网站，真的很难....』！其中，维护的心力更难哪！为什么呢？由上面的 TCP/IP 的封包路线图，我们可以发现，嘿嘿！目前的入侵你的主机的管道实在是太多了！而一个良好的防火系统又不是只要上述的其中一层就可以做好的！而是复合式的整体规划，并且要『持续不断的』监测你的主机系统，才能够较为完善的保护好你的主机呢！唉～还真是不容易吶！底下我们来谈一谈，如果由主机内部到外部来规划，要怎样来加强主机的安全性呢？

1. 建立完善的登入密码规则限制：

　　要做好主机的防护，第一步就是要建立完善的密码规则啦！因为这个咚咚常常是 cracker 尝试入侵的第一步！你必须要建立好主机的密码规则，请参考 帐号管理 那一篇文章，里头提到的 /etc/shadow 档案格式，还有 /etc/login.defs 这个档案的内容，以及未来会再提到的 PAM 模块，都是相当重要的密码规则订定的所在！另外，可以尝试以 chattr 来将 /etc/passwd 及 /etc/shadow 做成不可变更的档案！较为安全啦！
　
2. 升级与修补套件漏洞、及移除危险套件：

　　这个真的相当的重要的！那就是因为你的服务套件的安全性啦！例如有名的 wu-ftpd 这个 ftp 套件，被说了很多次，好象不怎么安全哩！那么就好就不要激活他，或者是虽然激活，但是限制他的使用网域，这样最起码可以达到一点保护的效果！此外，定时的升级与不定时上网查看危险通告，是很重要的态度呢！
　
3. 每项系统服务的安全设定项目：

　　举个例子来说， ftp 就不要让 root 登入嘛！而 SSH 也可以考虑不开放 root 登入才好呢！这些都是基础的安全设定项目说！要好好爱护自己的主机呦！
　
4. TCP_Wrappers 的基础防火设定：

　　再来则是 TCP_Wrappers 的咚咚啦！请针对你的需求来订定规则啦！这是最起码的防火墙安全！尤其是开启了 FTP, Telnet 的朋友，要更小心在意这个咚咚，此外，他也可以用来记录尝试入侵我们主机的 IP 地址呦！
　
5. iptables 的防火规则设定：

　　这个是 Linux 核心支持的工作咯！可以利用一行一行的规则订定，来设定防火墙的安全规则，如此则可以抵挡掉大部分的不受欢迎的 TCP 封包啰！
　
6. 主机资源侦测系统( MRTG )：

　　当主机受到不明原因的攻击时，通常会有一些端倪可以瞧出来，例如最明显的是 CPU 的 loading 会飙到 90 ~ 100% 左右！还有，当有内部无聊人士在大量下载资料时，网络流量频宽被他占光了！这个时候主机的资源侦测系统就显的重要了，我们也可以用简易的 snmp 配合 MRTG 来捉取资料，以实时的角度来观察主机的现况！
　
7. 登录档案分析系统：

　　还是要再说一遍，登录档的良好的分析习惯，对于系统管理员来说，是真的很重要的一件事情！