保护UNIX和Linux系统

UNIX和Linux的不同供应商使得编写一个全面的、循序渐进的指南来保护您的UNIX/Linux系统非常困难。  但是，我们可以概括一些澳门威尼斯人注册保护环境的基本概念，您可以针对特定的安装自定义环境，以生成更安全的操作系统。  遵循这些指导方针将有助于减少您受到损害的机会，使您在受到损害时更容易进行取证，并有望使您的系统更快地恢复在线状态。

步骤1：选择一个好的、受支持的操作系统。

IS&T目前支持：

• x86上的BU Linux （CentOS）
• MacOS X

In addition, we have a lot of experience with IBM’s AIX, and SGI’s IRIX operating systems that we can share with you.  虽然您可以自由选择最适合您需求的操作系统，但坚持使用IS&T可以支持的操作系统可能会产生更安全的环境。

如果您从我们的列表之外选择，请确保您选择的操作系统具有良好的记录，可以及时提供安全修复程序，并加入他们的邮件列表，以便您可以确保在发布关键补丁时了解它们。

步骤2：更新补丁

几乎所有的系统漏洞都是由于系统没有打补丁造成的。  在安装系统时，不仅要获得所有当前的补丁，而且要保持当前的补丁级别，这一点至关重要。  This may mean scheduling routine and emergency downtime to install new versions of the kernel and other core components when the patches can’t be applied live.  IS&T has provided tools for Solaris and BU Linux to help with automating patch installation.

第三方应用程序也必须保持安全。  许多威胁都始于旧版本的web服务器或web应用程序、被遗忘的SSH服务器或被忽略的sendmail。  当这些组件是操作系统的一部分时，供应商可能会帮助您保持最新状态，但是当您开始向主机添加第三方服务时，您必须制定一个过程来确保您保持最新状态。  在过去的几年里，web应用程序已经成为一个非常流行的目标，这一点越来越真实。

步骤3：使用防火墙

没有什么比配置良好的防火墙更能保护服务不受攻击！  当然，您的公共web服务器必须能够接受来自Internet上所有内容的流量，但是您真的有需要从其他大洲SSH进入的用户吗？  Some systems do, but for most systems it is totally unnecessary to SSH into the system if you’re not on campus (or connected to the VPN server from off-campus!)

配置软件防火墙很容易，而且大多数平台都支持。  See our 基于主机的防火墙 section for more information.

步骤4：使用文件完整性监视和更改审计

文件完整性监视和更改审计是使用软件检测对文件系统的内容或属性的更改。  虽然主目录和临时空间中的文件不断变化，但系统的许多部分是静态的，比如/usr，或者以可预测的方式运行，比如/var。  通过监视文件系统的这些部分，您可以很容易地检测到什么时候发生了变化，并确定这是补丁程序或系统管理员的工作，还是表明存在漏洞。  Tripwire is the most well known public offering, but Boston University has developed its own application known as 基线, which is available to the BU community.

第五步：保持时钟同步！

If you use Kerberos authentication it is essential that you keep your system clock synchronized to our central servers, but even if you don’t it’s still a good idea.  It is very easy to do — just configure your system’s network time protocol (ntp) subsystem to 与BU时间服务器同步:

ntp1.bu.edu

ntp2.bu.edu

ntp3.bu.edu

如果您使用BU Linux或从我们的jumpstart服务器安装Solaris，那么默认情况下NTP应该已经为您正确配置。

步骤6：将您的日志复制到我们的中央日志服务器

每次在服务器上发生一些有趣的事情时，系统都会通过syslog工具将其记录到位于/var/log中的日志文件中。  When a system gets compromised, the first thing an intruder often does is erase those logs so you don’t see all the interesting things that lead up to the compromise.

您可以通过在多个系统上存储日志来防止这种情况。  Syslog提供了一种将日志数据转发到另一台主机的机制，IS&T运行的日志服务器将很乐意接受来自您的副本。 我们管理日志，存储它们，备份它们，并执行所有必要的步骤，以确保它们在需要时可用。  ‘

对这些日志的访问仅限于日志服务器所需的最小管理员组，并且仅在内部用于查找泄露的迹象。

设置日志记录很容易，您只需要在syslog.conf中添加一行并重新启动syslog。  See our complete instructions for more details on 配置远程日志.

第七步：遵循我们的全球UID系统

想要确保登录到系统的用户是您认为的用户吗？ 您是否需要一套工具来确定系统上的帐户何时属于已离开大学的用户？  Would you like to be able to quickly set up accounts for new users that tie to the Kerberos authentication system so the users don’t need a local password?

我们为您准备了一套工具！  The University’s User Administration (UserAdm) Tools and Global UID system provides a consistent, enterprise wide mapping between a person, a username, and a user id (uid, also known as an index id) and a set of tools for managing user accounts.  UserAdm工具随Solaris安装而来，通过我们的Jumpstart服务器完成，也被整合到BU Linux中。

Learn more about UserAdm Tools和Global UID系统.