出处:
http://www.linuxsir.org/bbs/showthread.php?t=173325
http://www.nl.debian.org/doc/manual...wto/ch1.en.html
翻译:etony 转载请注明源自www.linuxsir.org
翻译谬误之处,敬请指正,多谢
Debian 安全手册
第 1 章 - 介绍
撰写安全文档, 最难莫过于每个案例都是相互独立的. 需要着重考虑站点, 主机, 或网络所处环境和安全需求. 例如, 家庭用户的安全需求则与网络银行完全不同. 家庭用户所要面对的主要威胁来自骇客的脚本陷阱. 网络银行所必须担心的则是直接攻击. 另外, 银行必须保证其用户数据的精确性. 简而言之, 用户必须在安全性和易用性之间作出妥协.
注意本手册只涉及与软件相关部分. 即使是世界上最好的软件也无法保护可以物理接触的计算机. 您可以把计算机置于工作台下, 或者重兵把守的堡垒里. 然而一个正确配置的台式计算机可能比被重兵保护的充满安全漏洞的计算机更安全(从软件观点来看). 很明显, 这两个方面您都要考虑.
本手册仅仅在增加 Debian GNU/Linux 系统的安全方面作简要介绍. 如果您浏览过有关 Linux 安全的其它文档, 会发现一些通用性问题可能与本文档重复. 当然, 本手册并不试图作为您的最后信息源, 而只是设法在同样的问题 上提供更适合 Debian GNU/Linux 系统的信息. 不同的发行版处理问题的方式不同(守护进程的启动就是一例); 您 将发现本手册是针对 Debian 程序和工具的.
1.1 作者
本手册的当前维护者是 Javier Fernández-SanguinoJavier . 有关本文档任何的评论, 添加或建议, 请和他联系, 他们将会考虑添加到本文档.
本手册最初只是 Alexander Reelsen撰写的一篇HOWTO. 在互联网上发布后, Javier Fernández-Sanguino 将其合并到 Debian 文献项目中. 许多人为手册作出了贡献(所有贡献都在更新记录中列出), 需要特别指出以下人员做出了重要的贡献(完成了部分、章节或附录):
* Stefano Canepa
* Era Eriksson
* Carlo Perassi
* Alexandre Ratti
* Jaime Robles
* Yotam Rubin
* Frederic Schutz
* Pedro Zorzenon Neto
* Oohara Yuuma
1.2 手册下载
你可以从 Debian 文献项目 下载或浏览最新版本的 Debian 安全手册. 或从其版本控制系统 CVS 服务器 更加方便的检出.
您也可以从 Debian 文献项目站点下载 文本版. 其他格式,如PDF,(仍)还没有提供. 然而, 您可以下载或安装提供 HTML, txt 和 PDF 格式文档的 harden-doc软件包. 注意, 包中提供的文档版本和互联网上的相比可能稍旧(但是可以通过下载源码包进行构建和更新您的版本!).
1.3 组织信息与反馈
这是手册的正式部分. 此时,我(Alexander Reelsen)撰写了本手册的主要部分, 但是就我看来不应该停滞于此. 自由软件伴随我成长与生活, 它是我日常使用的一部分,我猜您也如此. 任何人都可以将其反馈, 附加提示或任何其它建议寄发给我.
如果您认为您能更好的维护某个部分或章节,请与维护者联系, 您将受到欢迎. 特别是如果您发现某个部分被标记为FIXME, 这意味着作者没有时间或关于这部分所需的知识, 请马上发邮件给他们.
本手册的主题清楚的表明及时更新相当重要, and you can do your part. Please contribute.
1.4 预备知识
Debian GNU/Linux 的安装并不是特别困难, 你应该可以搞定. 如果您已经有一些关于 Linux 或其它 Unix 的知识, 并对基本安全有点熟悉, 理解本手册将更加容易, 因为本文档无法对每个细节作详细的解释(否则将是一本书, 而不是手册). 如果您不是太熟, 那么, 您也许希望能查看一下 应当知道的一般性安全问题, 第 2.2 节 有找到更加详细的信息。
1.5 需要添加一些内容(FIXME/TODO)
本部分描述手册中需要修正的部分的相关内容. 包含 FIXME 或 TODO 标记的一些段落说明内容(或 所需做的什么样的工作)欠缺, 本部分的目的是列举将在新的版本涉及的内容或改进版中需要做的(或可能添加的)工作。
如果您觉得能为完成列表中的任何条目提供帮助(或注释), 请与主作者联系 (作者, 第 1.1 节
* 详述事件响应信息,也许可以从 RedHat 安全指南的 事件响应章节 获取一些想法.
* 添加关于远程监控工具(检查系统可利用率)譬如 monit, daemontools 和 mon 的内容. 参见 http://linux.oreillynet.com/pub/a/l...adminguide.html .
* 考虑添加关于如何构建基于 Debian 的网络应用的部分(以及如基本系统, equivs 和 FAI 一类的信息).
* 检查是否有 http://rr.sans.org/linux/hardening.php 提及而这里未涉及的信息.
* 增加关于如何在便携式电脑上设置 Debian 的内容 http://rr.sans.org/linux/debian_laptop.php.
* 增加使用 Debian GNU/Linux 配置防火墙的内容. 此部分假定要保护的是单系统(不保护其他...)并就如何测试设定进行讨论.
* 增加使用 Debian GNU/Linux 配置代理防火墙的内容, 以及提供代理服务的相应软件包的信息 (如 xfwp, xproxy, ftp-proxy, redir, smtpd, nntp-cache, dnrd, jftpgw, oops, pnsd, perdition, transproxy, tsocks). 应当在手册中指出其它信息来源. 注意, Debian 现在提供的 是zorp 软件包 是一款代理防火墙(他们也向上游提供 Debian 包).
* 使用 file-rc 进行服务配置的内容
* 检查所有参考URL, 删除/修正不再可用的部分.
* 增加关于对一般服务器进行功能限制性替换方面的内容(Debian)。例如:
o 用cups(软件包)本地打印?
o 用lpr远程打印
o 用dnrd/maradns替代bind
o 用 dhttpd/thttpd/wn(tux?) 替代 apache
o 用 ssmtpd/smtpd/postfix 替代 exim/sendmail
o 用 tinyproxy 替代 squid
o 用 oftpd/vsftp 替代 ftpd
o ...
* Debian 中更多有关内核安全补丁的内容, 包括上边提到的和具体如何使用这些补丁应用到 Debian 系统中的内容.
o Linux 入侵检测 (lids-2.2.19)
o Linux Trustees (在 trustees 软件包中)
o NSA Enhanced Linux
o kernel-patch-2.2.18-openwall
o kernel-patch-2.2.19-harden
o kernel-patch-freeswan, kernel-patch-int
* 禁用不必要的网络服务(包括 inetd )的内容, 这属于程序安全化部分, 但是做的更广一点.
* 有关口令转换的内容,这与策略关系更密切.
* 策略,和用户培训策略.
* 更多关于 tcpwrappers, 和 wrappers 的内容?
* hosts.equiv 以及其它主要安全漏洞.
* 文件共享服务方面的问题如 Samba 和 NFS?
* suidmanager/dpkg-statoverrides.
* lpr 和 lprng.
* Switching off the gnome IP things.
* Talk about pam_chroot (see http://lists.debian.org/debian-secu...5/msg00011.html) and its usefulness to limit users. Introduce information related to http://online.securityfocus.com/infocus/1575. Pdmenu, for example is available in Debian (while as flash is not).
* 有关 pam_chroot 的讨论, 更多信息参见 http://www.linuxfocus.org/English/J...ritcle225.shtml, http://www.networkdweebs.com/chroot.html 和 http://www.linuxsecurity.com/featur...e_story-99.html
* 关于程序 chroot jails 的讨论. 增加 Compartment 和 chrootuid 的内容,同时也介绍一些其他软件(makejail, jailer)的内容.
* 增加由 Pedro Zornenon 提供的关于 potato 中 chrooting Bind 8 的内容, 参见 http://people.debian.org/~pzn/howto/chroot-bind.sh.txt (包括所有脚本?).
* 更多关于日志分析软件的内容 (i.e. logcheck 和 logcolorise).
* '高级'路由(安全相关的通讯规则)
* 限制 ssh 对于某些运行命令的访问.
* dpkg-statoverride 的使用.
* 对用户共享 CD 刻录机的安全方法.
* 为网络显示提供网络声音的安全方法(以便使用X服务器的硬件运行X客户端的声音)
* 安全的网络浏览器.
* 在 ssh 上设置 ftp.
* 使用加密回环文件系统.
* 加密整个文件系统.
* steganographic 工具.
* 为一个组织设置 PKA .
* 使用 LDAP 管理用户. 在 www.bayour.com 处有 Turbo Fredrikson 撰写的 Debian 下的 ldap+kerberos HOWTO。.
* 如何删除降低生成系统效能的信息,譬如/usr/share/doc ,/usr/share/man (是的,不太安全).
* 更多有关 lcap 基于软件包的README 文件(不仅如此, Bug #169465) 和源自LWN的文章: 内核开发.
* 增加 Colin 的关于如何为整个 Sid 系统设定一个 chroot 环境的内容(http://people.debian.org/~walters/chroot.html)
* 增加有关在一个给定系统上运行多功能 snort 嗅探器的内容(查看向 snort 提交的问题报告)
* 增减有关配置蜜罐的内容 (honeyd)
1.6 更新记录/历史
1.6.1 2.99 版 (2004年3月)
.
.
.
(略)
.
.
.
1.7 荣誉与感谢!
* Alexander Reelsen 撰写了原始文档.
* Javier Fernández-Sanguino 为原始文档增加了更多信息.
* Robert van der Meulen 提供了 quota 章节和很多好主意.
* Ethan Benson 校正了 PAM 章节和一些好的建议.
* Dariusz Puchalak 为一些章节提供一些信息.
* Gaby Schilders 提供了一个很棒的 Genius/Paranoia 主意.
* Era Eriksson 弄顺了许多地方的语法并提供附录清单.
* Philipe Gaspar 撰写了 LKM 部分.
* Yotam Rubin 对很多拼写错误进行了修正,并为bind的版本和 md5密码提供了参考信息.
* 这里包括所有为文档改善提供建议的名单(参见 更新记录/历史, 第 1.6 节)
* (Alexander) 所有鼓励我撰写本 HOWTO 的朋友 (这后来变成了手册).
* 整个 Debian 项目.
