本文提供了 GNU/Linux 系统管理员所面对的安全问题的概览。它涵盖了基本安全理念以及大量关于如何使 GNU/Linux 系统在面对入侵者时更加安全的实例。同时,也提供了关于安全方面的资料和程序的链接。
摘要
以下包括一些计算机安全领域最常用的术语。在 Linux 安全性词典有一个更为广泛的计算机安全性术语词典。
由于其非常脆弱而必需高度保护的一个计算机系统。这通常是因为它暴露于 Internet 并且是内部网络用户联系的主要结点。它的名字来自于中世纪城堡外墙上的加固工事。棱堡了望重要保卫区域,通常具有坚固的围墙、驻扎额外军队的空间、以及偶尔会有用的用来煮沸油脂浇向攻城者的桶。某种程度上契合这里的定义。
常见的编程风格是决不分配足够大的缓冲区,并不检查溢出。当这种缓冲区发生溢出,正在执行的程序(守护程序或是固定用户标识(set-uid)程序)就会被欺骗来作其他事情。通常这是通过改写堆栈上函数的返回地址以指向另一个地方。
IP 欺骗是一个由一些部件构成的复杂的技术性攻击。它是一个通过欺骗受信任连接上的计算机认为您是某个其他人的安全漏洞。在 Phrack 杂志第 48 期第 7 卷上 daemon9、route、和 infinity 撰写了一篇相关深入的论文。
某个设备有选择地控制数据流进出网络的动作。数据包过滤允许或阻止数据包。这通常是在将它们从一个网络路由到另一个(绝大多数发生在从 Internet 到内部网络或是相反)时发生。为完成数据包过滤,您需要指定什么类型的数据包(来自或去到特定 IP 地址或端口)可以被允许而什么类型的要阻止的规则。
代表内部客户端与外部服务器打交道的程序。代理客户端与代理服务器通讯,转发被允许的客户端对实际服务器的请求,并将答复转发回客户端。