首頁
中文書目錄
原文書目錄
 站內快速搜尋
資源中心
Book Series
Special Interest













■好消息,歐萊禮書籍已重新鋪貨至各大書局及網路書店,歡迎讀者選購       ■歡迎各院校採用歐萊禮書籍,學校團購請洽校園服務團隊

[書籍導讀]

Linux 伺服器安全防護


在編輯本書時,又傳出一個名為「疾風」(WORM_MSBLAST.A)的電腦病毒,攻擊微軟的 Windows NT、2000 及 XP 作業系統的新聞,令人感慨,想藉此書一隅談談安全議題。

本書原文的副標題為“Tools & Best Practices for Bastion Hosts”,就來談談這個 Bastion Host 吧。我們認為把它譯成「防禦主機」,會比「堡壘主機」更為貼切。基本上,防禦主機是一組負責抵禦外界攻擊的電腦系統,保護(甚至提供)重要的網路服務,包括防火牆、閘道器、web 伺服器、FTP 伺服器、DNS 伺服器 ... 等等。因為防禦主機很重要 - 以及容易受損 - 這類系統應給於高度強化。從開始架構之初,到後續的日常維護,都必須全程注意安全問題。

為何將這類系統稱為防禦主機?美國傳家寶字典《The American Heritage Dictionary》將「bastion」一詞定義為:
  1. 名詞,城堡的突出部份,或其它防禦工事。
  2. 名詞,一個充分加強的位置或區域。
  3. 形容詞,有保護作用的 ....
Marcus J. Ranum 相信防禦主機就是有各種防火牆的作用,並能夠抵受公開的攻擊。在他的著作《Thinking About Firewalls V2.0: Beyond Perimeter Security》曾寫道:

在中世紀城堡,「堡壘」是高度加強的部份、顯著的防禦要區,通常有堅固的牆壁、有額外軍隊的房間,甚至有滾燙的油桶來挫敗攻擊者。網路管理者以防禦主機來進行安全防護的工作,阻擋外來的攻擊或滲透。對於防禦主機的安全性,需要以嚴密的管制措施來維護,以定期的稽核來檢討改進。

防禦主機不是一般用途的運算資源,一般的設定程序與維護方式無法滿足這類系統,它們的設定與架構過程,通常稱為「強化」(Hardening)。

強化的手段各有千秋,本書作者累積他在網路安全方面的多年經驗,彙整他的專欄文章加以編製,舉凡大大小小的工具程式以及細微的調校,他都毫無保留地呈現在書裡,並且經過 O'Reilly 的編輯有條理地安排章節,呈現給讀者,堪稱是安全防護的經典。然而,我們仍必須強調,並非有了這本書,照著書上做就可安全無虞,相信看過安全書籍的讀者都知道,每位作者都會一再強調,日常的維護,隨時注意最新的安全威脅,儘早準備因應防範的措施,才是高枕無憂的憑藉。

 

蘇秉豐
2003, 8, 27 - 台北

| 首頁 | 聯絡我們 |
© 2009, O'Reilly Media, Inc. Taiwan Branch