加強操作系統安全的十個建議

zhaoyanmeng

加強操作系統安全的十個建議     無論你現在使用的操作系統是什么，總有一些通用的加強系統安全的建議可以參考。如果你想加固你的系統來阻止未經授權的訪問和不幸的災難的發生，以下預防措施肯定會對你有很大幫助。 　　1、使用安全系數高的密碼 　　提高安全性的最簡單有效的方法之一就是使用一個不會輕易被暴力攻擊所猜到的密碼。 　　什么是暴力攻擊?攻擊者使用一個自動化系統來盡可能快的猜測密碼，以希望不久可以發現正確的密碼。使用包含特殊字符和空格，同時使用大小寫字母，避免使用從字典中能找到的單詞，不要使用純數字密碼，這種密碼破解起來比你使用母親的名字或你的生日作為密碼要困難的多。 　　另外，你要記住，每使你的密碼長度增加一位，就會以倍數級別增加由你的密碼字符所構成的組合。一半來說，小于8個字符的密碼被認為是很容易被破解的?？梢杂?0個、12個字符作為密碼，16個當然更好了。在不會因為過長而難于鍵入的情況下，讓你的密碼盡可能的更長會更加安全。 　　2、做好邊界防護 　　并不是所有的安全問題都發生在系統桌面上。使用外部防火墻路由器來幫助保護你的計算機是一個好想法，哪怕你只有一臺計算機。 　　如果從低端考慮，你可以購買一個寬帶路由器設備，例如從網上就可以購買到的Linksys、D-Link和Netgear路由器等。如果從高端考慮，你可以使用來自諸如思科、Foundry等企業級廠商的可網管交換機、路由器和防火墻等安全設備。當然，你也可以使用預先封裝的防火墻/路由器安裝程序，來自己動手打造自己的防護設備，例如使用m0n0wall和IPCoP。代理服務器、防病毒網關和垃圾郵件過濾網關也都有助于實現非常強大的邊界安全。 　　請記住，通常來說，在安全性方面，可網管交換機比集線器強，而具有地址轉換的路由器要比交換機強，而硬件防火墻是第一選擇。 　　3、升級您的軟件 　　在很多情況下，在安裝部署生產性應用軟件之前，對系統進行補丁測試工作是至關重要的，最終安全補丁必須安裝到你的系統中。如果很長時間沒有進行安全升級，可能會導致你使用的計算機非常容易成為不道德黑客的攻擊目標。因此，不要把軟件安裝在長期沒有進行安全補丁更新的計算機上。 　　同樣的情況也適用于任何基于特征碼的惡意軟件保護工具，諸如防病毒應用程序，如果它不進行及時的更新，從而不能得到當前的惡意軟件特征定義，防護效果會大打折扣。 　　4、關閉沒有使用的服務 　　多數情況下，很多計算機用戶甚至不知道他們的系統上運行著哪些可以通過網絡訪問的服務，這是一個非常危險的情況。 　　Telnet和FTP是兩個常見的問題服務，如果你的計算機不需要運行它們的話，請立即關閉它們。確保你了解每一個運行在你的計算機上的每一個服務究竟是做什么的，并且知道為什么它要運行。 　　在某些情況下，這可能要求你了解哪些服務對你是非常重要的，這樣你才不會犯下諸如在一個微軟Windows計算機上關閉RPC服務這樣的錯誤。不過，關閉你實際不用的服務總是一個正確的想法。 　　5、使用數據加密 　　對于那些有安全意識的計算機用戶或系統管理員來說，有不同級別的數據加密范圍可以使用，根據需要選擇正確級別的加密通常是根據具體情況來決定的。 　　數據加密的范圍很廣，從使用密碼工具來逐一對文件進行加密，到文件系統加密，最后到整個磁盤加密。通常來說，這些加密級別都不會包括對boot分區進行加密，因為那樣需要來自專門硬件的解密幫助，但是如果你的秘密足夠重要而值得花費這部分錢的話，也可以實現這種對整個系統的加密。除了boot分區加密之外，還有許多種解決方案可以滿足每一個加密級別的需要，這其中既包括商業化的專有系統，也包括可以在每一個主流桌面操作系統上進行整盤加密的開源系統。 　　6、通過備份保護你的數據 　　備份你的數據，這是你可以保護自己在面對災難的時候把損失降到最低的重要方法之一。數據冗余策略既可以包括簡單、基本的定期拷貝數據到CD上，也包括復雜的定期自動備份到一個服務器上。 　　對于那些必須保持連續在線服務不宕機的系統來說，RAID可提供自動出錯冗余，以防其中一個磁盤出現故障。 　　諸如rsync和Bacula等免費備份工具可以把任意復雜級別的自動備份方案整合在一起。諸如Subversion之類的版本控制工具可以提供靈活的數據管理，因此你不僅能夠在另一臺計算機上進行備份工作，而且你能夠不用費事的讓多臺計算機的系統可以對同一個數據保持同步。 　　7、加密敏感通信 　　用于保護通信免遭非法的密碼系統是非常常見的。針對電子郵件的支持OpenPGP協議的軟件，針對即時通信客戶端的OffTheRecord插件，還有使用諸如SSH和SSL等安全協議維持通信的加密通道軟件，以及許多其他工具，都可以被用來輕松的確保數據在傳輸過程中不會被威脅。 　　當然，在個人對個人的通信中，有時候很難說服另一方來使用加密軟件來保護通信，但是有的時候，這種保護是非常重要的。 　　8、不要信任外部網絡 　　在一個開放的無線網絡中，例如在你本地具有無線網絡的咖啡店中，這個理念是非常重要的。如果你對安全非常謹慎和足夠警惕的話，沒有理由說在一個咖啡店或一些其他非信任的外部網絡中，你就不能使用這個無線網絡。但是，關鍵是你必須通過自己的系統來確保安全，不要相信外部網絡和自己的私有網絡一樣安全。 　　舉個例子來說，在一個開放的無線網絡中，使用加密措施來保護你的敏感通信是非常必要的，包括在連接到一個網站時，你可能會使用一個登錄會話cookie來自動進行認證，或者輸入一個用戶名和密碼進行認證。還有，確信不要運行那些不是必須的網絡服務，因為如果存在未修補的漏洞的話，它們就可以被利用來威脅你的系統。這個原則適用于諸如NFS或微軟的CIFS之類的網絡文件系統軟件、SSH服務器、活動目錄服務和其他許多可能的服務。 　　從內部和外部兩方面入手檢查你的系統，判斷有什么機會可以被惡意安全破壞者利用來威脅你的計算機的安全，確保這些切入點要盡可能的被關閉。在某些方面，這只是關閉不需要的服務和加密敏感通信這兩種安全建議的延伸，在使用外部網絡的時候，你需要變得更加謹慎。很多時候，要想在一個外部非信任網絡中保護自己，實際上會要求你對系統的安全配置重新設定。 　　9、使用不間斷電源支持 　　如果僅僅是為了在停電的時候不丟失文件，你可能不想去選擇購買UPS。實際上之所以推薦你使用UPS，還有更重要的原因，例如功率調節和避免文件系統損壞。由于這種原因，確保使你的操作系統能夠提醒你它什么時候將關閉，以免當電源用盡的時候你卻不在家中，還要確保確保一個提供功率調節和電池備份的UPS。 　　一個簡單的浪涌保護器還不足以保護你的系統免遭“臟電”的毀壞。記住，對于保護你的硬件和你的數據，UPS都起著非常關鍵的作用。 　　10、監控系統的安全是否被威脅和侵入 　　永遠不要認為：因為你已經采取了一系列安全防護措施，你的系統就一定不會遭到安全破壞者的入侵。你應該搭建起一些類型的監控程序來確?？梢墒录梢匝杆僖鹉愕淖⒁?，并能夠允許你跟蹤判斷是安全入侵還是安全威脅。我們不僅要監控本地網絡，還要進行完整性審核，以及使用一些其他本地系統安全監視技術。 　　根據你使用的操作系統不同，還有很多其他的安全預防措施。有的操作系統因為設計的原因，存在的安全問題要大一些。而有的操作系統可以讓有經驗的系統管理員來大大提高系統安全性。不過，無論你的使用的是像微軟的Windows和蘋果的MacOSX，還是使用的像Linux、FreeBSD等開源操作系統，當你在加固它們的安全的時候，以上建議都是必須牢記心頭的。

山川

牢記心頭

nickel

看過了，還是學習了一遍，不錯