隨著linx/bsd技術的普及與發展，大家都認識到了開源系統所帶來的種種好處，比如免費，可定制化，高性能，高可擴展，以及我們今天要研究的安全--一個永恒的話題，好了廢話不說了切入正題！

個人認為如今系統的安全防御不應該是放在某個層面或者某個點上，應該從企業網站構架，建設初期起就應該有一個整體的規劃，全局的部署，要放防御機制從物理層配置到web應用層最后到達系統內核層，雖然沒必要搞的像國家安全部門一樣，但是最少我們可以利用現有的，開源的，免費的，經過測試的安全工具來加強我們的安全，當然為了性能，成本，我們可以暫時的關閉一些安全防御功能，但是不能刪除，在遇到黑客攻擊時我們要開啟！！下面我們就來看看具體有那些層面需要我們部署怎么樣的安全機制:

一、物理層防御

1，購買的服務器，一定要是品牌dell,hp.ibm服務器，具有多電源，多磁盤RAID,機箱保護（打開報警，電源開關鎖門鎖），當然為了數據安全如有磁盤加密芯片最好。

2，最好選擇光纖網路防止電磁泄漏，顯示器，鍵盤燈，usb接口等最好不要。

3，服務器放置的地點一定要符合各種電器標準的機房，防盜，專人看守。

二、網絡層防御（1-6層tcp/ip)

1， 靜態化mac或者啟用openvpn網絡徹底靜止arp協議,防止arp欺詐攻擊。

2，設置交換機安全，放置mac-端口表攻擊，把網絡劃分成各個專屬vlan。

3,   配置dhcp服務器放置ip 地址資源分配攻擊。限制每個網卡請求數，租賃時間。

4,  如不是大規模網絡請不要分段IP使用路由器，直接交換機，如有必要盡量使用手工配置route表，不要使用各種動態配置路由表協議，防止協議漏洞攻擊。

5，全網科萊，tcpdump,sniff 等包分析人工監控網絡，發現非法網卡混雜監聽，各種掃描，dos，ddos攻擊，已經各種未知的攻擊。

6， 如條件允許請購買專業的防止DDOS,非x86構架防火墻最好是支持7層應用層防火墻功能，如果帶寬沒那么大可以選擇diy freebsd+pf組成的防火墻，同時配置syn代理握手 進 出 nat rnt過濾，防止外部，內部，本機等攻擊（freebsd的polling還可以輪訓網卡模式，對付高中斷的syn攻擊有奇效）。一般應用層防火墻防御web用不到，非要部署也可以選擇freebsd的ipfw-classi或者iptable-7lay，但是一定要使用科萊，sniff進行7層特診嗎的正則開發！要不現有的規則太落后了！之中對于ddos大規模攻擊就不是防火墻說能防御的啦，只有加大寬帶，聯合電信政府部門，購買CDN全國分布服務器才能解決。

7，使用suricata（snort性能太差，過時了）開啟nvdia CUDA加速，pring加速，選用intel網卡開啟dma,miix2,隊列加速實現萬兆流量入侵分析！同時支持IDS/IPS功能，當然我們不僅僅要實現入侵檢測系統與防火墻的溝通，還可以實現入侵檢測系統與系統shell，聲音，mail 報警溝通！特別是滲透掃面的發現，扼殺滲透攻擊與搖籃！

8，對于ＤＮＳ是漏洞最多的網絡核心功能，所以沒有必要請不要自己使用bind搭建NDS服務器加速網絡，直接使用網絡上的DNS就可以了，如果實在要部署，請選擇openbsd系統搭建，在代碼層防止溢出，或者使用后面講的mac,強制訪問安全控制加固！當是一定要部署nds全網欺騙攻擊防御（使用網絡分析包工具來做），防止內網中毒發送nds假包，欺騙劫持！

三、應用層防御

1，所有的系統，服務器軟件必須使用發行版默認的版本，并且進行md5,sha簽名認證，并且有必要下載對應的發行版源代碼使用gcc-4.6-4.7版本加參數-fstack-protect-all保護編譯安裝，優化的級別也最好不要超過O2。還有就是必須修改源代碼的version.h把服務器軟件名字，版本打亂偽造好！比如nginx變成bws,gws,apache等，mysql變成redis,postgresl!

2，web服務器，數據庫服務器，緩存服務器，php應用服務器必須分開來單獨電腦安裝，同時設置各自的專用賬號。方便以后進行最小權限控制，以及目錄權限控制！

3，網站能靜態化最好，實在要動態，可以使用suhosin安全加固php虛擬機，禁用各種沒用的函數，使用tomoyo安全分析軟件分析網站正常使用時，需要的各種權限，進行php,mysql ,nginx,apapche最小權限化管理，分析出web根目錄最佳權限，防止各種溢出攻擊，同時對用戶輸入的所有數據，圖片，選擇項進行php輸入過濾，防止sql注入，夸張，拖庫等攻擊，如果可能請選擇NOsql數據庫，比如redis代替msyql!

4，如果前段沒喲部署7層應用層防火墻，那么我們可以使用nginx,apache設置并發，連接控制防止ccs攻擊，同時所有的服務器軟件運行必須在grsecurity selinux tomoyo等MAC強制訪問控制下運行！

5，關于mac強制訪問其實很簡單，就是在原有的自主訪問控制基礎上加入了更強大的控制功能層，通體來說加入了角色控制層 類型(主體客體）控制層 還有就是主要為了信息安全而設置的客體訪問級別控制，一般有如下工具：

selinux:全功能的selinux實現了 角色控制，tpyeenfore類型域控制 還有mls控制，但是我們常用的centos,rhel默認只是開啟了typeenfore類控制，是selinux的閹割版，不管是角色控制，類型控制，還是msl控制無非就兩個四個步驟：

a,把角色控制，類型控制，msl控制的分類分組標簽寫到文件安全擴展屬性中去

b,使用自動學習模式，或者手動policiy文件書寫角色，類型，mls權限控制規則（在rhel,centos已經提供了現有的常用軟件策略）

c,啟用permission調試模式，試運行軟件，查看日志是由有違反規定的日志

d,調整策略，反復前兩部操作，知道無錯誤

完整版strict可是用來實現用戶：角色：TE:mls四層控制，而且可以保護整個系統，而不光是關鍵進程！

Grsecurity:實現了角色控制，類似selinux-typeenfce功能，但是沒有mls功能，不過它具有很多selinux不可比擬的功能，比如在線磁盤分區read-only模式，trust-path控制，還有更恐怖的pax內核防止溢出加固，簡直是最完美的MAC了，本人給他打200分！！如果想實現系統的最高防御Grsecurity不可缺少！！它也是可以對整個系統進行保護的哦！

Tomoyo(ccs)以及suse的approm等都只是實現了跟rhel的selinux-targets策略實現的功能，對重點的進程加固，不能對整個系統進行保護！同時他們是基與路徑的，不用象selinux要給文件打上標簽！！

最后freebsd開啟的Trustbsd項目mac了，起主要是實現了層控制的TE主體客體控制，mls/low,hig,equal 高層只能寫不能讀 低層只能讀不能寫，平等可以讀寫呵呵很簡單把！！而biba模塊怎剛好相反，高層能讀不能寫，低層能寫不能讀！

總之，強制訪問其實就是系統程序權限防火墻！個人建議在rhel,centos上開啟selinux,其他linux開啟grsecurity,freebsd則由于做防火墻，沒有人登陸，沒有服務器程序不用開啟MAC!

四、系統的層防御

1，我們要選擇一個合適的系統，目前供我們選擇的系統有rhel,centos,oracle-linux,debian,ubuntu,freebsd,openbsd,netbsd,suse等，個人認為:

防火墻系統:為了性能選擇freebsd+pf為了安全選擇openbsd+pf.（應用層過濾ipfw-classic)或者panabit可惜是收費的呵呵

嵌入式cpu防火墻：netbsd+pf/npf

web服務器：還是免費的centos吧

數據庫：oracle-linux

靜態web,緩存服務器：freebsd/centos

vps商(host)：centos

vps客戶機（guest):debian

openstack私有云：ubuntu

大規模并行計算:sentific linux

總體來說就是，性能為主使用rhel/centos系列 安全為重選用debian+grsecurity加固 防火墻穩定性為重bsd系列。

2，除了rhel有商業支持的系統外，其他的免費系統都要精心內核的精簡編譯，去除所有沒用的驅動，功能，調試，加入grsecutity ccs安全加固MAC!同時設置sysctl.內核參數加大抗DDOS，縮短timewait，加大tcp,upd緩存等優化參數。

3,刪除所有系統中無用的用戶，bin/sbin,開啟grsecurity 的trust-path功能，任何人只能運行經過root認證的程序，關閉sysctl關于mac 實時控制功能，對于不需要更改的配置文件，靜態頁面可以開啟grsecurity read-only分區功能，誰也不能更改文件了，包括自己！

4，啟用md5,sha簽名關鍵文件包括內核，內核模塊，配置文件，關鍵常用的程序，防止rootkit，木馬，可以使用工具前面 或者自己手動shell批處理！

5，開啟grsecurity,或者selinux 角色控制影藏所有的本用戶無關進程，開啟/proc等虛擬文件系統安全防護，包括/tmp，開啟grsecurity pax放溢出，放鏈接攻擊，隨機地址等保護！

6，設置基本的linux/freebsd 文件管理權限，用戶權限，chattr +i 保護！   關閉沒用的服務器軟件，ssh服務器盡量不要使用，非要使用請使用knock敲門，打開防火墻通道，使用ssh!

7,  定制安全的可靠的服務器版本，漏洞，安全補丁升級，隨時關注網絡漏洞列表。

五、制度防御

1，密碼制度，密碼長度必須設置為16位或者32位 md5 16 32位迷惑，同時必須滿足字母大小寫，特殊符號，數字等。。高強度密碼，定期更換密碼。還可以參考之前寫過的“一次性密碼”文章。使用一次性密碼！

2，離職人員的安全重設機制，防止離職人員密碼，機密文件泄漏，重要文件不管是存放還是備份必須使用truecrypt高強度加密！！特別是數據庫加密！

3，在職人員的安全審核制度，防止在職人員訪問高度機密文件，非法操作，硬盤復制等不安全舉動與系統非法操作（開啟系統audit功能）。

4，定期備份，災難演戲，滲透測試，穩定性能測試！

5,  定期舉行安全防御與攻擊學習培訓，組成安全小組，或者小圈子進行討論，創新思維，培養安全人才。