最后的提示

　　更新！一個(gè)沒(méi)有采用最新的安全補(bǔ)丁進(jìn)行更新的系統(tǒng)會(huì)很快稱為攻擊者的目標(biāo)。

　　已經(jīng)完成配置安全系統(tǒng)所需的所有工作之后，要記�。篊GI腳本將是最大的安全隱患。大多數(shù)成功的攻擊都是通過(guò)這些腳本實(shí)現(xiàn)的。簡(jiǎn)明的建議是：最好使用那些公開(kāi)發(fā)布并且已經(jīng)被不同的網(wǎng)站使用了一段時(shí)間的CGI腳本；如果管理員不得已需要寫(xiě)一些CGI腳本程序的話，這些程序應(yīng)該由其它人對(duì)其安全因素進(jìn)行例行檢查。

　　結(jié)論

　　一個(gè)非常安全且高可用的Web服務(wù)器——這似乎有些矛盾，但確實(shí)是很好的折中——能夠在短短45分鐘的時(shí)間內(nèi)配置完。當(dāng)然您可以通過(guò)更多的工作以提高系統(tǒng)的安全級(jí)別，但是這里配置的系統(tǒng)對(duì)大多數(shù)應(yīng)用來(lái)說(shuō)已經(jīng)足夠了。

　　Linux與安全的更多信息

　　如果您決定選用Linux，您應(yīng)該感到慶幸，因?yàn)槟�可以免費(fèi)使用非常多且優(yōu)秀的安全程序，這是其它UNIX和Windows平臺(tái)所無(wú)法比擬的。為找到合適的工具，您會(huì)發(fā)現(xiàn)安全焦點(diǎn)[9]和包風(fēng)暴(Packetstorm [10])是兩個(gè)比較好的起點(diǎn)。

　　迄今為止，SuSE Linux是所有商用Linux發(fā)布中最專(zhuān)注與安全的。下面一些工具是SuSE所開(kāi)發(fā)的，您可以根據(jù)需要自由下載：

　　--------------------------------SuSE安全軟件------------------------------
　　---------------------------------------------------------------------------------
　　程序名稱(rpm)---功能-----------從哪一版本------能否運(yùn)行-----下載地址-----------
　　-------------------------------開(kāi)始包含在--------于其它發(fā)布
　　-------------------------------Linux發(fā)布中----------------
　　———————————————————————————————————————
　　FTP代理套件--一個(gè)非常--------6.3------------------http:／／proxy-suite.suse.de----
　　---------------安全的FTP---------------------------------------------------
　　---------------代理，它還----------------------------------------------
　　(fwproxys)-----支持SSL--------------------------------------------
　　SuSE防火墻-----一個(gè)包過(guò)濾器---6.3---－---http:／／www.suse.de／~marc-(betas)
　　---------------，能夠創(chuàng)建一----------------（如果是其它--------------------------
　　(firewals)------復(fù)雜的防火墻----------------發(fā)布，init.d------
　　-----------------系統(tǒng)并且非常----------------和startup腳本-------
　　------------------容易配置--------------------要重新調(diào)整）----------------------------
　　-------------------------------------------------------------------------
　　加固SuSE-------配置一個(gè)非常-----6.1------------否------------http:／／www.suse.de／~marc-(betas)----
　　---------------安全的SuSE------------------（專(zhuān)門(mén)為SuSE----------------------
　　(hardsuse)----------------------------------所設(shè)計(jì)）--------------
　　---------------------------------------------------------------
　　安全模塊-------一個(gè)防止symlink--6.3------------是-------------SuSE-FTP-server----
　　---------------,hardlink,-pipe-------------------------------------------------------
　　(secumod)------和許多其它安全策
　　-------------------略的內(nèi)核模塊
　　----------------------------------------------------
　　安全檢查器-----每天對(duì)本地安全------6.2---------大部分--------------SuSE-FTP-server----
　　---------------進(jìn)行一次例行檢----------------------------------------------------
　　(seccheck)-----查---------------------------------------------http:／／www.suse.de／~marc-(betas)------
　　Compartment----程序的安全包裝------計(jì)劃在------是-------------http:／／www.suse.de／~marc-(betas)
　　(-)------------器，支持chroot------7.0中采用----------------------------------
　　---------------ing，特權(quán)和能力--------------------------------------------------------
　　---------------分配
　　--------------------------------------------------------------------
　　Auditdisk-(-)--安全產(chǎn)生校驗(yàn)和------計(jì)劃在------是-------------現(xiàn)在還沒(méi)有發(fā)布beta版-------
　　---------------與Tripwire不同------7.0中采用---------------------------
　　---------------它不能被回避---------------------------------------------------
　　-------------------------------------------------------------------------------
　　SCSLogger------能夠記錄向內(nèi)和------6.2---------是-------------SuSE-FTP-server---- ---------------向外連接日志的---------------------------------http:／／www.suse.de／~thomas-
　　(betas)-----------------------
　　(scslog)-------內(nèi)核模塊-----------------------------------
　　----------------------------------------------------------
　　安全庫(kù)---------一個(gè)為程序員準(zhǔn)------計(jì)劃在------是-------------http:／／www.suse.de／~thomas-(betas)
　　(-)------------備的函數(shù)庫(kù)，它------7.0中采用--------------------------------
　　---------------為不安全的函數(shù)----------------------------------------------------
　　---------------提供了安全功能---------------------------------------------------
　　---------------提示--------------------------------------------------------
　　CD上提供的其它安全程序還有：Nessus, Saint, nmap, PGP, GNU Privacy Guard, OpenSSH, Tripwire, FreeSWAN,等等。

　　另外，除隨SuSE Linux發(fā)布的操作手冊(cè)中廣泛深入地涉獵安全內(nèi)容之外，還有suse-security和suse-security-announce兩個(gè)郵件列表可供參考。

　　當(dāng)然，也有其它的選擇。比如說(shuō)Trustix[6] Linux發(fā)布就是新近出現(xiàn)的完全面向安全的產(chǎn)品。令人失望的是，這個(gè)發(fā)布還處在初級(jí)階段。不過(guò)，它的一個(gè)大約150 MB ISO文件的第一個(gè)Alpha已經(jīng)提供下載了。

　　如果您不信任Linux，那就看看OpenBSD [5]。就在幾年前，人們?yōu)榱税踩珕?wèn)題逐行地檢查了NetBSD發(fā)布的程序。通過(guò)比較關(guān)于Unix變種(當(dāng)然還有Windows)的安全問(wèn)題的消息的數(shù)量和質(zhì)量，人們發(fā)現(xiàn)OpenBSD是無(wú)可爭(zhēng)議的優(yōu)勝者。那么主要障礙是什么呢？其中的一個(gè)原因是應(yīng)用軟件太少。把所有的OpenBSD匯集在一起，甚至還不能填滿一張CD。其它需要集成到系統(tǒng)中的程序都需要用戶通過(guò)一種所謂的接口(ports)或者稱為引入(imported)的方法實(shí)現(xiàn)。這些都沒(méi)能被驗(yàn)證是安全的。另外一個(gè)問(wèn)題是，它的代碼基礎(chǔ)是BSD，受Linux熱潮的影響，BSD平臺(tái)已經(jīng)不再是軟件工業(yè)的戰(zhàn)略目標(biāo)。但是，OpenBSD在安全專(zhuān)家中間仍然有很好的口碑。如果不需要運(yùn)行一些特殊的軟件的話，OpenBSD仍然是配置安全服務(wù)器的正確選擇。

　　當(dāng)然，也有很多商用的高度安全的Unix系統(tǒng)。他們被稱為T(mén)rusted {Solaris, Irix, SCO, ...}。不同的系統(tǒng)實(shí)現(xiàn)了美國(guó)C2、B1甚至B2安全標(biāo)準(zhǔn)。這些系統(tǒng)除了非常昂貴以外，其安全也根本沒(méi)有達(dá)到他們宣稱的那樣高。雖然安全標(biāo)準(zhǔn)的實(shí)現(xiàn)顯著地增強(qiáng)了系統(tǒng)的安全性，但受到缺少開(kāi)放源碼和質(zhì)量聲譽(yù)極佳的源碼的影響，期望它100%的安全是不現(xiàn)實(shí)的(但還是要比Windows強(qiáng)很多)。