当你在一台机器上安装Linux时,如果才能够让你的机器变得更加坚固,以减少被攻击的风险?或者,如果你已经有相当数量的机器,如何能够在它们身上执行一致性的配置?
答案:那当然是Bastille Linux
就像它的名字(Bastille Linux可翻译为城堡Linux)一样,Bastille Linux能够帮助你加固你的机器。坚固是增强机器防御攻击能力的过程,通常依靠以下几种手段来实现:
l 关闭不必要的服务
l 保证只有适当的用户才有执行程序的权限
l 设置文件访问的许可限制
您可能会问:“为什么说加固机器非常重要?我的机器看起来并不会遭到攻击,因为我们只是一个小公司(或者是一个小的非盈利组织等)。”确实,在 这种环境下,你的组织看起来并不是攻击者的目标。然而,许多攻击并不是针对特定的目标进行,许多攻击者在攻击时并没有进行过思考,它们只是运行自动化的脚 本,找到防御薄弱的机器就实施攻击。
实质上,此类攻击通常由一些使用自动化程序的人发起(通常这不复杂,也不需要太多的技术知识),它们使用这些程序扫描一定范围内的 Internet地址。如果你的机器刚好在这个范围内,就变得非常脆弱,它将可能被攻击或者被破坏。之后你会发现,你现在要进行令人头疼的恢复操作――恢 复通常比防御需要花费更多的工作量。因此,加固机器对于任何组织的安全计划来说,都是至关重要的。
和你想像的一样,正确的加固一台机器对系统管理员来说,是一项烦琐而又耗费时间的过程。在此过程中,很容易漏掉一个或多个重要步骤,这不仅会为机器留下漏洞,还可能会创建一个错误的安全策略,将机器置于风险之中。
Bastille Linux使大规模的加固机器成为可能,并且还能够防止遗漏某个步骤的问题。而让加固机器的过程更加有效也是它的功能之一。Bastille Linux通过GUI界面和交互式的处理过程完成这一切。
Bastille Linux在加固系统方面可以解决的问题有:
File Permissions(文件权限)
Account Security(账户安全)
Book Security(卷安全)
Inetd Security(端口监视程序安全)
Miscellaneous Daemons(其它后台进程)
Sendmail
DNS(域名解析服务)
Apache
Printing(打印)
FTP
Firewall(防火墙)
如果需要,上述所有的项目都是可用的,但多使用一条,就会增加一份受攻击的机会。Bastille Linux会帮助你处理,决定那种功能是必需的,当然,如果不需要某种服务器,它会配置它使之不可用。
需要注明的是,一旦使用Bastille对机器加以配置,机器将被漏洞扫描软件,如Nessus探测。漏洞扫描软件将确定保留的服务和存在的端口是否被正确配置,并且是否正确的为软件打上了补丁。
Bastille的优势不仅仅是局限于一台机器,若是这样,即使是使用Bastille,在配置众多的机器时,还是要耗费大量的时间。同时,总 是执行同样重复性的工作,很容易导致粗心的现像产生。虽然Bastille Linux在帮助你防止遗漏一个或多个重要步骤上有非常好的优势,但如果是加固大量的机器,还是难保会发生这样的你问题。
不过,Bastille Linux还是解决了这一难题,你能够在一台机器上创建一个Bastille Linux的策略文件,然后将其作用在其它所有的机器上面,策略文件可以通过一个交互式的会话自动创建,因此整个过程非常简单,并且应用起来也很容易。将 其应用的方法是在命令行下输入以下命令:
#scp /etc/Bastille/config root@anotherhost:/etc/Bastille
ssh root@anotherhost "bastille -b"
显然,你必需将上述命令中的“anotherhost”替换为目标机器的名字。同样,Bastille Linux也必需已经安装在你想自动配置的机器上。任何事情都不是那么容易的,不是吗?即使你只有另外的一台机器,你也需要如此配置,因为使用 Bastille Linux的这一特点是非常没有头脑的。
Bastille Linux使用Perl编写,因此扩展起来非常容易。许多实际的功能(例如改变文件权限)能够通过简单的声明设置建立,Bastille Linux将这些声明设置作为它配置工作的一部分。
如果你对这些有直接的反应,当你意识到此产品对加固机器有很大的好处时,你已经在一系列机器上安装了它们,并且不确定该怎么设置它们。你将很高 兴的直到,即将到来的新版Bastille Linux将具有审计能力,这将让你很方便的获得已经安装Bastille Linux的你的基础设施的信息。
简而言之,Bastille Linux是每个系统管理员都应该收藏的安全领袖级工具,它能够让你的生活变得更加容易。
-
Bastille-Linux(转)[@more@]Bastille-Linux是一款软件,你可以用来管理或者在某些方面保护你新的Linux电脑。它以交互式的方式,创建出安全策略,然后根据将这一策略应用于系统,并对潜在的安全漏洞给出报告。它是一款非常出色的软件,能够帮助你保护你的Linux电脑。 下载地址: http://prdownloads.sourceforge.n ... z2?use_mi
-
今天试了一下bastille,bastille俗称城堡linux,是一个用来加固linux系统安全的软件。最大的优点就是以提问的方式完成一系列的安全设置,而且这个过程中并不需要你懂太多的linux知识。就可以得到一个安全的linux系统。 当然缺点还是有的,由于每个linux系统都会有很大的不同,bastille并不能适应所有的系统。还有由于是自动修改配置,这个过程一旦出现问题,查找起来会
-
http://cio.ctocio.com.cn/linux/380/7620880_1.shtml
-
http://sourceforge.net/projects/bastille-linux/files/bastille-linux/3.0.9/Bastille-3.0.9.tar.bz2/download
-
当前的增删改查,无论登陆与否都可以操作,实在太不靠谱了,所以,还是加个检查吧. 判断用户登陆 UserModule添加一个注解 @Filters(@By(type=CheckSession.class, args={"me", "/"})) 含义是,如果当前Session没有带me这个attr,就跳转到/页面,即首页. 同时,为login方法设置为空的过滤器,不然就没法登陆了 @Filters(
-
{info} EasyWeChat 4.0.7+ 获取 RSA 公钥 $result = $app->security->getPublicKey(); // 存成文件 file_put_contents('./public.pem', $result); 将会得到 PKCS#1 格式密钥: -----BEGIN RSA PUBLIC KEY----- MIIBCgKCAQEArT82k67
-
本文向大家介绍关于加强MYSQL安全的几点建议,包括了关于加强MYSQL安全的几点建议的使用技巧和注意事项,需要的朋友参考一下 通常我们在连接MySQL的服务器时,要使用到口令。这个口令在网络上传输的时候是加过密的。可是其它的内容都是以明文的方式来进行传输的。 当然如果担心这个不安全的话,可以使用压缩协议(MySQL3.22和以上版本),这样可以让其它的内容不那么容易就被看到。甚至为了让它更加安全
-
在Linux中,有大量的免费工具可帮助我们检测安全问题和解决安全问题。下面介绍一些常用的网络安全工具。 netcat 通过TCP/UDP建立各种网络连接。 nmap 著名的网络扫描和检测工具 snort IDS tcpdump 数据包抓取工具。 httptunnel 可穿透防火墙在两台机器上通过HTTP协议创建连接。 swatch 实时的日志监控工具,可定义日志事件的触发规则把日志信息及时反馈到系
-
当你的网站上了 HTTPS 以后,可否觉得网站已经安全了?这里 提供了一个 HTTPS 是否安全的检测工具,你可以试试。 本篇正文讲述的是 HTTP 安全的最佳实践,着重在于 HTTPS 网站的 Header 的相关配置。 1 连接安全性和加密 1.1 SSL/TLS 传输层安全(TLS)及其前身安全套接字层(SSL),通过在浏览器和 web 服务器之间提供端到端加密来促进机密通信。没有 TLS,
-
无论是开发Web应用的开发者还是企图利用Web应用漏洞的攻击者,对于Web程序安全这个话题都给予了越来越多的关注。特别是最近CSDN密码泄露事件,更是让我们对Web安全这个话题更加重视,所有人都谈密码色变,都开始检测自己的系统是否存在漏洞。那么我们作为一名Go程序的开发者,一定也需要知道我们的应用程序随时会成为众多攻击者的目标,并提前做好防范的准备。 很多Web应用程序中的安全问题都是由于轻信了第
-
常见的安全误区 黑客、网络安全只存在于虚拟世界 如果我说以后黑客不但可以控制你的汽车开窗、刹车,甚至还能远程“强奸”,你信吗? 许多初创公司,有基于互联网的Sex应用。杜蕾斯公司也有一款Sex over Internet产品叫做Fundawear。如果这个产品出了安全问题或者协议缺陷,被黑客劫持了连接,实现中间人攻击,会出现什么样的后果? 360公司最近发现了时下最火的电动汽车Tesla Mode
-
因此,作为一个初学者,我曾尝试使用spring boot 2.2.11、spring security、thymeleaf和json web令牌创建一个ecommmerce网站,我的问题是,当用户对模板进行身份验证时,即使我在模板中放置了thymeleaf的isAnonyms和IsAuthentificated标记,模板也没有更改。 我有两个问题: 1-/如何告诉所有控制器用户已经登录? 2-/如