【51CTO.com獨家特稿】隨著Linux應用升溫，企業對Linux服務器安全更加關注，為了讓廣大網友對Linux服務器的安全策略有更加直觀和全面的認識，我們邀請到著名Linux專家曹江華做客51CTO.com，解答大家關于Linux服務器安全策略方面的問題。

曹江華簡介：畢業于工科大學機電一體化專業，從事CAD設計。后從事小型數據庫的應用。1999年開始從事構建網絡、管理維護、數據庫管理工作。1999年后開始接觸LINUX，將工作中的經驗總結后:在51CTO、計算機世界、IBM開發者、中國計算機報、IT168、<<網管員世界>>、上先后發表計算機Linux網絡構建維護和安全的文章300多篇，290萬字，已出版《Linux服務器安全策略詳解》，《Linux服務器安全策略詳解》（第二版），《Red Hat Enterprise Linux 5.0服務器構建與故障排除》，《Linux系統最佳實踐工具：命令行技術》四本堪稱Linux系統管理員日常工具書的熱銷圖書，目前關注開放系統和網絡安全。

2009年7月8日下午兩點，曹江華與網友進行了近兩個小時的熱烈互動。以下為聊天實錄，51CTO略有整理。

話題一：《Linux服務器安全策略詳解》 第二版與第一版有哪些區別？

曹江華: Linux服務器不管在全球還是在中國的大概比例就是20%到30%的比例，因為不同單位，統計不一樣。圖書是學習一個重要的途徑，但是中文圖書在2007年之前沒有我們自己的原創的書。那么實際上這樣的書有三本。有一個Linux黑客防范，是2000年出版的，基本還是很少，是基于的2.2內核；Linux黑客大曝光是相對比較好的書，但是偏早的一些出版年限。截至2007年我寫這本書之前，全球包括所有語言出版Linux書是25本，其中英文版是19左右，還有其他法文，俄羅斯文，大家能拿到這個書能夠看懂的人也不多。當初跟電子出版社準備自己寫一本關于Linux的書，畢竟是我第一次單獨完成的書，以前也出過一些書是跟別人合作的。第一版寫的時候廣大讀者還是給予了一定關注，但是從2007年到08年的年底，在出第二版以前也接收到一些反饋，有的讀者說你沒有寫的數據庫安全，還有應用不多的服務器不能沒有必要寫了，第二版我增加了一些內容，又刪除了一些內容，為了保證書的厚度，不至于書太厚，書太厚成本會比較貴，第二版首先講兩大開源數據庫。有的讀者會說還有其他的，像其他的像甲骨文數據庫也可以在Linux跑為什么沒有寫，這些數據庫其他的三個基本還是屬于商業數據庫，因為商業數據庫獲取安全策略還是找廠商比較合適，開源數據庫更基于系統感覺員自己做的。所以主要講的是開源的部分，還有關于Linux無線網絡的安全策略，在第二版里面有，還有一個就是Linux內核安全審計，以及SELinux這個在國內也是沒有書專門介紹，只是51CTO.COM上有一個作者翻譯了一本，在第一版我用了20%篇幅介紹了Linux命令，現在已經有我就刪除了，第二本書大概刪除內容有25%，第二和第一大概有50%的差距，還有讀者會關注到集群，儲存也沒有介紹。那么如果感興趣可以看《網管員必讀 故障排除》那本書。如果說都加到一本書，書會非常厚，實際上這個書的價格已經不便宜了，我這里只是作者，定價還是在出版社。

主持人：曹江華老師不僅向我們介紹了兩版圖書的區別，也介紹了Linux現狀不容樂觀，在新書中針對不同服務器有非常詳細的介紹，請曹江華老師介紹一下，我們針對不同服務器在安全策略方面應該做哪些準備。

曹江華：Linux首先你要看擅長就是在單一領域，單一基礎領域服務器，像DNS，基本上全世界都是BIND，它應用主要Apache服務器，防火墻，文件服務器，這個是它擅長的領域，Linux現在不擅長一些什么，就是一些交叉應用還是不擅長，它擅長是高性能計算，比如說計算機密集應用，數據分析，建模還有一些數據庫，我感覺你把Linux拿過來做服務器，在它身上不要集成過多的應用。因為這個東西比如說從安全策略說，FTP就不能太高，方便大家存儲一些東西。還有不同服務器安全策略，Linux畢竟跟UINX轉變過來，我的安全盡量做單一的應用，不要把所有的雞蛋都放在一個籃子里面。

主持人：對Apache加固有什么建議？

曹江華：還是從最簡單，是Apache配置文件，要理解HTTP，理解這個文件。說到Apache有什么可以加固方法很多，第二種就是說selinux現在也可以保護Apache，還有其他一些模塊可以防蠕蟲，這些模塊都可以編譯進去。專門在Apache英文版手冊也幾十個針對不同攻擊的模塊，盡量自己安排，我這個系統經常受到蠕蟲我就把這個編進去，如果有人經常對我搗亂我就把這個模塊編進去。 介紹Apache安全的書很多，上面提到的那本英文Linux安全書，將近1/3的是介紹Apache。剛才講了不同服務器對安全策略是不一樣，在局域網把這三個服務器集成在一起是比較好，三個服務器安全性能要求不高，放在一起，把低風險放在一起，不要說這服務器又有高風險又有低風險，這個管理員就很難管理。上面只是有一些建議，但是從根本上防止安全還是說第一條就是DNS是BIND服務器，就是你必須要對配制文件，首先第一DNS服務配制文件一定要完整，不是說我DNS可以運轉就可以了，一定要配制沒有任何錯誤，要完整。配制服務器不是說這個可以運轉就完了，一定要建立一個完整的DNS服務器，DNS服務器所有配置文件一定要保持正確，不是其中一個要正確，是所有文件要正確，沒有錯誤，這個東西黑客攻擊就不容易，要盡量做到沒有漏洞。雖然說紅帽對DNS提供了一個界面，我推薦大家不要用，其實要配置對、配置完了，是比較安全的。還有一個DNS出現故障要盡快排除，有故障的DNS服務是很容易的攻擊的。

主持人： 是DNS做成集群嗎？

曹江華： 是負載均衡，日常維護DNS服務器，書里面講得很詳細了，以下就是一些技術參數，有一些版本號，控制區域傳輸，要關注DNS日志 系統管理員要經常看日志，有的人根本不管。 然后就是負載均衡，防火墻都是所要有的。

#p#

主持人：Linux安全出現問題一般會出現在哪些方面，比如說桌面，服務您可以說一些例子。

曹江華：出現安全問題很多了，每個人可能都是不一樣的，但是我覺得常見的問題是說很多人習慣不好，從Windows帶過來一些習慣，比如說從服務項目上，越方便越好，把所有服務打開。但是Linux服務器上不一樣，你要根據自己的系統做什么，開始服務。有的人圖方便，安裝軟件什么都裝，裝得大而全，Linux要小而精，對于初學者對于二進制代碼可能比較麻煩，這個你要找一個平衡點，你要選擇安全就要犧牲一些應用性。

主持人：我們說一下數據庫，現在有兩大數據庫一個是MYSQL和PostgreSQL。能請曹老師介紹一下這些數據庫的安全防范嗎？

曹江華： MYSQL在開源數據庫可以說是老大了，它自己經過很多滄桑。MYSQL數據庫的安全，大家第一步就是基本安裝怎么使用，主要MYSQL首先還是了解MYSQL體系結構，是數據庫里面表是怎么樣，但是MYSQL有一個跨平臺性，可以在Windows下面跑，Linux也可以。我主要講在Linux下面的，首先第一個除了正常使用的話，就是MYSQL第一個是用戶管理，然后MYSQL有日志，對日志也是一個很重要，要關注日志，然后MYSQL服務器備份和恢復也是非常重要，牽扯到數據庫要到說到備份。

主持人：做成陣列來備份好一點嗎？

曹江華：不是，通過服務器可以備份到別人的機器上。還有一些MYSQL自己的實時的備份。這個備份一是外部備份，這個備份不像以前操作命令。這個只是做備份，效率會非常高，越是功能單一是性能高，也不會出現一些錯誤，越簡單的東西可靠性越高，跟汽車一樣，汽車零件非常多，出毛病的可能性非常大，自行車就那么幾個零件就不容易出問題。第二就是你必須要了解作為MYSQL管理員，前面了解MYSQL各種版本有哪些漏洞。我總結一下，從發布到現在所有的漏洞要檢查，對應的版本，因為每個人用的版本是不一樣的。這個不能說大家都用最新的的版本。

主持人： 現在有人說MYSQL5.1沒有5.0的安全，您怎么看。

曹江華：這個我覺得不一定說到具體某一個版本，實際上管理員要了解，特別是管理多個數據庫，我們已經總結過，有43個MYSQL重要的安全漏洞。從發布時間，從02到09年3月3日為止，從3.23到現在5.131。可以說比較大會對MYSQL產生漏洞，我都已經做了一個總結，我會告訴你，它的漏洞是風險等級高還是低，還有評分。你可以對應你自己的到底有哪個漏洞，包括這個漏洞怎么補，在這個書里面也講了一些。我講43個是對大家危害比較大，總數的話應該是在200多個，還有不少小的漏洞。下一步部分就是MYSQL要對它進行安全審計，剛才講到漏洞你作為MYSQL感覺員要經常了解MYSQL的安全信息，還有最主要現在最新出了一個版本，這個是MYSQL一個軟件，就是一個軟件，可以你發現MYSQL漏洞，在這個軟件會告訴你哪些表被改動了。

主持人：有一些重要操作改管理員密碼一定會顯示出來。

曹江華： 對，如果是你改沒有問題，如果不是可以查防火墻，如果是你自己改就無所謂。我感覺PostgreSQL的安全性能比MYSQL好一點，因為這個數據庫設計比MYSQL好，前一部分日常操作要保持正確，備份這個跟MYSQL是一樣的。還有關注一下PostgreSQL雖然也有一定漏洞，可能在主流數據庫是最少，相對于所有數據庫，如果說這個數據庫是你自己研發根本沒有人知道，在市面上跑的主流數據庫，第二就是說訪問控制要注意，主要是通過安全鏈接，認證，還有保護服務器在書里面講得很詳細了。

主持人：到現在發現多少漏洞？

曹江華： 56個，有一個截止日期，最近幾個月有沒有新的，大家可以再查一查，如果是管理安全可以對COE不陌生，這是一個全球的公共漏洞庫，里面有各種數據，包括WEB服務系，自己可以看一下。

#p#

主持人： 我們關注一下SELinux和Linux的內核安全審計的作用

曹江華： SELinux很多國內用戶可能覺得比較麻煩，很多在故障排除第一步先說把這個關掉。selinux就是美國國家安全局的一個項目，具體我感覺就是selinux實際上把安全策略進行了一些分解。它的對于MAC控制訪問更徹底，普通Linux跟selinux控制訪問也有些不同。我主要還是講selinux配置過程中，應該說比較麻煩的，原因就是說打開以后，WEB服務器就不正常，這個沒有辦法，安全性和應用性就是這種矛盾的，只能尋找一定的安全中間點。如果說你用selinux保護WEB服務器是比較適合，比如說用局域網服務器。我以前說的不同服務器的保護等級不一樣的，最好不要所有服務器都設定一個安全等級。但是對WEB服務器，要放到互聯網上，WEB服務器一般都是放在互聯網這個時候一定要selinux，比如說自己局域網可以考慮有一些時候可以不用。
曹江華 在RHEL 4.0里面，它的操作比較簡單，在RHEL 5里面有進入了selinux故障排除器，就是說裝了XLinux某一個訪問不正常，可以通過一個工具找到原因，在哪堵住了，但是在RHEL 4.0就沒有了，要評經驗判斷， RHEL 5就正式了這個問題，你要大家用selinux以后，大家都跑不了，RHEL 5就提供了這樣一個工具，告訴你故障在哪，它會告訴你在哪，方便你排除故障。

主持人：有一個網友問關于vsftp搭建ftp的問題。

曹江華： 第一就是說VSFTP服務器還是第一項，要保證配制文件要正確，如果配制文件不正確，不允許匿名訪問，你給配成可以就不安全了，第二要分析安裝對服務器分析日志文件，第三還有一個一定要加入磁盤內容，不能讓磁盤濫用，還有一個現在有好幾個FTP服務器是通過密碼和口令訪問，現在存在很多對它暴力破解的問題，現在有一些工具，這個軟件可以防御這個，像銀行一樣，插到一個銀行卡，銀行不會允許你老拆，這個軟件是非常小，它的作用在30秒內連續拆了9次，就把IP封掉了，這個就是不正常。

主持人：是不是做成虛擬用戶更安全一些。

曹江華 ：根據不同用戶，哪些用戶有多大磁盤配制也是不一樣。還有一點要注意客戶端，客戶端安全，你一定要正確客戶端工具訪問這個工具。 在Linux用客戶端一個是命令行，還有一個叫GSSTP在Linux用，在Windows下用就非常多了，這個是跟 Red hot里面都有這個，提供了很多安全特新，比如說支持SSL加密，在命令行下沒有人管你，你不用一個正確的，用一個普通客戶端訪問就不行，所以說客戶端往往不注意，好像我的服務器配制非常安全，但是客戶端沒有使用安全，這兩端都是安全，但是中間不是。

主持人：能介紹一下關于Linux應急響應方面的問題嗎？

曹江華： 首先要說明，我有一個觀點就是安全永遠是相對的，不安全是絕對，就是說服務器配制再安全也有失手的，這個時候要說怎么把服務器恢復起來，做這么多加固還是有人給我攻陷了，這個跟哲學道理是一樣的人死是絕對的，總是要死，安全也是一個道理，安全是相對的，不安全是絕對的。
曹江華 安全響應，主要是碰到問題怎么辦，一定要做好事先做好一個預案，Windows下面也有一個類似，比如說說機器突然起不來了怎么辦，一般是恢復一下，還有做備份，在Linux下面，道理是一樣的，一旦服務器失手，崩潰以后怎么辦，日常要做好這些工作，在書中專門有一章很細節的方法，講了40、50種備份方法。

主持人：是不是根文件先備份？

曹江華： 不是，你認為有用的文件都要備份，但是備份方法各有不同，根據你自己的要求。然后要說在應急相應有一個步驟。一旦受到網絡攻擊第一步做什么？

主持人： 斷網。

曹江華： 對，第二是你要通知適當的部門，第三就是說把以前創建的備份復本在敵人攻擊以前必須備份，下一步要分析數據庫，你要知道攻擊口子在哪。

#p#

主持人： 有一個網友問如何最快速度知道哪里被攻破了。

曹江華： 對Linux防御也要分級，國家也有一個風險等級，一定要分級，不同分析工具，可以分析出你是哪個部分被攻擊了，比如說說DNS服務器，如果沒有配正確，攻陷了，你從DNS日志里面可以看到，WEB服務器也可以看到，你哪些端口是打開，通過基本命令可以看出來，你也可以安裝一些修盤器。我最常用就是LOF這個命令，第一看端口，第二是看哪個文件被打開。然后，第三部分如果發現哪里MYSQL攻破了恢復系統要把措施的地方補上，最后如果說一旦發生比較大攻擊事件，一定要掌握電腦辨析學。有一種觀點服務器攻擊的時候，為了收集證據寧可要先保存一下，向網絡安全警察報警要有證據，這個就是電腦的辨析學的功能。

主持人： 一般有哪些工具？

曹江華： 使用電腦辨析工具有一些商業的，有開源的，就是取證工具，有開源的，有商業的工具。這些一般都是一些計算機安全專業公司提供的。第三要把數據保存下來。第四如果的對你的商業造成比較大的影響你就要提交取證，這個時候需要有一個你說出來這個數字是要有一定的必須一般采集數據工具，一般是請第三方做評估你受損，不能說我受損我說我受損一個億，必須要有第三方。比如說前些天影音風暴就起訴黑客賠償多少，就是請第三方做。

主持人：有網友問，您對LLSF有什么看法。

曹江華： 是一個非常好的工具，但是對讀者有一定要求，使用LLSF用戶不相信任何一個發行版，就是自己做一個東西，實際上可以把這個系統做非常小，非常安全，我希望大家盡量多做一些這樣的東西，就是說suse也好，都是一些發行版，真正要玩Linux是不應該的。

主持人：有一個網友問我是一個站長，有一個服務器，我們怎么做到相對好的安全性。

曹江華： 主要是提供下載，還是提供網絡服務。如果是很小網站就是提供下載的東西，提供WEB服務PHP漏洞比較多，選擇性能高一些的，安全漏洞比較多是PHP，裝起來論壇非常快，非常簡單，但是本身設計漏洞就非常大。所以我不推薦，大家最好用新出的。

主持人：還有一個網友問最新的RHEL 5.4的問題。

#p#

曹江華： RHEL 5.4 Beta版已經出了，主要是對虛擬化做了一個行為轉型，我覺得這個轉型是對的，為什么？因為KVM效力上要好，其他方面在數據儲存文件系統也有一些改變，這個我還沒有拿到，我只是看了一下官方文檔。

主持人： 有一個網友問KVM體現在哪里。

曹江華:有具體的測試，大家可以在相關網站做的對比測試。安全性方面，KVM出現比較晚，安全性好一點。XEN好像限制比較多，受一些資源控制。對處理器，商業方面控制以后會越來越多，安全性能現在是思杰公司做。與XEN做對比，我感覺就是說KVM還是屬于上升階段。這個網絡上有很多資料。最簡單說KVM操作起來，命令相對簡單。

主持人：建立一個虛擬機只需要一個命令。XEN對很多機器也不兼容。

曹江華：對。主要是英特爾方面比較討厭，很多處理器把虛擬化功能關閉了，不是沒有，我有一個同事處理器支持，筆記本出廠的時候把這個功能給關了。披露一下，是聯想的。

主持人： 我也發現很多機器可以用XEN但是不能跑全虛擬。這個確實比較討厭，半虛擬，而且不可以本地裝。

曹江華： 對。KVM運行同樣也是對CPU也是有限制，這兩個是一樣的。

主持人：還是有商業因素。下一個問題，有網友問，如何成為一個Linux安全高手。

曹江華： Linux要把用起來，第一說你是實踐，這個可能大家都知道；第二盡量要把你用過的東西要寫一下，除了我經常操作以外，一定要寫下來，我以前就是操作，很多用完就忘了，寫出來會好很多。第三對于Linux使用者來說，一定要學用其他操作系統，還有Solaris最好也要用一下，一定要從Linux小水庫里面跳出來，最好多用一種Linux類操作系統，Linux本身也叫UINX類操作系統，包括BFD，Solaris有機會要用一用，不要有人說我就知道Red hat了，盡量多接觸不同的操作系統，Linux類操作系統，對你以后對比他們之間差異，不要做特別專的東西，Windows可能沒有辦法，也要用，多用各種操作系統。你盡量還要做各種操作系統都要用一下。

#p#

主持人：網友問一個具體的問題：我們網站在三月份被人DDoS了，我們沒有防火墻，這種情況怎么避免。

曹江華：我說的防火墻是硬件防火墻，我不知道這位朋友是不是單指Linux系統。一定程度上可以防范，剛才我講DNS負載應用可以多裝，做集群或者負載集群。具體方法，關于DNS的配置方面的具體操作，大家可以自己看一下，或者在網上找相關的問題。這個有局限，比如說防了這個IP地址，你斷一下網，再上就換了。比ADSL對你進行攻擊，我再換一個，但是你對靜態IP是起作用。不要把所有的IP要限制訪問帶寬，做網絡管理員，不讓做什么。以前經常設，這個端口不讓用，我用不同的端口，我覺得安全管理要人性化，不要發現人家要做什么，你就不讓人家做怎么樣，從技術手段要考慮到用戶實用性，比如說對BT可以限制帶寬。盡量不要限制用，因為用戶會想別的辦法，做安全管理要有一定彈性。

主持人：還有一個問題，Linux在服務器領域比桌面領域有優勢，那么Windows7和Windows 2008服務器版本怎么樣？

曹江華： Windows 2008速度跟此前Windows比還是比較快，Windows7速度我感覺跟VSITA快一點，專門有一個內核的模式，這個就是說微軟也認識到命令行生存能力非常強，我只用命令行效率是非常高。講到這里，我想講一點，我收到了一些讀者對這本《Linux服務器安全策略》有一定意見。但事實上這本書不是針對對剛開始的初學者這些讀者，這些讀者要看可以看我寫的另一本書，叫做《Linux命令行技術》，有一定基礎再看《安全策略》；第二要看一下服務器構建，讀一個書，買書要有一個過程，不能說上來就買一本編程的書上來。

主持人：安全是最高等級。

曹江華 ：對，因為你服務還沒有做起來，安全說不上，大家學習Linux從命令開始，不要覺得這個東西很好裝，就裝上，什么服務器就是在線，你學再熟練，如果你精通Linux就可以成為一個UINX高手，大家還是要關注命令行，既然做服務器，一定要回到命令行。

#p#

主持人：說到命令行，就要說一下關于SSH的安全問題。

曹江華 ：SSH這個是用非常多的一個應用，特別是網絡管理員最喜歡用的，為什么就是遠程訪問，要登陸不可能每次都到服務器本身，第一SSH必須要明白它能保護哪些，還有一些不能防范也要明白，不是安裝了SSH就完了，一定是安全的了。有一些SSH是防范不了的。SSH現在面臨一個很大的軟件漏洞，這個也是一直被Windows笑話的，這個一定要知道，SSH面臨一個最大的問題就是口令破解，這個SSH不能防范哪些，一旦系統侵入你根目錄這個是防不了。 注意不要跟NFS一起跑，SSH提高服務器安全性還有一個相對好的辦法，就是用SN運行模式，效率低一些，但是安全性好。SSH可以由兩種模式。

主持人：請教曹老師，你覺得用密鑰好還是口令好。

曹江華： 當然是密鑰。還有一個就是說用SSH服務器，客戶端一定要支持，跟STP一樣，比如說你SSH服務器配制安全，但是訪問工具不安全，大家平常還是用Windows多，我這個筆記本就訪問你，你訪問工具有重大漏洞，而且POTT有很多安全設置，如果POTT有很大技巧，如果那個使用技巧不好，沒有正確使用客戶端，如果客戶端安全性不好，你服務器安全也不好。你訪問信息它在中間就截獲了。

主持人：除了SSH，曹老師還可以推薦一下控制圖形界面管理工具嗎？

曹江華：VNC是一個，VNC跟SSH結合起來，另外講到VPN也是一個，總體就是說Linux的VPN有很多種，最多就是PPGP它的安全漏洞是最次的，現在用最多的就是OpenVPN。大家為什么用PPTP是配制最簡單的。 Windows客戶端是用PPGP，但是在Linux下面，我建議用VNC兩個組合，不要把PPTP想得那么不堪一擊，普通應用還是可以的。

主持人：網友請教Linux工程師經常用的工具，我們有哪些手段和策略加強Linux安全性？

曹江華 ：最基本的：把不需要的服務關掉，比如說根本就沒有NFS沒有關，不要的關掉。其他對Linux要加固這個系統，一定要進行實時網絡監控，第二就是保護一定要裝IDS。這個是最基本，你要更安全要做分布式的，做成集群模式，IDS本身要安全，這個是串型的。

主持人：有網友問，網絡中域管理模式是Windows AD還是Linux比較好？

曹江華： Windows和Linux沒有什么可比性，但是如果誰學誰的話，一定是Windows學的人家，NT4.0是第一個引用了域的關系，不是說抄襲，應該是借鑒。從UNIX權限，這個學不到的，人家對他問題很大，在Windows2008年特別引用了命令行，是從UNIX借鑒了，這個是成功的。

主持人：由于時間關系我們今天訪談就到這里，有請曹江華老師向我們廣大網友說一句話作為大家的勉勵。

曹江華：希望大家關注51CTO包括很多其他的優秀作者書籍，說到一下樣章少，但是沒有辦法是一個商業行為，出版社有一定的限制的，如果說有像以前我們有一些作者，把有一個書自己翻譯了一下，這種開源現在我們社區還是需要這樣的開源的作者多做一些服務。