Linux服务器的安全指南 ,大多数主要服务都有可配置的安全
级别。许多情况下,可以配置服务来限制来自主机、网络、用户和组的访问。正如RHCE目标所列出的,需要知道如何为每个由协议列出的服务配置基于主机和基于用户的安全。
也可以使用SELinux选项,它们有助于确保这些服务的安全。后续章节将详细讨论这些选项,本章只是简要介绍一下服务特有的安全选项。
1. HTTP/HTTPS服务特有的安全
虽然还有其他选项,但Linux上HTTP和HTTPS协议的主要服务是Apache Web服务器。其实,Apache是Internet上的主流Web服务器。毫无疑问,Apache配置文件非常复杂,但必须这样,因为Internet上的安全挑战更加严峻。
除了绝对需要的组件,不要再安装其他组件。如果在通用网关接口(Common Gateway Interface, CGI)脚本中有安全漏洞,而你没有安装对CGI脚本的支持,那么这个安全问题就对你没有影响。但RHCE指定目标来部署“基本的CGI应用程序”,因此你没有这么幸运。
幸运的是,Apache有多种方法来限制访问。可以在服务器或单个虚拟主机上创建限制。在一般和安全的Web站点上也可以创建不同的限制。另外,Apache支持使用安全证书。
2. DNS服务特有的安全
域名服务(Domain Name Service, DNS)服务器是黑客的主要攻击目标之一。注意,RHEL 7包含bind-chroot程序包,它在一个单独的子目录里配置必需的文件、设备和库。这个子目录限制突破DNS安全的用户,称为chroot jail。它限制黑客突破服务就能够导航的目录。换句话说,侵入RHEL 7 DNS服务器的黑客无法“逃出”配置为chroot jail的子目录。
由于不希望参加RHCE考试的考生创建主/从DNS服务器,因此在某种程度上限制了挑战和风险。
3. NFS服务特有的安全
下面介绍网络文件系统(Network File System, NFS)版本4,现在可以建立Kerberos身份验证来支持基于用户的安全。但Kerberos和LDAP服务器的配置超出了RHCE目标的范围,对于RHCE考试,需要使用Kerberos来控制对NFS共享的访问。
4. SMB服务特有的安全
在RHCE目标中列出的SMB表示服务器消息块(Server Message Block)协议。这个网络协议最初由IBM开发,后来经过Microsoft修改作为其操作系统的网络协议。虽然Microsoft现在将它称为通用Internet文件系统(Common Internet File System, CIFS),但该网络协议的Linux实现方式仍然称为Samba。
可以通过Microsoft Active Directory利用Samba来进行身份验证,从而实现RHEL 7。Samba支持将用户和组映射到Linux身份验证数据库。
RHEL 7的标准Samba版本是4.1。Samba 4发布后,它也可以作为域控制器(Domain Controller)与Microsoft Active Directory兼容。不过,对这种配置的讨论已经超出了RHCE考试的范围。
5. SMTP服务特有的安全
RHEL通过简单邮件传输协议(Simple Mail Transport Protocol, SMTP)支持两种不同的电子邮件通信服务:Postfix和Sendmail。这两种服务都是在开源许可下发布的。RHEL 7的默认SMTP电子邮件服务是Postfix,不过可以配置这两种服务之一,以满足相关的RHCE目标。无论哪种情况,服务通常只侦听本地主机地址,它是安全的一个级别。
6. SSH服务特有的安全
甚至是在RHEL 7的最小化安装中都会默认安装SSH服务。它可用作远程管理工具。但也有一些风险与最小化SSH服务器相关联,例如,远程登录根账户不必得到允许。用户可进一步管理安全。
