【Debian管理员手册】第 14 章 安全

14.1. 定义安全策略
14.2. 防火墙或者包过滤
14.2.1. nftables Behavior
14.2.2. Moving from iptables to nftables
14.2.3. Syntax of nft
14.2.4. 每次启动时加载规则
14.3. 监督:预防,检测,威慑
14.3.1. 使用 logcheck 监视日志
14.3.2. 监视行为
14.3.3. Avoiding Intrusion
14.3.4. 侦测变化
14.3.5. 侦测入侵(IDS/NIDS)
14.4. AppArmor 简介
14.4.1. 原理
14.4.2. Enabling AppArmor and managing AppArmor profiles
14.4.3. 创建新的配置文件
14.5. SELinux 简介
14.5.1. 原理
14.5.2. 设置 SELinux
14.5.3. 管理 SELinux 系统
14.5.4. 适应规则
14.6. 其他安全相关事项
14.6.1. 网页应用程序的内在风险
14.6.2. 知道预期什么
14.6.3. 明智地选择软件
14.6.4. 将机器作为整体管理
14.6.5. 用户是参与者
14.6.6. 物理安全
14.6.7. 法律责任
14.7. 处理被攻陷的机器
14.7.1. 探测并观察黑客入侵
14.7.2. 把服务器下线
14.7.3. 保留所有可以作为证据的东西
14.7.4. 重新安装
14.7.5. 法医分析
14.7.6. 重构攻击场景

一个信息系统根据其使用环境的不同可能具有不同等级的重要性。某些情况下,对公司性命攸关。因此,必须保护其免受各种风险。评估这些风险,定义并执行保护措施总称为“安全过程”。

14.1. 定义安全策略

注意 本章所涉及范围

安全是一个很广泛并且敏感的题目,很难在一个章节的课程中来明确全面地表述。此处只划定几个重点,介绍一些可以用于安全领域的工具和方法。更深层次的读物,作品,书籍比比皆是。一本很好的入门书籍是
Linux 服务器安全(由 O’Reilly 出版)。 “安全”是一个涵盖很宽泛的概念,工具和方法,没有哪个是万用的。在其中做出选择,需要确切的知道你的目标是什么。保护系统从回答几个问题开始。急匆匆的实施随机的工具会把安全风险转移到错误的方向。 因此,首要的事情是确定目标。从下面的问题开始,是逐渐确定目标的好方法:

  • 什么 是要保护的?要保护计算机还是要保护数据,其策略是不同的。如果是后者,还要知道保护哪些数据。
  • 我们试图 防止什么?机密数据泄露?意外数据丢失?服务中断而导致的收入损失?
  • 同样,试图防止 ?防范正常用户的输入和防止有预谋的攻击者,其安全措施是大不相同的。

术语“风险”通常用来涉及这三个因素的综合:保护什么,防止发生什么,谁会让它发生。三个问题的答案就塑造了风险。针对这种风险模型,就可以构建安全策略,并通过具体行动实施策略。

注意 永久质疑

Bruce Schneier,是一个安全事务(不仅仅是计算机安全)方面的世界级专家,曾将安全最重要神秘的面纱概括为一句箴言:“安全是一个过程,而非产品”。需要保护的东西会随着时间而改变。威胁和对付潜在攻击者的方法也是如此。即使安全策略被完美的设计和实施,也不应该躺在功劳簿上。引入了新的风险组件,则必须引入相应的对策。 额外的限制也值得考虑,它们可以限制可用策略的范围。我们想要在多大程度上保护一个系统?这个问题会对实施策略产生重大影响。答案常常仅仅以金钱成本来定义,但是也应该考虑其他因素,例如强加给系统用户的不便或者性能降低程度。 一旦风险成型,就可以考虑开始设计实际的风险策略了。

注意 极端策略

某些情况下,保护系统所要做的行动是极其简单的。 譬如,如果要保护的系统只是一个每天结束时加几个数据的二手电脑,那么不采取特殊措施来保护它也是合理的。系统本身的价值很低。而数据不储存在电脑上,数据的价值几乎没有。渗透到该系统的潜在攻击者只会得到一个笨拙的计算器。保护这样一个系统的成本很可能比破坏导致的成本还要大。 另一方面,我们想最充分的保护机密数据,超过其他任何考虑。这种情况,一种恰当的做法可能是完全焚毁这些数据(安全删除文件,将硬盘粉碎成位元,然后将这些位元溶解到酸中,等等)。如果有额外的需求,数据必须存储以便将来使用(虽然不是马上可用),同时要考虑成本因素,那么可以将这些数据存储在白金合金板上,再存到世界山脉下面的防弹沙坑里,每一个都保密并且有重兵把守… Extreme though these examples may seem, they would, nevertheless, be an adequate response to defined risks, insofar as they are the outcome of a thought process that takes into account the goals to reach and the constraints to fulfill. When coming from a reasoned decision, no security policy is less respectable than any other. 多数情况下,信息系统可以分割成一致独立的子系统。每个子系统有自身的需求和限制,这样可以单独评估每个风险和设计安全策略。一个需要谨记的原则是简短明晰的周界要比漫长而曲折的前沿容易定义。网络结构也应相应设计:敏感服务应集中在少数几个机器上,而且这些机器只能通过极少数检查点访问;保护这些检查点要比隔离所有敏感机器与外部世界简单。在这些点上,网络过滤器(包括防火墙)的作用就显而易见了。过滤器可以用专门的硬件,但是更为简单和复杂的解决方案是使用软件防火墙,例如在 Linux 内核中集成的。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/219699.html<

(0)
管理的头像管理
上一篇2025-04-14 05:48
下一篇 2025-04-14 05:49

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注