源处:
http://www.linuxsir.org/bbs/showthread.php?t=173329
http://www.nl.debian.org/doc/manual...wto/ch2.en.html
翻译:etony 转载请注明源自www.linuxsir.org
翻译谬误之处,敬请指正,多谢
Debian 安全手册
第 2 章 - 开始之前
2.1 系统用途
Debian的安全配置与其它系统没有太大的不同; 要正确的考虑Debian系统安全问题, 首先要确定系统的用途. 然后, 如果需要一个真正安全的系统, 必须考虑下边的步骤.
您会发现本手册从基础写起, 也就是说, 是在 Debian 系统安装之前, 安装过程中, 和安装之后, 应当阅读的一些任务信息,这些任务是:
* 确定哪些服务是您需要的, 哪些是应当限制的. 这包括禁用/卸载不必要的服务, 添加防火墙过滤, 或tcp伪装.
* 系统中用户权限的设置.
* 加固提供的服务, 即使出现问题, 也应将影响降到最小.
* 使用适当的工具, 确保及时发现未经授权的使用, 以便能采取适当的措施.
2.2 应当知道的一般性安全问题
下边在为什么一些内容与涉及安全问题(通常)将不做细节性探讨. 因此, 你最好有 UNIX 和(特别是) linux 安全知识背景, 您遇到不同选择的时候, 花点时间阅读一些安全文档是个明智的决定. Debian GNU/Linux 是基于 linux 内核的, 因此很多有关 Linux 的信息, 以及其它发行版和一般性 Unix 安全同样也适用于它(即使使用工具或程序有所不同).
一些有用的文档:
* Linux Security HOWTO (也可在 LinuxSecurity 处找到) 是有关 linux 一般性安全问题的最好的参考手册.
* Security Quick-Start HOWTO for Linux 也是初学者用户(Linux和安全)非常好的起始点.
* Linux 安全管理者指南 (在 Debian 中通过 lasg 包提供)是从内核安全到VPN各个方面都涉及到的指导性文献. 注意从2001年起它没再被更新,但一些信息仍然是相关的. [1]
* Kurt Seifried 的 Securing Linux Step by Step.
* 在 linux的安全与优化: RedHat 版 中,你可以找到与 redhat 相关的此手册的简化版, 其中一些内容与发行版无关, 也适用于Debian.
* IntersectAlliance 出版了一些用于加强 linux 服务安全性参考的资料,这些资料从 他们的站点上也能找到.
* 对于网络管理员来说, Securing your Domain HOWTO是构建一个安全的网络最好的参考资料.
* 如果要评估一下将要使用的工具(或者要构建一些新的), 则应当参阅 Secure Programs HOWTO (可以在 http://www.dwheeler.com/secure-programs/ 处获取原版拷贝,它包括一些幻灯片和与来自作者 David Wheeler 一些谈话)
* 如果您正考虑安装防火墙, 应当阅读 Firewall HOWTO 和 IPCHAINS HOWTO (针对在2.4以前的内核).
* 最后,Finally, a good card to keep handy is the Linux Security ReferenceCard 提供了一些不错的参考卡片
无论如何, 在 The Linux Documentation Project 大多数的 HOWTO 里有更详尽的这里讲述的一些服务的信息(NFS, NIS, SMB...). 这些文档中也讲述了一个给定服务的安全方面的内容,因此也一定浏览一下那些内容.
在 Debian GNU/Linux 系统中可以通过安装The HOWTO documents from the Linux Documentation Project are available in Debian GNU/Linux through the installation of the doc-linux-text (text version) 或 doc-linux-html (html version) 获取源自 Linux 文献项目 的 HOWTO 文档. 安装完毕后,可以在 /usr/share/doc/HOWTO/en-txt 和 /usr/share/doc/HOWTO/en-html 对应目录下找到.
其它一些推荐文档:
* Linux安全最大化 : 一个黑客在保护您的 Linux服务和网络方面给出的指导. Anonymous. Paperback - 829 pages. Sams Publishing. ISBN: 0672313413. July 1999.
* ohn S. Flowers 的 Linux Linux安全. New Riders; ISBN: 0735700354. March 1999
* Brian Hatch 的 Hacking Linux Exposed . McGraw-Hill Higher Education. ISBN 0072127732. April, 2001
其它一些图书 ( 与一般性 UNIX 安全问题相关,而不是针对 Linux):
* Unix实践和入侵检测 (第二版) Garfinkel, Simpson, and Spafford, Gene; O'Reilly Associates; ISBN 0-56592-148-8; 1004pp; 1996.
* 防火墙与入侵检测 Cheswick, William R. and Bellovin, Steven M.; Addison-Wesley; 1994; ISBN 0-201-63357-4; 320pp.
更新及时的与安全相关的一些有用的站点:
* NIST 安全指导.
* 安全焦点 the server that hosts the Bugtraq vulnerability database and list, and provides general security information, news and reports.
* Linux 安全. Linux安全的一般信息 (工具, 新闻...). 比较有用的是 main documentation 页面.
* Linux 防火墙与安全站点. Linux 防火墙和相关工具的一般信息.
2.3 Debian对安全问题的态度
如果你对 Debian GNU/Linux 的安全问题有一个大概的了解, 你就应该注意到为了提供一个全面安全系统, Debian 处理问题的不同:
* Debian 问题总是公开处理的,即使有关安全的. 安全问题在安全邮件列表里公开讨论。 Debian 安全公告被发送到公共邮件列表(包括内部和外部的)和在公共服务器上发布. Debian 社区契约 中的声明:
我们不掩盖问题
我们将保持我们的整个缺陷报告数据库始终为公众开放. 用户在线报告文件将立即为他人可见.
* Debian 密切注意安全问题. 安全小组检查很多有关安全的来源,检测可能引入安全问题的软件包, 其中重要的将被 Bugtraq.
* 安全更新是优先级最高的. 当在 Debian 包中出现一个安全问题时, 针对stable版和unstable版基于各种平台的安全更新将会尽可能快的准备和发布.
* 有关安全的信息被集中在一个站点, http://security.debian.org/.
* Debian 一直通过启动新项目努力改善发行版的整体安全性, 如自动软件包签名验证机制.
* Debian 为系统管理和监控提供许多有用的有关安全的工具. 为了更好的实施本地安全策略, 开发者努力将这些工具与发行版紧密的结合在一起. 这些工具包括: 集中认证, 审核工具,加固工具,防火墙工具,入侵察觉工具,等等.
* 软件包的维护者意识到的安全问题. 这可能导致许多按"默认安全等级"安装的服务存在一些限制,有时甚至不能使用. 但是, Debian 正试图寻求安全与(管理)易用之间的平衡,系统安装后是不被激活的, 如 BSD 家族的发行版一样. 无论如何, 一些特别的安全问题,象setuid 程序,是 Debian 策略 的一部分.
本文档也试图, 通过公布 Debian 的安全信息, 通过弥补其它一些 Debian 或操纵系统自身使用工具的相关安全文档的不足, 来期待一个更加安全的发行版本 (see 应当知道的一般性安全问题, 第 2.2 节.