UNIX 十大安全隐患 及对策 (引用)

上周美国系统网络安全协会(SANS Institute)公布了UNIX的10大安全隐患，从我自己使用了10年UNIX的经验出发，基本上都是据之有理，鉴于没有标准的隐患对策，我简单阐述以下这些隐患的对策。 美国系统网络安全协会公布的Unix十大安全隐患排行榜： 　　1 BIND域名系统(BIND Domain Name System) 　　2 Web服务器(Web Server) 　　3 认证(Authentication) 　　4 版本控制系统(Version Control Systems ) 　　5 电子邮件传输服务(Mail Transport Service) 　　6 简单网络管理协议(Simple Network Management Protocol) 　　7 开放安全连接通讯层(Open Secure Sockets Layer) 　　8 企业服务NIS/NFS 配置不当(Misconfiguration of Enterprise Services NIS/NFS) 　　9 数据库(Databases) 　　10 内核(Kernel) 1] Bind 的NIS 服务以往常常和NFS服务绑定在一起，提供局域网内用户的统一登录和远程的目录文件共享。其漏洞在如果hacker控制局域网内任何一台unix/linux的服务器的local root帐户，可以通过su进入任何其它的用户的文件系统，简直是弱智的无以伦比。 这个漏洞我5，6年前用过竟然到今天还没有消除。 2] Web服务器(Web Server) 就是通常大家使用的各种 httpd server，鉴于apache 2.0 是最流行的web server，这里说明一下webserver的隐患。 cgi的配置，默认的conf 以及apache module都有很广泛的隐患，通常是通过升级来达到消除这些隐患，但是终究不是解决办法。 3年前我的apache webser曾经感染过wrom的病毒，可见其安全性之差。 3] 认证(Authentication) ，这里的隐患也不少，例如ssh 就曾经是一个众所周知的一个大漏洞，著名的电影《matrix II》里就使用了这样的指令： ssh host -l root -v 来监查ssh 的版本和漏洞。 4] 版本控制系统(Version Control Systems ) 这个我不熟悉，不做评论。 5] 电子邮件传输服务(Mail Transport Service) 这是一个耗子窝，无论SMTP,Qmail等所有现在运行的 MTS 都有很多的安全隐患，并且在防止hack 和 spam email 上都有许多要做。当系统管理员打开25端口的时候，需要知道这个端口是一个仅次于80 端口被hacker关注的服务。建立信任的IP以及好的email relay机制非常重要。 6] 简单网络管理协议(Simple Network Management Protocol) 这个简直不用讨论了，禁止使用。 7] 开放安全连接通讯层(Open Secure Sockets Layer) 明码广播曾经使得多少hacker使用简单的sniffit 工具（监听工具）得手，telnet 的明码传播曾经是hacker的最爱。采用硬件的MAC绑定技术，或者干脆消灭ftp/telnet 等老古董的服务甚至client程序。 8] 企业服务NIS/NFS 配置不当(Misconfiguration of Enterprise Services NIS/NFS) 这个见[1] ，不当的NFS可以使得外部的人mount系统读取文件，甚至修改文件。 NFS最好禁止。 9] 数据库(Databases) 数据库也曾经是一种非常不安全的服务，因此提倡将数据库服务界入子网内部，企业内网要比暴露给整个Internet安全的多。 10] 内核(Kernel) 请找你的unix硬件厂商和跟踪最新的消息。备注，基本上一个系统开启的服务越多，越容易受到攻击，安装的gnu软件越多，越不稳定安全。防火墙是非常必要的，另外每天检查日志也是一个好的习惯。...