熟悉我专栏的读者都知道我对安全非常着迷。在本期中，您将读到关于系统和网络安全的内容，但我想要为您提供来自 David 的“福音”。我没有奢侈到可以坐在安静的办公室里思考安全，我只是被期望为我的客户实施一些东西，让他们在不花费大量资金的情况下尽可能地受到保护。我的方法相当简短和简单，但底线是让那些想成为黑客的人去更容易下手的地方。

首先，关闭所有非必要的网络服务（如果不需要 inetd 启动的任何服务，则从 inetd 开始）。使用 netstat -tupan 进行验证。制定非常严格的 /etc/hosts.allow 规则（使用 tcpdchk 和 tcpdmatch 进行验证），并明智地使用 Netfilter 的状态表，拒绝任何未明确允许的内容。

确保所有提供网络服务的程序（Apache、sendmail、wu-ftpd、sshd 等），如果已启用，在更新可用当天进行更新。并且，每天检查日志文件中的异常情况（使用可用程序过滤掉例行消息）。理想情况下，日志应写入非常安全的中央日志服务器。

确保用户密码是安全密码。确保公共网络流量仅通过防火墙路由到不受信任的局域网，并且不允许从 Internet 直接访问受信任的局域网。使用 VPN（FreeS/WAN、OpenSSH），并加密所有可能通过网络传输的内容（FreeS/WAN、OpenSSH、GnuPG）。

永远不要将可以归因于无知的事情归因于恶意。你的用户会不断让你惊讶于他们知道的有多少，或者他们在黑暗中摸索的样子有多像攻击。但那可能不是攻击。

上述方法会有所帮助，但如果没有最后一个要素，它就毫无用处：安全是一种态度，而不是一套程序或用户限制。以身作则，并帮助用户实践良好的安全程序。他们可以是你最大的资产，也可能是你最糟糕的噩梦。如果你虔诚地实践上述方法，你应该不会成为入侵的受害者。但如果真的发生了，请断开网络连接，确定攻击者是如何入侵的（以及其意图是什么），然后重新加载系统，重新检查所有补丁，关上门，让攻击者无法返回（如果可能），然后重新上线。向有关部门报告是好事，但除非他们决定起诉并愿意支付费用，否则不是优先事项。

ProBIND probind.sourceforge.net

我一直在寻找更好的方法来处理 DNS 管理，ProBIND 做得很好，尽管如果您有多个用户仅更新他们的 DNS 服务器，则安全方面有所欠缺。如果用户都受信任，或者只有一个人更新多个区域，它就非常好用。（或者可能我遗漏了什么。）另一个缺点是需要 PHP CGI 模块（独立解释器）。但是，如果您有很多 DNS 区域要处理，我建议仔细看看这个应用程序。要求：MySQL、带有 MySQL 的 PHP（作为模块和独立解释器）、Apache、Perl、Perl 模块 Net::DNS、OpenSSH（可选）。

Tux Paint www.newbreedsoftware.com/tuxpaint

我的孩子们喜欢玩家里的电脑。四岁时，我的两个女儿都会登录、玩游戏，甚至上网（barbie.com 和 cartoonnetwork.com 上有一些很棒的儿童游戏）。但他们喜欢有创造力，这意味着绘画程序。当我想看看这类程序有多好时，我会给我的孩子们看，让他们自己去玩。如果他们下次登录时要求玩，那我就找到了一个好程序。要求：libSDL、libpthread、libSDL_image、libSDL_ttf、libSDL_mixer、libm、libesd（可选）、libdl、libartsc、libX11、libXext、libjpeg、libpng、libz、libtiff、libfreetype、libvorbisfile、libvorbis、libogg、libsmpeg、glibc。

Tux Paint

hdup www.miek.nl/projects/hdup/hdup.shtml

需要定期对您的系统进行一些非专有的备份吗？将备份复制到另一个系统怎么样？也许还可以加密备份？轻松完成。在配置文件中定义特定的备份类型，然后将其作为每月、每周或每日（完整或增量）作业调用。要求：glibc、bash、openssh、mcrypt（可选）。

星云纸牌 nebulacards.sourceforge.net

有人想玩黑桃吗？与真人对战，并用电脑玩家填补空位。其他四人游戏应该很容易实现（红心、桥牌等）。您甚至可以通过小程序提供 Web 界面。要求：Java。

用户友好的 IPTables 防火墙 lug.mfh-iserlohn.de/uif

如果您在创建 iptables 规则时遇到问题，您可能需要查看 UIF。虽然 UIF 实际上并没有为您创建规则，但它可以帮助您创建自己的规则。UIF 的配置文件比 iptables 规则简单，因此您创建配置文件，然后 UIF 根据其稍微易于理解的语法构建规则。让 UIF 记住链或目标是否大写。该程序还处理有状态连接。要求：Perl、Perl 模块 NetAddr::IP、Net::LDAP，当然还有 iptables。

Linux Monitor sourceforge.net/projects/linux-mon

这个实用程序是监控系统关键部分的好方法。如果它发现磁盘分区太满或服务未运行，它将在 syslog 中创建一个条目。Linux Monitor 还可以运行程序；您设置时间间隔，linux_mon 会进行监视。对于大量系统向中央日志记录器报告的情况，此程序可能特别有效。要求：libcrypto、libdl、glibc。

X 下载器 www.krasu.ru/soft/chuchelo

本月从三年前挑选的程序并不容易。它必须来自 Geneweb 和 PortSentry 等条目，这些程序我仍然在使用。我最终选择了 X 下载器，它允许您安排下载在稍后的时间开始。您还可以动态限制下载速度。这些小功能使这个实用程序非常出色，特别是当您的带宽有限时。您还可以下载 FTP 或 HTTP 站点或文件。它的一个限制是它只能在 X 中运行（尽管很少有用户会认为这是一个限制）。要求：libpthread、libglib、libgtk、libgdk、libgmodule、libdl、libXext、libX11、libgdk_pixbuf、libstdc++、libm、glibc。下个月见。