Bastille Linux:使您的机器更加坚固

问题:当您在一台机器上安装Linux时，假如才能够让您的机器变得更加坚固，以减少被攻击的风险?或，假如您已有相当数量的机器，如何能够在他们身上执行一致性的配置?

　　答案:那当然是Bastille Linux

　　就像他的名字(Bastille Linux可翻译为城堡Linux)相同，Bastille Linux能够帮助您加固您的机器。坚固是增强机器防御攻击能力的过程，通常依靠以下几种手段来实现:

　　l 关闭不必要的服务

　　l 确保只有适当的用户才有执行程式的权限

　　l 配置文档访问的许可限制

　　您可能会问:“为什么说加固机器很重要?我的机器看起来并不会遭到攻击，因为我们只是个小公司(或是个小的非盈利组织等)。”确实，在这种环境下，您的组织看起来并不是攻击者的目标。然而，许多攻击并不是针对特定的目标进行，许多攻击者在攻击时并没有进行过思考，他们只是运行自动化的脚本，找到防御薄弱的机器就实施攻击。

　　实质上，此类攻击通常由一些使用自动化程式的人发起(通常这不复杂，也无需太多的技术知识)，他们使用这些程式扫描一定范围内的 Internet地址。假如您的机器刚好在这个范围内，就变得很脆弱，他将可能被攻击或被破坏。之后您会发现，您现在要进行令人头疼的恢复操作――恢复通常比防御需要花费更多的工作量。因此，加固机器对于任何组织的安全计划来说，都是至关重要的。

　　和您想像的相同，正确的加固一台机器对系统管理员来说，是一项烦琐而又耗费时间的过程。在此过程中，很容易漏掉一个或多个重要步骤，这不但会为机器留下漏洞，还可能会创建一个错误的安全策略，将机器置于风险之中。

　　Bastille Linux使大规模的加固机器成为可能，并且还能够防止遗漏某个步骤的问题。而让加固机器的过程更加有效也是他的功能之一。Bastille Linux通过GUI界面和交互式的处理过程完成这一切。(在http://www.bastille-linux.org/bastille1.jpg 中，您能够看到Bastille Linux的外观截图。)

　　Bastille Linux在加固系统方面能够解决的问题有:

　　File Permissions(文档权限)

　　Account Security(账户安全)

　　Book Security(卷安全)

　　Inetd Security(端口监控程式安全)

　　Miscellaneous Daemons(其他后台进程)

　　Sendmail

　　DNS(域名解析服务)

　　Apache

　　Printing(打印)

　　FTP

　　Firewall(防火墙)

　　假如需要，上述任何的项目都是可用的，但多使用一条，就会增加一份受攻击的机会。Bastille Linux会帮助您处理，决定那种功能是必需的，当然，假如无需某种服务器，他会配置他使之不可用。

　　需要注明的是，一旦使用Bastille对机器加以配置，机器将被漏洞扫描软件，如Nessus探测。漏洞扫描软件将确定保留的服务和存在的端口是否被正确配置，并且是否正确的为软件打上了补丁。

　　Bastille的优势不但仅是局限于一台机器，若是这样，即使是使用Bastille，在配置众多的机器时，还是要耗费大量的时间。同时，总是执行同样重复性的工作，很容易导致粗心的现像产生。虽然Bastille Linux在帮助您防止遗漏一个或多个重要步骤上有很好的优势，但假如是加固大量的机器，还是难保会发生这样的您问题。

　　但是，Bastille Linux还是解决了这一难题，您能够在一台机器上创建一个Bastille Linux的策略文档，然后将其作用在其他任何的机器上面，策略文档能够通过一个交互式的会话自动创建，因此整个过程很简单，并且应用起来也很容易。将其应用的方法是在命令行下输入以下命令:

　　#scp /etc/Bastille/config root@anotherhost:/etc/Bastille

　　ssh root@anotherhost "bastille -b"

　　显然，您必需将上述命令中的“anotherhost”替换为目标机器的名字。同样，Bastille Linux也必需已安装在您想自动配置的机器上。任何事情都不是那么容易的，不是吗?即使您只有另外的一台机器，您也需要如此配置，因为使用 Bastille Linux的这一特点是很没有头脑的。

　　Bastille Linux使用Perl编写，因此扩展起来很容易。许多实际的功能(例如改变文档权限)能够通过简单的声明配置建立，Bastille Linux将这些声明配置作为他配置工作的一部分。

　　假如您对这些有直接的反应，当您意识到此产品对加固机器有很大的好处时，您已在一系列机器上安装了他们，并且不确定该怎么配置他们。您将很高兴的直到，即将到来的新版Bastille Linux将具备审计能力，这将让您很方便的获得已安装Bastille Linux的您的基础设施的信息。

　　简而言之，Bastille Linux是每个系统管理员都应该收藏的安全领袖级工具，他能够让您的生活变得更加容易。