一個安全Web伺服器的安裝(5)

web|web服務|web伺服器|安全

　　更新！一個沒有採用最新的安全補丁進行更新的系統會很快稱為攻擊者的目標。

　　已經完成配置安全系統所需的所有工作之後，要記住：CGI指令碼將是最大的安全隱患。大多數成功的攻擊都是通過這些指令碼實現的。簡明的建議是：最好使用那些公開發布並且已經被不同的網站使用了一段時間的CGI指令碼；如果管理員不得已需要寫一些CGI指令碼程式的話，這些程式應該由其它人對其安全因素進行例行檢查。

結論

　　一個非常安全且高可用的WEB伺服器——這似乎有些矛盾，但確實是很好的折中——能夠在短短45分鐘的時間內配置完。當然您可以通過更多的工作以提高系統的安全層級，但是這裡配置的系統對大多數應用來說已經足夠了。

　　Linux與安全的更多資訊

　　如果您決定選用Linux，您應該感到慶幸，因為您可以免費使用非常多且優秀的安全程式，這是其它UNIX和Windows平台所無法比擬的。為找到合適的工具，您會發現安全焦點[9]和包風暴(Packetstorm [10])是兩個比較好的起點。

　　迄今為止，SuSE Linux是所有商用Linux發布中最專註與安全的。下面一些工具是SuSE所開發的，您可以根據需要自由下載：

　　--------------------------------SuSE安全軟體------------------------------
　　---------------------------------------------------------------------------------
　　程式名稱(rpm)---功能-----------從哪一版本------能否運行-----下載地址-----------
　　-------------------------------開始包含在--------於其它發布
　　-------------------------------Linux發布中----------------
　　———————————————————————————————————————
　　FTP代理套件--一個非常--------6.3------------------http:／／proxy-suite.suse.de----
　　---------------安全的FTP---------------------------------------------------
　　---------------代理，它還----------------------------------------------
　　(fwproxys)-----支援SSL--------------------------------------------
　　SuSE防火牆-----一個包過濾器---6.3---－---http:／／www.suse.de／~marc-(betas)
　　---------------，能夠建立一----------------（如果是其它--------------------------
　　(firewals)------複雜的防火牆----------------發布，init.d------
　　-----------------系統並且非常----------------和startup指令碼-------
　　------------------容易配置--------------------要重新調整）----------------------------
　　-------------------------------------------------------------------------
　　加固SuSE-------配置一個非常-----6.1------------否------------http:／／www.suse.de／~marc-(betas)----
　　---------------安全的SuSE------------------（專門為SuSE----------------------
　　(hardsuse)----------------------------------所設計）--------------
　　---------------------------------------------------------------
　　安全模組-------一個防止symlink--6.3------------是-------------SuSE-FTP-server----
　　---------------,hardlink,-pipe-------------------------------------------------------
　　(secumod)------和許多其它安全策
　　-------------------略的核心模組
　　----------------------------------------------------
　　安全檢查器-----每天對本地安全------6.2---------大部分--------------SuSE-FTP-server----
　　---------------進行一次例行檢----------------------------------------------------
　　(seccheck)-----查---------------------------------------------http:／／www.suse.de／~marc-(betas)------
　　Compartment----程式的安全性組件裝------計劃在------是-------------http:／／www.suse.de／~marc-(betas)
　　(-)------------器，支援chroot------7.0中採用----------------------------------
　　---------------ing，特權和能力--------------------------------------------------------
　　---------------分配
　　--------------------------------------------------------------------
　　Auditdisk-(-)--安全產生校正和------計劃在------是-------------現在還沒有發布beta版-------
　　---------------與Tripwire不同------7.0中採用---------------------------
　　---------------它不能被迴避---------------------------------------------------
　　-------------------------------------------------------------------------------
　　SCSLogger------能夠記錄向內和------6.2---------是-------------SuSE-FTP-server---- ---------------向外串連日誌的---------------------------------http:／／www.suse.de／~thomas-
　　(betas)-----------------------
　　(scslog)-------核心模組-----------------------------------
　　----------------------------------------------------------
　　安全存放庫---------一個為程式員准------計劃在------是-------------http:／／www.suse.de／~thomas-(betas)
　　(-)------------備的函數庫，它------7.0中採用--------------------------------
　　---------------為不安全的函數----------------------------------------------------
　　---------------提供了安全功能---------------------------------------------------
　　---------------提示--------------------------------------------------------
　　CD上提供的其它安全程式還有：Nessus, Saint, nmap, PGP, GNU Privacy Guard, OpenSSH, Tripwire, FreeSWAN,等等。

　　另外，除隨SuSE Linux發布的操作手冊中廣泛深入地涉獵安全內容之外，還有suse-security和suse-security-announce兩個郵件清單可供參考。

　　當然，也有其它的選擇。比如說Trustix[6] Linux發布就是新近出現的完全面向安全的產品。令人失望的是，這個發布還處在初級階段。不過，它的一個大約150 MB ISO檔案的第一個Alpha已經提供下載了。

　　如果您不信任Linux，那就看看OpenBSD [5]。就在幾年前，人們為了安全問題逐行地檢查了NetBSD發布的程式。通過比較關於Unix變種(當然還有Windows)的安全問題的訊息的數量和品質，人們發現OpenBSD是無可爭議的優勝者。那麼主要障礙是什麼呢？其中的一個原因是應用軟體太少。把所有的OpenBSD彙集在一起，甚至還不能填滿一張CD。其它需要整合到系統中的程式都需要使用者通過一種所謂的介面(ports)或者稱為引入(imported)的方法實現。這些都沒能被驗證是安全的。另外一個問題是，它的代碼基礎是BSD，受Linux熱潮的影響，BSD平台已經不再是軟體工業的戰略目標。但是，OpenBSD在安全專家中間仍然有很好的口碑。如果不需要運行一些特殊的軟體的話，OpenBSD仍然是配置安全伺服器的正確選擇。

　　當然，也有很多商用的高度安全的Unix系統。他們被稱為Trusted {Solaris, Irix, SCO, ...}。不同的系統實現了美國C2、B1甚至B2安全標準。這些系統除了非常昂貴以外，其安全也根本沒有達到他們宣稱的那樣高。雖然安全標準的實現顯著地增強了系統的安全性，但受到缺少開放源碼和品質聲譽極佳的源碼的影響，期望它100%的安全是不現實的(但還是要比Windows強很多)。