使用自由軟件維護異構網絡的安全

　　計算機網絡安全很可能是２１世紀幾大技術挑戰之一。

　　總之，象許多讓人憂心的領域，每個人都談論它，但是即使是應該感受最深的人也沒有察覺到潛在災難的規模是如此之大?！备惺茏钌睢敝傅氖侵诬浖蛳到y軟件設計者。最好的例子一再被提到，來自于Redmond，在那里，安全可沒有象市場那樣運轉的按步就班。

　　幸運地，在２０世紀的最后２個１０年里誕生了自由軟件和隨之而來的哲學。如果你想提高你的機器，你的系統，你的網絡的安全的話，你就應該在這里多花些工夫。自由軟件團體在安全方面的工作比所有的大公司合起來都多。

　　可以這么說，工具不能解決所有的問題，維護一個網絡的安全是永久性的任務：因為總是會出現新的情況。

　　這意味著你不能說一個網絡１００％的安全。你能做到的是消除潛在的隱患。我們這里討論的只是你能減少隱患的一小部分。讀完這份特刊（作者注：你應該記住這篇文章是一本法國的Linux雜志關于安全的特刊），你會了解更多一些安全的知識，但是無論如何你不能說你的網絡是安全的。在這里我預先警告過你一下。 當然象這樣一篇文章不能窮盡所有問題。安全問題已經形成了許多自己的文化但是距離徹底的解決問題還很遠。相應地，不要從這篇文章中揣測象操作系統，工具，配置等等事情。

　　作為導言的結束，在這篇文章中我們引用LinuxFocus的文章的幾部分，不要擔心，已經征得作者同意：已經證實他和本人是同一個人!

引言

　　首先，我們探討有著很多不同系統的異構網絡的結構，其中的系統或多多少已經地廣泛傳播。操作系統越多，系統越復雜，因為不是所有的系統在表現？上都是一致的。更進一步，作為服務器的機器在網絡中有不同的功能：我們將擁有一個多樣化的網絡。

　　其次,我們將瀏覽一系列的對提高安全性有助益的工具。選擇是很多的：我們不可能一一列舉。很顯然，我們會講解如何使用這些工具來提高機器和網絡的安全性。下一章節回顧不同系統在安全性方面的特點。 結論將解釋安全過程的”相對性”，說明為什么安全性還有一條很長的路要走，而不是把它”劃分” 到未來學里面去。

一個異構網絡的例子

　　第一個有利的是地球上所有的操作系統都”講”TCP／IP語言。有了這一點不同的系統可以相互通信。相應地作為探討網絡的一個例子，TCP／IP總是被提到。換而言之，其他專有的，不常見的和過時的協議不會提到。我們也不討論物理結構，比如連接的形式，分類等等。

　　這樣我們在這個網絡里什么都放一些進去。當然會包括UNIX，無論專有的或免費的，比如，Solaris2.6，或SunOs 5.6，如果你原意也可以是Irix 6.5，Linux（RH 6.2）或MacOs X。我們可以加一些QNX，NeXTSTEP，NetBSD或OpenBSD。為了遵循”傳統”，我們將包括那個叫Not Terminated 4.0的東西（不是，沒有什么別的意思，只是它比你想像的更糟糕）。

　　這里呢，我們還包括OS２這個稍好一點的系統。最后我們加入一些”非傳統”的OS，比如BeOS，AmigaOS（是的，它存在。不相信嗎？）

　　當然有的人已經抱怨了：什么沒有AIX，沒有HP-UX？沒有。如果你提到每一個UNIX，那會寫一個１０卷的文章。無論如何，基本的安全準則對所有的系統都是有效的。

　　現在，我們能叫它們做些什么呢？

　　舉例來說，可以讓Solaris作為應用服務器。Irix負責備份。NT作為另一個應用服務器。Linux作為網關。另一個Linux機器用做http服務器或者數據庫服務器。其他所有的機器都是客戶機。網絡中大約３０臺機器使用密文認證。我們將選擇比較復雜的認證方式： NIS (Yellow Pages)，LDAP或者Kerberos...。為了讓事情簡單一點。我們不使用NFS，它也許有用并且安全性能有所改善，但是從安全著眼，你最好忘記它。在法國，有句老話，”最好不要把所有的雞蛋放到一個籃子里”。不是”一定要”但最好是服務或者協議一個系統只使用一種。舉例來說，一個ftp服務器，http服務器很適宜在各自的UNIX機器上。另一些UNIX機器可以用做SSH服務器，其他的做SSH的客戶端。后面我們會提到SSH。我們將使用靜態的IP：不要DHCP。換而言之，我們使用基本的功能即可。這個樣子可以構成一個有５０臺機器的網絡。機器再多那就會變成惡夢的。

安全工具和如何使用他們

　　一般來說，做一件事情總是有不止一種方法（TIMTOWDI）。理想的情況是一切從頭來，安裝機器建立網絡。但是現實可不是演電影！相應地，我們的網絡應該是用過一段時間了，機器從這里搬到哪里，舊的去新的來。因為CPU在Mhz上的”竟賽”，舉例來說，今天的Intel 的機器不會持續很長的時間。大約３年以后，機器的零部件就很難買到了。你要不讓你的機器廢物利用做些輕便的工作要不就是干脆把它扔掉：無奈但是很現實。幸運的是，其他的系統持續時間長一些并且還可以繼續提高。不要說這些跑了題：一個管理員總是要盡量利用現有的條件。

　　基本的東西

　　工作的第一步通常做我們稱”一般性”的部分。那就是去掉每臺機器中沒有用到的東西：這可不是一件輕松的差使。每個操作系統，包括Unix在內，安裝了數不清你用不到的服務，協議。主說：扔掉它。在Unix環境下，簡單。。粗暴的方法是注釋掉/etc/inetd.conf 文件中的每一個服務。這樣就干掉了一些。 這好像有一點霸道，但是在許多機器上這是值得推薦的。這也要看你的需求是什么了。在Linux中和其他一些很少見的系統中你可以使用chkconfig 命令去刪除一些服務。

　　還要檢查SUID/SGID文件，毫不猶豫地把”失誤”位去掉?；虿灰せ畛绦?。一個如下的命令： find / -user root -a ( -perm -4000 -o -perm -2000 ) -print 可以列表所有這樣的文件。去掉S位，鍵入chmod a-s programname （注意：你去掉s位后可能失掉一些功能。 它終歸有其目的）。

　　去掉所有”危險”或已知的”冒險”的程序：遠程命令如rsh，rlogin，rcp等等?？梢允褂肧SH取而代之。

　　檢查象/etc，/var這樣目錄的權限，越嚴格越好。比如，給包含起動文件（在許多Unix系統中是 /etc/rc.d/init.d）的目錄使用chmod -R 700是不錯的主意。相同的規則可以運用到所有系統的網絡部分，去掉你不使用的，至少不激活它。對NT來說，你可以輕松地在配置面板中設置。這里有很多基本的東西去做并許多文化的主題都來源于此。

　　工具

　　讓我們從Unix說起，因為它是唯一真正考慮過安全問題的操作系統。其次，Unix可以運行很多的自由工具軟件并且大多數也能運行在Unix的衍生版本中。

　　從現在起，我們開始安裝各個機器。為了達到網絡安全，在做各種事情之前，首先考慮事情的各個元素達到安全要求沒有。安裝這些工具是很輕松的工作，所以我們不會在這里浪費時間。安全工具不同的參數取決于系統，需求...甚至根據自己的意圖來定制。第一個安裝的工具是shadow utils。它的意思是做密碼加密。幸運地，這已經成了許多Unix發布版本的一部分。文件/etc/shadow就是/etc/passwd”創建”的。

　　更好的工具是PAM（插入認證模塊）限制用戶訪問某種服務。每個被關注的服務都使用目錄中的配置文件管理一切的事務。這個配置文件一般是/etc/pam.d。許多服務都是PAM”驅動”的，比如，ftp，login，xdm等等，讓管理員分配每個人有不同的權限。

　　下一個工具是必需提到的：TCPWrapper。它可以工作在大多數的類Unix版本中。簡短解說，它限制某些主機對一些服務的訪問。這些主機允許還是拒絕由２個文件來決定：/etc/hosts.allow和/etc/hosts.deny。TCPWrapper可以通過２種方法配置：或者把它放到后臺，或者改變 /etc/inetd.conf配置文件。如果選擇后者，你可以看到TCPWrapper可以和其他的工具和平相處。你可以在下面的鏈接中找到它： ftp://ftp.porcupine.org/pub/security

　　另一個有益的工具就是xinetd。簡短解說，xinetd是inetd的更新換代，它有更多的特性。剛才我們已經評論過了inetd，所以我們不推薦它。如果你感興趣，你可以在以下的網址找到它： http://www.xinetd.org.

　　在Linux環境下，這個工具你一定要有：它的名子是Bastille-Linux。它的鏈接是：http://www.bastille-linux.org. 這個工具是用Perl寫的，不僅很dd還很有效率。運行了一個腳本后，你會回答很多的問題， Bastille-Linux會根據你的每個回答一一配置。每一個問題都有解釋并且提供缺省的設置。你可以不改變缺省的設置，起動一個新的配置，然后檢查一下Bastille-Linux做了些什么。你都看到了吧！它也提供了一個防火墻的配置：我們回過頭會在討論它。寫這篇文章的時候，Bastille-Linux的版本是1.1.1，但是1.2.0 作為候選版本已經發布了。它提高了不少，并且提供了基于Tk和Perl模塊的圖形界面。（作者提示：這篇文章在幾個月前寫的。事實上， Bastille-Linux最近的版本是1.3.0）。

　　入侵監測系統也是不錯。２個”重量級”的工具是snort和portsentry。第一個可以從下面下載： http://www.snort.org，第二個可以從Abacus網站下載， http://www.psionic.com。這２個有所不同：NIDS （網絡入侵監測系統）主要是提供入侵信息，但是第２個可以說是面向主機并且功能更強大。snort有很多的可選項來監測網絡通訊。你可以監聽所有你想知道的：從主機出去的信息，到主機的信息，防火墻以內的，防火墻以外的。當然，它會產生巨大的log文件，但是你應該知道你想監測那些東西。Win 32版本也是有的，它是蠻重要的，因為這些”系統”中自由軟件的數量是很有限的。

　　portsentry有一個很有意義的特性：它可以根據的你選擇來阻塞被掃描的端口。你或者把攻擊者重定位到一個沒有使用的地址，或者重定位到防火墻上。當然，你可以選擇哪些阻塞，那些不阻塞?，F在我們就可以回到TCPWrapper上來了：portsentry可以編輯/etc/hosts.deny文件，如果你想。這樣，portsentry的效率會很高。我們不想陷入portsentry使用端口綁定的哲學的討論中去，這在于你的選擇：到你更進一步深入到這個主題后，你再做出自己的選擇。另外，portsentry的一個特性是它可以是計算機”看不到”。這可不壞！最后portsentry可以使用不同的操作模式，但是這最高級的特性沒有對Linux開放（至少現在是）。

　　我們討論安全就不能不提到加密。但是各國的法律對待加密上是不一樣的。有的會完全禁止使用加密。

　　作者提示：本文英語版本的關于加密部分已經從法語版本中刪除了，因為它涉及到法國的法律。

　　推論：如果你的國家允許使用加密，最好安裝ssh客戶端和服務端在你的Unix機器上。（當然，根據你的需求）。

　　在討論Unix工具的結束，我提示一下在各個系統上專有的工具：在Solaris中，你可以選擇ndd, aset；在Irix中，你可以使用ipfilterd。 MacOS X 提供了一些免費的工具：ssh，ipfwadm... 一會兒會再說到它。

　　現在，我們可以討論那個孤獨的（真是很幸運，只有一個?。㎞ot Terminated 4.0了。這里就談不上什么自由軟件了...無論如何來自Redmond的人提供了”免費”的東西來提高系統特性（這里可是發現臭蟲沒有什么關系，因為它沒有臭蟲?。?。關于系統安全，NT 4.0可是個教材...不過是，反面的。 It@#s a bit like a sieve! Never mind. 相應的，你只要下載最新的Service Pack（寫這篇文章時是６）就可以了。和補丁... 安全的補丁。 其次... 你可以得到一些免費工具（意思是免費使用沒有原代碼）。這就是它了。

　　其他的系統你就要搜尋一番了。AmigaOS來說，開發工作沒有吸引很多的人并且TCP/IP層有一點老了。無論如何，在公眾領域，他們還在運作。關于BeOS，情況也不大好：這個很好的系統好像有一個折中的性能并且稱做Bone的網絡層還在工作。（作者提示：不幸的是BeOs已經死了。很少有人使它保持活力。作為一個自由軟件產品... 他們還是做的不錯的）。

　　不過，你還是可以在Unix世界里找到一些工具來提高系統性能。

　　主機安全化

　　現在你必需配置所有這一切！再提一遍，我們假定每一個Unix機器都”配備”了影射工具， PAM，TCPWrapper，沒有用的服務都停掉了或刪除了，一些”敏感”的目錄的訪問權限被加強了，等等。

　　在Linux機器上，這時是起動Bastille-Linux時候了。（這個工具可以運行在很多的Linux發布版本中，雖然它原先是專為Redhat和Mandrake設計的）。你可以很輕松的回答它限制性很強的提問。

　　使用Linux機器作為網關，系統一定”最小化”。你可以去掉大多數的服務：http，ftp，等等。去掉X１１圖形界面：你不需要它！去掉不需要的軟件...這么一來，系統大部分都去掉了。停掉沒有用到的后臺程序。你應該得到這么一個系統：當你鍵入 ps ax命令時，顯示填不滿一個屏幕。如果你使用IP偽裝，lsof -i命令只顯示一行：那個它關注的監聽的服務器(我們假設它不是一個永久的聯接）。

　　你一定要把portsentry裝到機器上并且它會在機器起動時起動，使用”高級”模式（為Linux定做的，它使用 -atcp和-audp選項）。這意味著TCPWrapper和firewall都已經安裝上了?；仡^再說這個。

　　對Solaris來說，我們使用aset and ndd命令?；仡^也要提到它。 portsentry已要安裝。我們要使用IP Filter并且使用RPCbind版本2.1取代標準版本，版本2.1可以從porcupine.org下載。對Irix來說，我們選擇ipfilterd來進行如其名曰的包過濾。它時Irix發布版本中的一部分，但是不被缺省安裝。

　　對NT來說，事情有一點復雜...比較”法西斯”的做法是持續地阻塞（最好是去掉）端口137和139，它是著名的NetBIOS。但是這樣就沒有網絡留下了（這就是Windows的網絡）。再涉及到應用服務器的時候，它會出現一點小問題。你也可以安裝snort但是它不能阻止象sieves這類的東西干擾機器。相應地，你要十分嚴格地檢查分區訪問權限，目錄訪問權限...

　　而且你一定要工作在NTFS分區上。這里也有免費的去除guest帳戶的工具但是沒有源代碼。然后安裝所有的你能找到的安全補??！無論怎么說，卷起你的袖子大干一場使得系統不太輕易的受到攻擊。這有點象學習攻擊系統的教程，還是強制的。

　　對于其他”離奇”的操作系統，你可以搜尋和選擇適當的工具?？偟膩碚f，基本的規則是一樣的：服務開啟的越少越好。

保護網絡

　　如果你的主機已經適當的”準備”了，你只是完成了事情的一半。你需要繼續前進。既然我們談到了自由軟件，我們會為網關配置防火墻：這樣你就可以把機器放到”野蠻”的世界里去了。毫不猶豫的（又一次?。┪覀兪褂肔inux機器：這樣我們就可以使用 Bastille-Linux防火墻了。不同版本，或使用ipchains 或使用ipfwadm。如果你用的Linux是2.4的內核，你就使用ipchains。

　　一個小的心得：當涉及到安全時，把所有的初級問題堆疊到一起可不是個好主意。把內核立刻升級到最新版本也許會帶來很壞的負面效應。這不是說新的內核工作不好，而是”陪嫁”的工具不能協調（新的內核）工作，這也許會犯大錯誤的。一個建議：耐心。作為新內核一部分的新防火墻工具很有前途，但是有點兒”年青”。這么說，你是不是輪到你...

　　總之，Bastille-Linux防火墻既簡單又有效率。 還有更多的精細的工具，有點兒象”天然氣工廠” 稱為T.REX?？梢詮囊韵戮W址下載： http://www.opensourcefirewall.com.如果你想得到一個很復雜的自由工具的話，它就是。

　　其他的解決方案，比如說proxys，它工作的不是太好。另一點？？：proxys常被誤認為是防火墻。毫無疑問，它們是兩回事。防火墻使用包過濾而不提供認證的手段。有２種的proxy服務：基于應用的和基于套接字的?？傊?，一個應用服務器管理整個的通訊過程和提供用戶認證，這是為什么它要比防火墻多消耗系統資源的原因。但是，我再說一遍，這類的工具只能保護網絡一小段時間。一個防火墻可以在１５分鐘內 ”攻克”。你聽說過，不是嗎？因此之前的適當安全化網絡中的主機是很重要的：想把安全都托付給防火墻或Proxy而安全無恙的網絡那可是異數呀！

　　另一個減少危險的手段是加密。 比如，使用telnet服務簡直是讓攻擊者腳踩紅地毯一樣大搖大擺的進入（你的網絡系統），或者象你給了強盜商店的鑰匙。不僅他們能得到環境 數據，而且能得到明明白白的文本形式的password：這也太爽了，不是嗎？ 相應地，你可以自在地在那些”不安定”的協議下使用ssh（或直接使用它）。如果你必需（？）使用 telnet，你可以在選擇一個安全的聯接。這就是說把telnet的端口重定位到一個安全的端口上。 如果你想得到更多信息可以參考：這篇名為”通過隧道”的文章 ( ../../English/May2001/article202.shtml). （免費廣告?。?

　　好了，我們是想提高系統安全，現在回過頭來檢查我們的工作。為了做到這一點，讓我們變成”黑客”，我們將使用他們的工具。惡心，是嗎？在這個領域，也有一個很棒的工具的組合，我們隨意的選擇其中２個：nmap和nessus。這里可沒有重復。比如說，第二個就需要第一個的支持。這些工具是端口掃描工具，nessus還遠勝于此。Nessus可以報告給你系統的弱點，而且把掃描結果和弱點數據庫進行對比。在網絡中運行這些工具使得你可以得到每個主機的弱點，無論什么操作系統。這些工具得到的結論很有實際的意義，所以這些工具要必備。你可以在以下網址找到nmap和nessus： http://www.insecure.org， http://www.nessus.org.

　　在文章的開始我們討論過一些聯接外部網絡的局域網的安全問題。這和一個因特網服務提供商的情形會有很多的不同并且我們不會在這個問題的上深入討論。當然我們提到的依然有效但是你需要更精細的手段，比如VPN（虛擬私人網絡），LDAP作為認證手段（打比方）等等。這幾乎是另一個主題了因為它涉及到的東西有更多的約束條件。請千萬不要提到電子商務網站，這些網站是不考慮安全隱患的。不過他們總是說自己的網站是安全的！不要告訴我...你已經通過因特網發送了你的信用卡的卡號了。如果是，你的勇氣可嘉。建言：如果你會法文可以看一下這個網站： http://www.kitetoa.com, 這很值哦。

系統特殊性的考慮

　　我們已經提過系統安全在敵人面前的表現是不一樣的。有些有很好的能力但另一些沒有。有點荒謬的，自由的操作系統是很好的。不同的BSD(OpenBSD, NetBSD,FreeBSD...)，不同的Linux在安全方面走在別的系統的前面。當然，這歸功于自由軟件社區的偉大的工作。別的系統，即使有Unix的標簽的，要差一點的。不是Unix的系統，那很糟糕。

　　所有這里提到的工具都在所有的操作系統里運轉。大多數的專有的Unix系統也可以從中得益。無論如何，這些專有的操作系統大多數都有自己的工具。比如，在Solaris上有ndd and aset。因為傳播的不廣，Sun的系統不是一個很好的安全的典范。

　　aset工具允許提高進入的權限的安全。aset提供３種保護等級：低，中，高。你可以在shell中運行它或者在cron任務中起動它。在運行的網絡中，事情總是變化的，在５pm是可以的在5.30pm是不可以的情形是有的。因此周期性的運行一些命令保持某種平衡的需要是有的。這就是aset由cron管理的原因。它總是每一小時或每３０分鐘，或者你想的任何時間，管理目錄文件的進入權限...

　　ndd，允許改變IP棧的參數。比如它可以隱藏系統的fingerprints。一個被識別出的系統更容易受到攻擊，因為入侵者知道從哪里”下手”會更容易。使用ndd，你可以改變最大段尺寸（MSS）。默認的情況下，Solaris2.6是５３６。命令ndd -set /dev/tcp tcp_mss_def 546,可以使MSS變為546。越高越好（也不能太多）。不過，Nmap可以找到這個弱點（值設的過大）。如果你運行Solaris，你可以自在的使用ndd。這里有很多的可選項：檢查一下man幫助：

　　你可以使用IP Filter，一個包過濾工具。在以下的網址可以找到： ftp://coombs.anu.edu/pub/net/ip-filter.

　　涉及到Irix，情形又有不同！SGI（ex Silicon Graphics）如其名曰，是專用的圖形設計的系統。安全不是它的關注的重點。小心沒大錯，應該強制性地提供工具減少危險。

　　ipfilterd在Irix中的發布中提供，但是在缺省情況下沒有安裝：你應該找到它！ipfilterd當然是個包過濾軟件，這樣你可以拒絕某人的訪問。你可以在一個叫做ipfilterd.conf的文件中設置并且這里還有一點小奇巧。這個文件的字符比較奇特并且它不是空格和空行。如果你想讓一個叫做mars的機器和一個叫做jupiter的機器（是SGI工作站的名子），你需要鍵入以下的命令：

clearcase/" target="_blank" >cccccc border=1>

accept -i ec0 between jupiter mars

　　在這個機器中，文件沒有被列舉的是不允許進入jupiter的。更甚的是：如果你沒有使用systune改變 ipfilterd_inactive_behavior的參數，沒有人能夠進入這臺機器。很有效率，不是嗎？這個參數的默認設為１，并且你應該使用systune -i ipfilterd_inactive_behavior 0 命令把它變成０。

　　另一個盡人皆知的事情是Irix有易個很”好”的易入侵性的東西，它是fam（文件變更監視器）。這個程序有一個很好的特性，在各個后臺程序間通訊。比如，它可以使得文件管理器得到一個很漂亮的圖標。很遺憾地，這里只有一件事情可以做的：關閉它！悲慘吧，但就要這么干。

　　為了結束Unix系統的討論，讓我們提一下QNX，它是很容易受到攻擊的，但是你同樣可以從自由軟件中受益。Mac OS X也提供一些工具。

　　我們必需談論一下在網絡系統中絕對的參照物了：這就是孤獨的NT4.0。維護它的安全簡直是烏托邦的觀點，當然Redmond的頭頭（和其他一些人）可不這么說。使用nessus模擬一次攻擊，結果會使你遭遇到惡夢一般。只要NetBIOS處于激活狀態，nessus會提供給你域中每臺機器名和相應的用戶名，包括管理員。答案是：干掉NetBIOS！對了，我們說過，沒有NetBIOS就沒有網絡...你看著辦吧。

　　nessus會很可愛的告訴你可以在空事務（就是使用空（NULL）用戶名和空（NULL）密碼）中以客戶的身份登錄。刪掉它，那么...怎么辦？怎么成了這個樣子！

　　所以，必需減少進入分區（NTFS）和目錄。對FAT分區來說...沒有辦法。不過，有時你需要使用FAT分區，因為有些軟件在NTFS上不工作。最后，不要用龐大的IIS，特別是ftp服務器。實際上，不要安裝它?，F如今，許多的ISP真是瘋了，他們還敢用這些東西，我們僅僅告誡使用Apache替代它，但是...我們不會在IIS上浪費太多的時間，在這個主題下有很多的文化。

　　事實上，這里有一個辦法使得篩子變成過濾器（就是漏洞小一點?。?。問題是那需要費很多的口舌就是整個雜志也說不完。讓我們只提示其中的要點。這些觀點和自由軟件沒有關聯：我們談論的是微軟世界！第一個建議是使用MSCE（微軟安全配置編輯器），它在SP４中提供并且帶有MMC（微軟管理控制臺）。但是，你要格外地小心！如果你犯了一個錯誤，你就贏了。當然，必需是英語版本。在微軟的世界里，如果你使用非英文的版本，你得到的果子不會很好吃。無論如何，我可警告過你了。接下來，在這些需求中，你必需”安全化”管理員帳號，或者不要激活它?？匆幌聫腟P３中就有的passprop。你可以使用passfiltdll加固密碼而且是要通過注冊（我認為發明它的人真是得了LSD流感...）。干掉那個著名的客戶帳號。它也不是很有用（上面說了），但這只是使得情況不至于太糟而已。不過，你可以通過注冊限制log文件的進入。在"HKEY_LOCAL_MACHINE"中，創建關鍵字 SystemCurrentControlSetServicesEventLogApplication。安全和系統（這兩個會取代應用程序的）。他們的名子是 "RestrictGuestAccess"，其中有REG_SZ 并且它的值是１。你可以使用syskey加密密碼。小心哦，這可是不可逆轉的操作！最后，有一些好消息：你可以限制客戶訪問。再一次，我們使用注冊，還是在 "HKEY_LOCAL_MACHINE"。這次的健稱做 SystemCurrentControlSetControlLsa。名子是 "RestrictAnonymous"，類型是"REG_DWORD" 并且它的值是１。不過，對微軟世界來說是一個諷刺：你會被提醒：這些變更會影響一些網絡服務... 這些事情的要點就是限制訪問某些端口，在配置面板中開啟網絡應用。在TCP/IP屬性中，選擇”高級”和選中”激活安全”框（我認為有這個名子，但是在我家沒有這個東西讓我試試）。在”安全”窗口，選中”Allow only” 并且選擇你想激活的端口。這里，可要小心。你要知道你干的是什么，否則一些服務會不工作的。 有很多的東西要干，不過這些是根本。你想知道更多，可以參觀：sans.org。有成噸的文檔。

事情的不可忍受

　　好，你已做了所有這一切。你運行nessus掃描整個網絡但是你仍然存在安全漏洞。我們不會說他們來自什么地方...我們已經知道！

　　試圖迷惑這些系統替代品。它不去除通過NetBIOS”提供”的漏洞，而是它將限制破壞。 建立子域。作為管理人員不要登錄。

　　打補丁。最后，在被用作網關的Unix機器上掩藏所有這一切。遺憾地，安全的相對論僅僅不來自由Redmond制造的產品。網絡是活的：

　　總有某樣東西在運行。一個好的管理人員是“paranoid”因此經常檢查“固定裝置的總量”。寫腳本使檢查自動化。有規律地檢查SUID與SGID，關鍵的文件，log文件的習慣...為了得到一些更多朋友，鎖住用戶軟驅和CDROM的設備。不要接受未經同意的用戶下載軟件尤其是當這種軟件在微軟世界總是是可執行的。使用郵件過濾系統以防止你的用戶打開Word或者Excel格式的附加文件。是，我知道這么做就像法西斯一樣，但是你能對著宏病毒做什么呢？不要使用諸如outlook的產品。再一次，你必須了解你想要什么！我知道，我所說的是無價值的，但是你能對這種產品談論安全？著名的“我愛你”病毒不能說明任何問題。

　　有關Unix，下載也必須被控制。 校驗偶然尚未被提供。

　　你應該養成一個周期地檢查log文件，腳本和掃描控制你的網絡的習慣。你將注意到：

　　事情變化十分快并且不僅僅是朝著好的方向發展。

　　最后，我們要提到話，就是不忘記備份。 備份的策略沒有變化： 每日，每星期和每月。 Unix機器也會有問題，即使它是不尋常的。同時，有時用戶犯錯誤的而也不是經常的。大多數問題來自負責機器或部門的管理人員：--(

最后，終于完了！

　　如果你看到這一節那可是勇氣可嘉呀。問題是我們僅僅大概瀏閱了整個的主題！安全是沒有終結的并且還不僅僅是網絡。易受攻擊的程序會毀掉一個網絡。一個配置不好的防火墻比沒有安防火墻更糟。每個Unix機器一般都有成千的文件。誰能保證沒有一個是易攻破的呢？誰能想到一個攻擊者可以破解一個１２８位的密碼？你不要被愚弄：他會找到屋子的后門。再說一遍，即使你安裝了所有的安全工具，但是如果你只留了一個小漏洞，那么這個小漏洞就可以導致系統被擊穿。

　　安全可以看成是這樣一種行為：你要緊跟形勢。比如說，周期地瀏閱安全網站，包括你機器的操作系統的網站...比如Sun每個月發布推薦的補丁。SGI每３個月發布Irix的新版本。微軟頻繁地提供服務包和補丁。 Linux發布的各個版本每發現一個易受攻擊點就發布更正。各種BSD系統也是這樣。如果你不使用那些產品連同補丁從硬盤中刪掉就是了。就是這樣子：事情要干的事情列出來會很長很長的?？傊?，這個工作是沒完沒了。

　　最后，讓我再說一遍，我們做的只是使你的系統不太容易受到攻擊。不要期望你能得到一個100%安全的網絡，即使是一段給定的時間（當然你停掉機器不算）。這樣子說，好像對維護系統安全工作不負責似的... 但是它會時刻提醒你。但是不要搞的你的日常生活也是這樣，你旁邊的人比機器更友好一些...

原文轉自：http://www.kjueaiud.com