我們知道一家公司的Unix架構(gòu)極有可能是其全部IT問題的最重要的部分。因為它支撐著你的郵件系統(tǒng)、Web服務(wù)器，甚至你的最重要的企業(yè)應(yīng)用。

雖然Unix系統(tǒng)本身是極其安全的操作系統(tǒng)，但在這個惡意代碼和黑客行為十分猖獗的時代，我們絕不可以對Unix架構(gòu)的安全問題掉以輕心。本文將討論任何Unix用戶都應(yīng)該清楚的保障Unix安全的關(guān)鍵方法，籍以引起您對此問題的高度重視。

那么，到底有哪些要素組成了Unix架構(gòu)呢？這個問題難以規(guī)定其標(biāo)準(zhǔn)答案，但總體而言，大多數(shù)公司都有面向客戶或公眾的服務(wù)。這些服務(wù)器是“公用”的服務(wù)器。任何一個提供服務(wù)給外部世界的事物都有其特殊性。

它們是用戶可以登錄的機(jī)器，這些用戶可以是一個合法的ISP賬戶，也有可能是一家公司的開發(fā)團(tuán)隊。我們將這些可被登錄的服務(wù)器稱為“登錄服務(wù)器”，因而須對它們特別對待。還要注意，我們網(wǎng)絡(luò)架構(gòu)中有相當(dāng)多的計算機(jī)是為其它服務(wù)器提供服務(wù)的，這些服務(wù)器只有超級用戶可以訪問。

Unix架構(gòu)公共服務(wù)

首要的問題是，您必須看一看所有的可為外部世界提供服務(wù)的服務(wù)器，并思索自己是否真的需要。通常情況下，它們可以置于防火墻之后，或者放在一個組合式防火墻及代理服務(wù)器之后。

舉例來說，如果你在四個WEB服務(wù)器上運行一個面向客戶端的WEB站點，那么，減少這些服務(wù)器的暴露程度至最少化是可能的。

放置在這些WEB服務(wù)器之前的一個代理服務(wù)器或一對冗余代理服務(wù)器可以接受所有的客戶端連接，然后檢查并清理這些服務(wù)。這就是代理服務(wù)器其中所起的作用。代理服務(wù)器夠減輕后端WEB服務(wù)器的風(fēng)險，而且不受Internet的影響和訪問。

引起安全問題的最經(jīng)常的原因是沒有及時打補丁或者未知的服務(wù)。很長時間以來，已被人們遺忘的WEB服務(wù)器是那種Apache的老版本或者易受攻擊的PHP腳本服務(wù)，因其內(nèi)核已過時。對于災(zāi)難性故障的解決處方也許太普通，不過，如果您的WEB 服務(wù)器隱藏在一個代理服務(wù)器之后，那么幾乎就沒有什么遺忘打補丁或服務(wù)的風(fēng)險。

對于其它服務(wù)也是同樣的情況。許多站點有一些極端的限制，如防火墻管理員必須驗證任何新的網(wǎng)絡(luò)應(yīng)用，并且工作良好。通常情況下，公司網(wǎng)絡(luò)完全開放，其WEB應(yīng)用是不安全的，應(yīng)用程序能與之交互的服務(wù)器常常是無任何理由地可被互聯(lián)網(wǎng)訪問。

Unix架構(gòu)登錄服務(wù)器

遠(yuǎn)程用戶被限制為只能使用給定的界面，如E-MAIL服務(wù)，WEB應(yīng)用或B2B服務(wù)。那些可以訪問系統(tǒng)外殼的本地用戶可謂完全無拘無束。如果你的系統(tǒng)中恰好有一個惡意用戶，除非采取極端的措施，他可對根目錄進(jìn)行訪問。

至于更新問題，特別是那些要求升級后重啟的內(nèi)核的更新，必須在新內(nèi)核的發(fā)布之日應(yīng)用?？傊僮飨到y(tǒng)需要強(qiáng)化其穩(wěn)健性。在設(shè)計架構(gòu)的過程中，必須特別注意確保用戶只能對所指定的區(qū)域訪問。

如果你的網(wǎng)絡(luò)還有一些可對某些機(jī)器的根目錄訪問的開發(fā)人員，那么受到傷害的可能性就會大增加。開發(fā)人員自身成為惡意用戶的可能性也許微乎其微，但絕不能排除其可能性。其實，開發(fā)人員不知不覺安裝的一些怪異的新程序有可能會損害系統(tǒng)。

例如，Slammer 蠕蟲的傳播速度極快，原因在于它在Windows系統(tǒng)中通過網(wǎng)絡(luò)進(jìn)行傳播,該蠕蟲利用Microsoft SQL Server2000的緩沖區(qū)溢出漏洞獲得系統(tǒng)控制權(quán)，并產(chǎn)生大量隨機(jī)IP地址進(jìn)行攻擊,導(dǎo)致蠕蟲的迅速傳播并且形成拒絕服務(wù)攻擊，網(wǎng)絡(luò)帶寬大量地被占用。

Unix架構(gòu)的知識，我們就講解到這里了。

【編輯推薦】

1. Unix系統(tǒng)光景不如以往
2. 我看Unix服務(wù)器之路
3. Unix網(wǎng)絡(luò)的安全性問題
4. Unix系統(tǒng)中知識講解
5. Unix系統(tǒng)創(chuàng)始人介紹