日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

14.1. 定義安全策略

14.2. 防火墻或者包過(guò)濾

14.2.1. nftables Behavior

14.2.2. Moving from iptables to nftables

14.2.3. Syntax of nft

14.2.4. 每次啟動(dòng)時(shí)加載規(guī)則

14.3. 監(jiān)督：預(yù)防，檢測(cè)，威懾

14.3.1. 使用 logcheck 監(jiān)視日志

14.3.2. 監(jiān)視行為

14.3.3. Avoiding Intrusion

14.3.4. 偵測(cè)變化

14.3.5. 偵測(cè)入侵（IDS/NIDS）

14.4. AppArmor 簡(jiǎn)介

14.4.1. 原理

14.4.2. Enabling AppArmor and managing AppArmor profiles

14.4.3. 創(chuàng)建新的配置文件

14.5. SELinux 簡(jiǎn)介

14.5.1. 原理

14.5.2. 設(shè)置 SELinux

14.5.3. 管理 SELinux 系統(tǒng)

14.5.4. 適應(yīng)規(guī)則

14.6. 其他安全相關(guān)事項(xiàng)

14.6.1. 網(wǎng)頁(yè)應(yīng)用程序的內(nèi)在風(fēng)險(xiǎn)

14.6.2. 知道預(yù)期什么

14.6.3. 明智地選擇軟件

14.6.4. 將機(jī)器作為整體管理

14.6.5. 用戶(hù)是參與者

14.6.6. 物理安全

14.6.7. 法律責(zé)任

14.7. 處理被攻陷的機(jī)器

14.7.1. 探測(cè)并觀察黑客入侵

14.7.2. 把服務(wù)器下線

14.7.3. 保留所有可以作為證據(jù)的東西

14.7.4. 重新安裝

14.7.5. 法醫(yī)分析

14.7.6. 重構(gòu)攻擊場(chǎng)景

一個(gè)信息系統(tǒng)根據(jù)其使用環(huán)境的不同可能具有不同等級(jí)的重要性。某些情況下，對(duì)公司性命攸關(guān)。因此，必須保護(hù)其免受各種風(fēng)險(xiǎn)。評(píng)估這些風(fēng)險(xiǎn)，定義并執(zhí)行保護(hù)措施總稱(chēng)為“安全過(guò)程”。

14.1. 定義安全策略

注意 本章所涉及范圍

安全是一個(gè)很廣泛并且敏感的題目，很難在一個(gè)章節(jié)的課程中來(lái)明確全面地表述。此處只劃定幾個(gè)重點(diǎn)，介紹一些可以用于安全領(lǐng)域的工具和方法。更深層次的讀物，作品，書(shū)籍比比皆是。一本很好的入門(mén)書(shū)籍是
Linux 服務(wù)器安全（由 O'Reilly 出版）。 “安全”是一個(gè)涵蓋很寬泛的概念，工具和方法，沒(méi)有哪個(gè)是萬(wàn)用的。在其中做出選擇，需要確切的知道你的目標(biāo)是什么。保護(hù)系統(tǒng)從回答幾個(gè)問(wèn)題開(kāi)始。急匆匆的實(shí)施隨機(jī)的工具會(huì)把安全風(fēng)險(xiǎn)轉(zhuǎn)移到錯(cuò)誤的方向。 因此，首要的事情是確定目標(biāo)。從下面的問(wèn)題開(kāi)始，是逐漸確定目標(biāo)的好方法：

• 什么 是要保護(hù)的？要保護(hù)計(jì)算機(jī)還是要保護(hù)數(shù)據(jù)，其策略是不同的。如果是后者，還要知道保護(hù)哪些數(shù)據(jù)。
• 我們?cè)噲D 防止什么？機(jī)密數(shù)據(jù)泄露？意外數(shù)據(jù)丟失？服務(wù)中斷而導(dǎo)致的收入損失？
• 同樣，試圖防止 誰(shuí)？防范正常用戶(hù)的輸入和防止有預(yù)謀的攻擊者，其安全措施是大不相同的。

術(shù)語(yǔ)“風(fēng)險(xiǎn)”通常用來(lái)涉及這三個(gè)因素的綜合：保護(hù)什么，防止發(fā)生什么，誰(shuí)會(huì)讓它發(fā)生。三個(gè)問(wèn)題的答案就塑造了風(fēng)險(xiǎn)。針對(duì)這種風(fēng)險(xiǎn)模型，就可以構(gòu)建安全策略，并通過(guò)具體行動(dòng)實(shí)施策略。

注意 永久質(zhì)疑

Bruce Schneier，是一個(gè)安全事務(wù)（不僅僅是計(jì)算機(jī)安全）方面的世界級(jí)專(zhuān)家，曾將安全最重要神秘的面紗概括為一句箴言：“安全是一個(gè)過(guò)程，而非產(chǎn)品”。需要保護(hù)的東西會(huì)隨著時(shí)間而改變。威脅和對(duì)付潛在攻擊者的方法也是如此。即使安全策略被完美的設(shè)計(jì)和實(shí)施，也不應(yīng)該躺在功勞簿上。引入了新的風(fēng)險(xiǎn)組件，則必須引入相應(yīng)的對(duì)策。 額外的限制也值得考慮，它們可以限制可用策略的范圍。我們想要在多大程度上保護(hù)一個(gè)系統(tǒng)？這個(gè)問(wèn)題會(huì)對(duì)實(shí)施策略產(chǎn)生重大影響。答案常常僅僅以金錢(qián)成本來(lái)定義，但是也應(yīng)該考慮其他因素，例如強(qiáng)加給系統(tǒng)用戶(hù)的不便或者性能降低程度。 一旦風(fēng)險(xiǎn)成型，就可以考慮開(kāi)始設(shè)計(jì)實(shí)際的風(fēng)險(xiǎn)策略了。

注意 極端策略

某些情況下，保護(hù)系統(tǒng)所要做的行動(dòng)是極其簡(jiǎn)單的。 譬如，如果要保護(hù)的系統(tǒng)只是一個(gè)每天結(jié)束時(shí)加幾個(gè)數(shù)據(jù)的二手電腦，那么不采取特殊措施來(lái)保護(hù)它也是合理的。系統(tǒng)本身的價(jià)值很低。而數(shù)據(jù)不儲(chǔ)存在電腦上，數(shù)據(jù)的價(jià)值幾乎沒(méi)有。滲透到該系統(tǒng)的潛在攻擊者只會(huì)得到一個(gè)笨拙的計(jì)算器。保護(hù)這樣一個(gè)系統(tǒng)的成本很可能比破壞導(dǎo)致的成本還要大。 另一方面，我們想最充分的保護(hù)機(jī)密數(shù)據(jù)，超過(guò)其他任何考慮。這種情況，一種恰當(dāng)?shù)淖龇赡苁峭耆贇н@些數(shù)據(jù)（安全刪除文件，將硬盤(pán)粉碎成位元，然后將這些位元溶解到酸中，等等）。如果有額外的需求，數(shù)據(jù)必須存儲(chǔ)以便將來(lái)使用（雖然不是馬上可用），同時(shí)要考慮成本因素，那么可以將這些數(shù)據(jù)存儲(chǔ)在白金合金板上，再存到世界山脈下面的防彈沙坑里，每一個(gè)都保密并且有重兵把守… Extreme though these examples may seem, they would, nevertheless, be an adequate response to defined risks, insofar as they are the outcome of a thought process that takes into account the goals to reach and the constraints to fulfill. When coming from a reasoned decision, no security policy is less respectable than any other. 多數(shù)情況下，信息系統(tǒng)可以分割成一致獨(dú)立的子系統(tǒng)。每個(gè)子系統(tǒng)有自身的需求和限制，這樣可以單獨(dú)評(píng)估每個(gè)風(fēng)險(xiǎn)和設(shè)計(jì)安全策略。一個(gè)需要謹(jǐn)記的原則是簡(jiǎn)短明晰的周界要比漫長(zhǎng)而曲折的前沿容易定義。網(wǎng)絡(luò)結(jié)構(gòu)也應(yīng)相應(yīng)設(shè)計(jì)：敏感服務(wù)應(yīng)集中在少數(shù)幾個(gè)機(jī)器上，而且這些機(jī)器只能通過(guò)極少數(shù)檢查點(diǎn)訪問(wèn)；保護(hù)這些檢查點(diǎn)要比隔離所有敏感機(jī)器與外部世界簡(jiǎn)單。在這些點(diǎn)上，網(wǎng)絡(luò)過(guò)濾器（包括防火墻）的作用就顯而易見(jiàn)了。過(guò)濾器可以用專(zhuān)門(mén)的硬件，但是更為簡(jiǎn)單和復(fù)雜的解決方案是使用軟件防火墻，例如在 Linux 內(nèi)核中集成的。

分享名稱(chēng)：【Debian管理員手冊(cè)】第?14?章?安全
網(wǎng)頁(yè)網(wǎng)址：http://m.5511xx.com/article/dppodip.html