Bastille Linux:使你的機器更加堅固

問題:當你在一臺機器上安裝Linux時，如果才能夠讓你的機器變得更加堅固，以減少被攻擊的風險?或者，如果你已經有相當數量的機器，如何能夠在它們身上執行一致性的配置?

　　答案:那當然是Bastille Linux

　　就像它的名字(Bastille Linux可翻譯為城堡Linux)一樣，Bastille Linux能夠幫助你加固你的機器。堅固是增強機器防御攻擊能力的過程，通常依靠以下幾種手段來實現:

　　l 關閉不必要的服務

　　l 保證只有適當的用戶才有執行程序的權限

　　l 設置文件訪問的許可限制

　　您可能會問:“為什么說加固機器非常重要?我的機器看起來并不會遭到攻擊，因為我們只是一個小公司(或者是一個小的非盈利組織等)。”確實，在這種環境下，你的組織看起來并不是攻擊者的目標。然而，許多攻擊并不是針對特定的目標進行，許多攻擊者在攻擊時并沒有進行過思考，它們只是運行自動化的腳本，找到防御薄弱的機器就實施攻擊。

　　實質上，此類攻擊通常由一些使用自動化程序的人發起(通常這不復雜，也不需要太多的技術知識)，它們使用這些程序掃描一定范圍內的 Internet地址。如果你的機器剛好在這個范圍內，就變得非常脆弱，它將可能被攻擊或者被破壞。之后你會發現，你現在要進行令人頭疼的恢復操作――恢復通常比防御需要花費更多的工作量。因此，加固機器對于任何組織的安全計劃來說，都是至關重要的。

　　和你想像的一樣，正確的加固一臺機器對系統管理員來說，是一項煩瑣而又耗費時間的過程。在此過程中，很容易漏掉一個或多個重要步驟，這不僅會為機器留下漏洞，還可能會創建一個錯誤的安全策略，將機器置于風險之中。

　　Bastille Linux使大規模的加固機器成為可能，并且還能夠防止遺漏某個步驟的問題。而讓加固機器的過程更加有效也是它的功能之一。Bastille Linux通過GUI界面和交互式的處理過程完成這一切。(在http://www.bastille-linux.org/bastille1.jpg 中，你能夠看到Bastille Linux的外觀截圖。)

　　Bastille Linux在加固系統方面可以解決的問題有:

　　File Permissions(文件權限)

　　Account Security(賬戶安全)

　　Book Security(卷安全)

　　Inetd Security(端口監視程序安全)

　　Miscellaneous Daemons(其它后臺進程)

　　Sendmail

　　DNS(域名解析服務)

　　Apache

　　Printing(打印)

　　FTP

　　Firewall(防火墻)

　　如果需要，上述所有的項目都是可用的，但多使用一條，就會增加一份受攻擊的機會。Bastille Linux會幫助你處理，決定那種功能是必需的，當然，如果不需要某種服務器，它會配置它使之不可用。

　　需要注明的是，一旦使用Bastille對機器加以配置，機器將被漏洞掃描軟件，如Nessus探測。漏洞掃描軟件將確定保留的服務和存在的端口是否被正確配置，并且是否正確的為軟件打上了補丁。

　　Bastille的優勢不僅僅是局限于一臺機器，若是這樣，即使是使用Bastille，在配置眾多的機器時，還是要耗費大量的時間。同時，總是執行同樣重復性的工作，很容易導致粗心的現像產生。雖然Bastille Linux在幫助你防止遺漏一個或多個重要步驟上有非常好的優勢，但如果是加固大量的機器，還是難保會發生這樣的你問題。

　　不過，Bastille Linux還是解決了這一難題，你能夠在一臺機器上創建一個Bastille Linux的策略文件，然后將其作用在其它所有的機器上面，策略文件可以通過一個交互式的會話自動創建，因此整個過程非常簡單，并且應用起來也很容易。將其應用的方法是在命令行下輸入以下命令:

　　#scp /etc/Bastille/config root@anotherhost:/etc/Bastille

　　ssh root@anotherhost "bastille -b"

　　顯然，你必需將上述命令中的“anotherhost”替換為目標機器的名字。同樣，Bastille Linux也必需已經安裝在你想自動配置的機器上。任何事情都不是那么容易的，不是嗎?即使你只有另外的一臺機器，你也需要如此配置，因為使用 Bastille Linux的這一特點是非常沒有頭腦的。

　　Bastille Linux使用Perl編寫，因此擴展起來非常容易。許多實際的功能(例如改變文件權限)能夠通過簡單的聲明設置建立，Bastille Linux將這些聲明設置作為它配置工作的一部分。

　　如果你對這些有直接的反應，當你意識到此產品對加固機器有很大的好處時，你已經在一系列機器上安裝了它們，并且不確定該怎么設置它們。你將很高興的直到，即將到來的新版Bastille Linux將具有審計能力，這將讓你很方便的獲得已經安裝Bastille Linux的你的基礎設施的信息。

　　簡而言之，Bastille Linux是每個系統管理員都應該收藏的安全領袖級工具，它能夠讓你的生活變得更加容易。