第8章 系统与网络安全当将计算机连接到Internet上的时候,那么计算机就对整个网络开放连接许可 。这在通过网络为用户提供网络服务的同时,也带来了计算机系统会遭受非法使用或破坏的危险 。然而既然要对外提供服务,就只能通过维护和管理来增加安全性,而不能因为害怕风险就不提供网络服务 。因此安全问题是连接到Internet的网络系统需要特别注意的问题之一 。
毫无疑问,FreeBSD是一种具备相当高的安全性的操作系统,提供了各种不同的访问控制、加密和认证等安全特性 。然而,出于使用方便的考虑,FreeBSD并没有将安全问题看作唯一的需求,有些传统Unix提供的服务,虽然会带来一定的安全问题,但也不能简单的屏蔽 。假如需要,可以根据具体情况堵上这些具备轻微危险的漏洞,进一步增强安全性 。
FreeBSD不但能对自己系统提供安全保障,也能用作提供网络安全的工具 。它的网络能力非常强大,能用于设置功能全面的防火墙系统,保障网络内其他计算机系统的安全性 。
网络安全概念
网络安全的问题随着Internet的发展,也越来越受到人们的关注 。这主要原因是由于Internet和Unix是一个开放的系统,所有的使用者都能对系统进行研究并提出问题,这样就针对安全性提出了很多问题 。在Internet上也发生过相当多的安全问题,使得安全问题进一步为大家所关注 。如果基于此就对Internet缺乏信心,也是不必要的,Internet虽然不是一个安全性很高的网络系统,然而也不是象想象的那样不可信赖的,主要是因为Internet的开放性,使得很多安装问题比较公开 。而只要正确使用它,同样也能保证安全性 。
对待安全问题有两种不同的态度,一种为封闭的态度,认为将问题隐藏起来是最好的解决安全问题的办法 。隐藏起来不被发现当然就避免了安全问题,然而人们也没有办法去证明不会有人发现这个问题,或者说保证掌握安全漏洞的人不会出于各种考虑而利用这个安全问题 。很多商业软件都采用这种态度,事实上很多软件本身安全性很低,到了安全专家和攻击者那里,其漏洞就很容易被发现 。另一种更为积极的态度,认为安全问题不应该隐藏起来,只有通过从不了解到了解并解决安全问题的不断的、动态过程,才能真正保证系统的安全性 。由于这种态度,一方面系统的使用者至少可以了解哪些是安全的,哪些存在问题,从而避开问题而不必担心被欺骗,同样采用这种方法开发的软件,其安全漏洞能被很快发行并被纠正,如果一个软件经过了众多Internet使用者的考验,其中不乏专家,使用者就不必担心其中还有十分严重的安全漏洞了 。
Unix用户大部分都是持后一种态度的Internet使用者,不断学习是网络安全的一个独立的、而又非常重要的方面 。尽管网络上的攻击者能够从Internet上获得关于网络安全漏洞的技术方法,同样管理员也能获得这些技术,并能及时弥补漏洞 。事实上很多导致系统漏洞的问题其实是Internet上早以解决的问题,通过参加相关的安全组织或通过网络定期查阅其报告,就能不受这些系统安全漏洞的影响 。
Internet上最著名的一个安全组织是CERT,它提供安全方面的建议,并通过Internet发布报告,这些报告内容包括各种操作系统的问题和漏洞,以及相应的解决办法 。其主页为http://www.cert.org,建议所有关心网络安全的使用者都经常查阅他们提供的资源,从中选择与自己使用的系统相关的内容 。
很多网络安全问题发生的原因不在于入侵者攻击手段的高明,而是由于系统管理员的不称职造成的,而合格的系统管理员能跟踪自己操作系统暴露出来的问题,并根据Internet上的建议堵上这些漏洞,国外的很多公司还聘用专业的网络安全顾问,这些顾问的任务之一就是及时发现系统问题,提示管理员进行系统修正 。
推荐阅读
- FreeBSD如何保存和使用内核更改信息?
- FreeBSD 4.0 Kernel Hacking Guide--i386/i386/m
- FreeBSD 4.0 Kernel Hacking Guide--i386/i386/p
- 40 FreeBSD连载:邮件服务器
- FreeBSD 简易编码
- FreeBSD 4.0 Kernel Hacking Guide--kern/init_m
- 32 FreeBSD连载:系统备份
- FreeBSD 4.0 Kernel Hacking Guide--i386/i386/l
- 39 FreeBSD连载:定义自己的名字服务
- FreeBSD 4.0 Kernel Hacking Guide--vm/vm_init.