计算机安全超级工具（十二）－主机加固

Bastille Linux

 

Bastille Linux is a security hardening program for GNU/Linux.
It increases the security of the system either by disabling
services (if they are not necessary) or by altering their
configuration.

If run in the (recommended) Interactive mode, Bastille
educates the administrator during the hardening process:
in each step of the process, extensive descriptions are
given of what security issues are involved. Each step is
optional. If run in the quicker Automated mode, Bastille
hardens the system according the profile chosen.

Bastille Linux works for several Linux distributions.
This package has been specifically modified to work for
Debian GNU/Linux.

Canonical does not provide updates for bastille. Some updates may be provided by the Ubuntu community

 

 

SELinux

SELinux简介

SELinux全称是Security Enhanced Linux，由美国国家安全部(National Security Agency)领导开发的GPL项目，它拥有一个灵活而强制性的访问控制结构，旨在提高Linux系统的安全性，提供强健的安全保证，可防御未知攻击，据 称相当于B1级的军事安全性能。比MS NT所谓的C2等高得多。

应用SELinux后，可以减轻恶意攻击或恶意软件带来的灾难，并提供对机密性和完整性有很高要求的信息很高的安全保障。 SELinux vs Linux 普通Linux安全和传统Unix系统一样，基于自主存取控制方法，即DAC，只要符合规定的权限，如规定的所有者和文件属性等，就可存取资源。在传统的 安全机制下，一些通过setuid/setgid的程序就产生了严重安全隐患，甚至一些错误的配置就可引发巨大的漏洞，被轻易攻击。

而SELinux则基于强制存取控制方法，即MAC，透过强制性的安全策略，应用程序或用户必须同时符合DAC及对应SELinux的MAC才能进行正常操作，否则都将遭到拒绝或失败，而这些问题将不会影响其他正常运作的程序和应用，并保持它们的安全系统结构。