关于本指南 #
《SUSE Linux Enterprise Server 强化指南》涉及安装和设置安全 SUSE Linux Enterprise Server 的特定事项,以及进一步保护和强化该安装所需的额外安装后过程。最适合在安装期间以及安装后对服务器应用安全和强化元素和过程,其目的在于提高系统适用性以满足管理员要求。
本指南支持管理员做出与安全有关的选择和决策。应将各个步骤和过程视为建议,而非需严格遵守的规则。通常,您将需要自行评估您组织措施的有用性。
最终目标是提升系统的安全价值。有关安全术语含义的定义各不相同,但我们要确定一种简单且抽象的定义:
一个良好的系统应是可执行预期操作且操作有效的系统。
一个安全的系统应是不执行任何其他操作的良好系统。
本指南的重点在于“不执行任何其他操作”。Linux 系统就是按此标准构建的,并强制执行安全策略。这些策略包含下列概念(仅包含相当常见的概念并非完整列表):
DAC(自主访问控制):由
chmod和chown设置的文件和目录权限。特权端口:TCP 和 UDP 端口 0-1023,且原始套接字只能由
root用户使用。其他特权操作:装载内核模块、配置网络接口、Linux 内核的所有安全相关设置。这些操作只能由 root 用户(用户 ID 为 0)或拥有必要权限的任何其他进程来执行。
攻击系统即表示尝试越过特权边界,例如通过规避或破坏特权边界的方式。这意味着系统管理员或程序员未曾预料到此种情况。
强化系统意即通过减少系统暴露给攻击者的区域(通常称为攻击面),来提高防御门槛。强化的系统还可以提供各种措施,以便在有不得不暴露给潜在攻击者的系统漏洞时,可降低其影响。
安全与决策相关,一旦安全与功能之间(明显)产生冲突,将由这些决策进行权衡。虽然可以认为所有系统都应尽可能设置得安全,但在某些情况下,一些安全和强化级别可能就太小题大做了。每个系统的操作环境有其各自的安全要求,这些要求源自业务驱动因素或合规要求。例如,可将 SUSE Linux Enterprise Server 配置为符合 SOX、HIPAA 和 PCIDSS 等安全标准。还可将其设置为满足德国联邦信息安全局 (Bundesamt für Sicherheit in der Informationstechnik) 的要求,如 BSI TR-02102-1 中所述。应执行有效的业务要求分析,以确定要对服务器应用或定义为基线服务器构建一部分的恰当安全和强化级别。
我们最后要强调的一点是:您可能会在合规框架中遇到无关技术或并非出于提高安全性目的的个别要求。只实施所需的操作可能会是一种卓有成效的态度,而一旦与安全相抵触,相较于盲目遵守规范,本文中的讨论更多是出于您合规框架的总体目标。我们鼓励您对列表中认为适得其反的项目提出异议。
1 假设和范围 #
本文档通常旨在为单台服务器目标或主机提供参考,但适用范围一般亦可涵盖多台计算机。我们通常假设安全目标可涵盖运行 SUSE Linux Enterprise Server 的一个或多个系统。
对于系统所连接网络的敌对性,或使用系统所提供服务的用户的合作性质,我们明确不做任何假设。
同时,这意味着您在通读本文档时,需自行部分定义您的上下文。您将需要扩展各个部分的含义,使其适合您的环境。在某些情况下(例如暴露在因特网上的服务器用例),本文档可能不充分或不完全,但它仍不失为一个可以帮助您提高置信度,确信系统会如您所希望的那样运作的良好起点。
关于信任:信任关系存在于参与网络交易的所有系统之间。因此,使用系统的用户之间的信任关系就会在这些系统之间传输。由信任关系构成的信任链的强度仅取决于最弱的环节。较好的做法是通过图形方式(图表式概览或网络分布图)直观显示与服务之间的信任关系。一般由资源拥有者强制执行施加在该资源上的策略;通常是提供资源的服务器。打开连接以请求资源的客户端只能负责其所执行的操作。此类操作指的是打开连接以开始执行的操作,但不包括其他操作。
恶意用户都是一些特殊且唯一的个例:人力资源部门或许可以解决您计算环境中的一些安全问题;此外,还可以采取一些技术措施。如果您需要解决缺少人力资源部门(以及管理层)支持的问题,请确保您环境中的必要监管满足您的需求,且会为您的意愿提供支持而非制造阻碍。
拥有系统管理特权的人员会被自动视为可信人员。
不具有任何其他安全框架(例如 SELinux)的 Linux 系统是一种单级别安全系统:即从安全策略角度来说,就是只有超级用户 (root) 和非特权用户。系统用户即为有权出于其特定目的而访问相关文件的非 root 用户身份。这种简单的划分使得管理责任分离变得复杂。一些工具可提供帮助:使用 sudo(8) 执行管理任务,但应注意,在越过特权边界之后,以 root 特权运行的程序将不再针对非特权用户强制执行任何文件访问策略。以 root 身份运行的 vi(1) 可读取和写入系统中的任何文件。
另一款工具 NetIQ 的 Privileged User Manager 产品可降低滥用或意外误用管理特权风险。可从下列网址获取更多信息:
服务器的物理安全是本文中的另一项假设,即服务器所在位置受到安全保护,不会被窃取或由未经授权的人员操作。安全专家中普遍存在一种冷静解决方案,就是“十秒钟拒绝服务”,即拔出电线并重引导服务器。必须确保物理安全且物理访问必须受控。否则,有关这些系统最小可用性的所有假设都将无效。
通常鼓励使用加密法保护与您系统提供的服务进行交易的机密性。实施加密增强功能的需求在很大程度上取决于所有参与系统的操作环境。请注意,您需要确认加密法能为您的所有服务提供所有可能的安全保障,并确认无法通过开启服务的“加密”选项(如果您所在环境可以轻松通过勾选按钮获取加密)自动提供这些安全保障。
- 机密性
防止读取交易内容
- 隐私
防止知悉交易存在以及其可能具有的一些属性,例如大小、相关方的身份及他们的存在等。
- 完整性
防止更改内容。请注意,加密法不会自动提供此类保护。
- 真实性
防止身份欺诈。不知道参与实体身份的加密法无法提供此价值。
请注意,以机密性为目的的数据加密只能将要保护数据的大小从实际大小减少到用于加密数据的密钥大小。这将导致出现已加密交易的密钥交换问题,并且对于已加密数据储存而言,将导致出现密钥管理问题。由于要以明文处理数据(通常存在例外!),您需要在处理数据时解锁保险库。在文件系统或块设备层上加密此类数据有助于防止系统被盗,但此措施对于系统运行时的数据机密性并无任何帮助。
如果您要实施涵盖网络上多台主机的一致性安全策略,则组织过程必须确保所有这些主机都可信任并使用强制执行组织范围安全策略的兼容安全配置进行了配置。只需隔离维护同一信任域中数据的系统组,便足以实现控制;最后,对于最终用户和其他系统,需要仔细设计、配置、检查和监视这些系统的访问控制。
数据的受信任程度可仅与来源域相关。如果数据离开可在其中强制执行安全策略的域,则将与目标域的信任关联。
要查看有关安全的行业最佳实践、良好安全流程的开发、控制、开发、审核、审计做法以及事件管理,请参见公共 RFC(征求意见文档)。RFC 2196 是由全球社区和个人安全和流程专家不断完善的文档。您可以在此处在线查看该文档:http://www.faqs.org/rfcs/rfc2196.html。RFC 是一个开放的动态文档,邀请他人提供意见和评论。欢迎提供增强和改进意见;您将在文档中找到向何处发送这些建议的说明。
本指南为如何设置和安全地安装 SUSE Linux Enterprise Server 提供了初步的指导,但它并不是系统管理员了解如何安全地操作 Linux 所需的唯一信息。本指南中假设读者已知道并了解一般的操作安全原则,尤其是 Linux 管理命令和配置选项。
2 本指南的内容 #
第 1 章 “通用准则”包含通用准则和 SUSE Linux Enterprise Server 的参考。第 2 章 “Linux 安全和服务保护方法”包含更多一般系统安全和服务保护方案。
3 可用文档 #
我们的产品文档可从 https://documentation.suse.com/ 获取,您也可以在此处找到最新更新,以及浏览或下载各种格式的文档。最新的文档更新通常会在文档的英文版中提供。
针对本产品提供的文档如下:
- 安装快速入门
本《快速入门》引导您逐步完成安装 SUSE® Linux Enterprise Server 15 SP2 的过程。
- 部署指南
此指南详细介绍如何安装单个或多个系统,以及如何利用产品继承功能部署基础结构。从各种方法中选择:从物理安装媒体进行本地安装;自定义标准安装映像;网络安装服务器;使用远程控制的高度自定义的自动化安装过程进行大规模部署;及初始系统配置。
- 管理指南
讲述系统管理任务,如维护、监视和自定义初始安装的系统。
- 虚拟化指南
概述虚拟化技术,并介绍虚拟化的统一接口 libvirt,以及有关特定超级管理程序的详细信息。
- 储存管理指南
提供有关如何在 SUSE Linux Enterprise Server 上管理储存设备的信息。
- AutoYaST 指南
AutoYaST 系统使用包含安装和配置数据的 AutoYaST 配置文件,让您以无人照管方式批量部署 SUSE Linux Enterprise Server 系统。该手册将引导您完成自动安装的基本步骤,包括准备、安装和配置。
- 安全指南
介绍系统安全的基本概念,包括本地安全方面和网络安全方面。说明如何使用产品固有的安全软件(例如 AppArmor),或者能够可靠收集有关任何安全相关事件的信息的审核系统。
- 强化指南
处理安装和设置安全 SUSE Linux Enterprise Server 的特定事项以及进一步确保和强化安装所需的额外安装后步骤。支持管理员选择与安全相关的选项并做出决策。
- 系统分析和微调指南
关于问题检测、解决和优化的管理员指南。了解如何使用监视工具检查和优化系统以及如何有效管理资源。还包含常见问题和解决方法的概述以及其他帮助和文档资源。
- RMT 指南
订阅管理工具管理员指南。订阅管理工具是用于 SUSE Customer Center 并包含储存库和注册目标的代理系统。了解如何安装和配置本地 SMT 服务器、镜像和管理储存库、管理客户端计算机,以及配置客户端以使用 SMT。
- GNOME 用户指南
介绍 SUSE Linux Enterprise Server 的 GNOME 桌面。指导您使用和配置桌面并帮助您执行关键任务。它主要面向想要有效使用 GNOME 作为其默认桌面的最终用户。
https://www.suse.com/releasenotes/ 上提供了本产品的发行说明。
4 提供反馈 #
欢迎您提供针对本文档的反馈及改进建议!我们提供了多种反馈渠道:
- 服务请求和支持
有关产品可用的服务和支持选项,请参见 https://www.suse.com/support/。
要创建服务请求,需在 SUSE Customer Center 中获取一个订阅。请转到 https://scc.suse.com/support/requests 并登录,然后单击。
- Bug 报告
在 https://bugzilla.suse.com/ 中报告文档问题。要简化此过程,可以使用本文档 HTML 版本中的标题旁边的 链接。这样,就会在 Bugzilla 中预先选择正确的产品和类别,并添加当前章节的链接。然后,您便可以立即开始键入 Bug 报告。需要一个 Bugzilla 帐户。
- 贡献
要帮助改进本文档,请使用本文档 HTML 版本中的标题旁边的链接。这些链接会将您转到 GitHub 上的源代码,在其中可以创建拉取请求。需要一个 GitHub 帐户。
有关本文档使用的文档环境的详细信息,请参见储存库的 README。
- 邮件
另外,您也可以将有关本文档中的错误以及相关反馈发送至:<doc-team@suse.com>。请确保反馈中含有文档标题、产品版本和文档发布日期。请引用相关的章节号和标题(或者包含 URL),并提供问题的简要说明。
5 文档约定 #
本文档中使用了以下通知和排版约定:
/etc/passwd:目录名称和文件名PLACEHOLDER:PLACEHOLDER 将会替换为实际的值
PATH:环境变量 PATHls、--help:命令、选项和参数user:用户和组package name: 软件包名称
Alt、Alt–F1:按键或组合键;这些键以大写形式显示,如在键盘上一样
、 › :菜单项,按钮
AMD/Intel 本段内容仅与 AMD64/Intel 64 体系结构相关。箭头标记文本块的开始位置和结束位置。
IBM Z, POWER 本段内容仅与
IBM Z和POWER体系结构相关。箭头标记文本块的开始位置和结束位置。跳舞的企鹅(企鹅一章,↑其他手册):此内容参见自其他手册中的一章。
必须使用
root特权运行的命令。您往往还可以在这些命令前加上sudo命令,以非特权用户身份来运行它们。root #commandtux >sudocommand可以由非特权用户运行的命令。
tux >command注意
警告:警告通知在继续操作之前,您必须了解的不可或缺的信息。向您指出有关安全问题、潜在数据丢失、硬件损害或物理危害的警告。
重要:重要通知在继续操作之前,您必须了解的重要信息。
注意:注意通知额外信息,例如有关软件版本差异的信息。
提示:提示通知有用信息,例如指导方针或实用性建议。