1.前言 Trustix Secure Linux 是針對以高品質的伺服器所設計的Linux套件,或許讀者會有個疑問: 為什麼已經有這麼多的Linux 套件為何還要創造Trustix Secure Linux ?在安裝了其它各式的Linux套件后,我們達成了結論,那就是有許多的套件在伺服器上是不需要的,例如 X windows系統,而且很難移除掉;大部分的安裝套件有許多的服務預設是在執行的,在今天的網路上有許多計算機犯罪者,執行不必要的服務就等於開了個後門,是個禁忌。 Trustix 感覺到大部分的Linux都針對於桌面市場,然而決定去創造出Trustix Secure Linux --- 一套Linux distbution,焦點放在針對於對伺服器的安全上。最值得注意的就是它沒有了X windows系統,圖形使用者界面(GUI)將只會浪費內存,CPU和硬碟空間。系統默認值的設定是任何的服務都不執行的,更容易讓人知道什麼是需要什麼是不需要的,需要的時候才去執行。所以Trustix Secure Linux的設計就是減少不必要的程序和把焦點放在安全上(安裝程序的數目大小和安全成反比),針對一些有經驗的系統管理者能在短時間內能夠去安裝和設定,以及讓無經驗的使用者容易上手。 對於更詳細的Trustix Secure Linux的設計目的可以參考 http://www.trustix.net/papers/whitepaper.html。 2. 安裝系統 我們可以至 http://www.trustix.net/download/ 取的最新的版本,雖然目前穩定的版本是 1.01,不過由於在Linux 2.2.16 以前版本的核心有安全上的疑慮(見http://linuxfab.cx/indexNewsData.php3?NEWSID=2134),所以筆者在此建議使用 1.0.96 (http://www.trustix.net/download/tsl1096.php3) 來安裝,附帶提的是要獲得一個安全的 Linux 系統第一步要做的就是去獲得一個有安全保證的發行商所發行的套件,所謂的安全保證應不只是現在發行的套件沒有安全上的疑慮,更要有完整服務、手冊、更新、電子論壇 (mail listing) 的機制,不曉得讀者對國內目前發行的 Linux 套件評價有多高呢?原則上不管讀者決定安裝那一個套件,最好去原發行商處取得, 如果讀者從不信任的地方取得,一定要在安裝之前去查證來源碼,例如 PGP/GPG 簽章或 MD5 checksum,確定是安全的才去安裝。這聽起來好象不是很重要的樣子,但它經常是許多管理者忽略的地方,導致木馬、後門在系統中作祟。 由於 Trustix 是源自 RedHat,所以安裝過程也是相同的,只是沒有煩人的圖形安裝界面,使用的是文字的安裝方式,只是硬碟分割區的大小和選擇安裝軟體須由安裝者自己指定,安裝程序並不代勞,有時想想這也是應該的,如果系統管理者無法決定上述的選項,如何提供使用者安全的服務呢?至於詳細的安裝過程就請讀者參考一下 RedHat 是如何安裝的,有經驗的讀者可以直接略過,或參考 http://www.trustix.net/doc/installation/installation.html, http://cle.linux.org.tw/CLE/docs/manual/index.shtml。 在此筆者還是對些應注意的事項再【老生常談】一下,假如機器上只用來當 web/email/dns 伺服器,只要建立一位使用者,因此要去設 root 密碼和另一個帳號。建立另一個帳號的理由是盡量少用 root 去系統上工作,而是用一般的使用者去登入,做一般各種的檢查,若有需要去執行root 級的許可權,再執行 『sudo』命令去執行 root 的工作。而且由於不太可能使用 root 帳號作為對外 Email 用,所以請將 root 的 email 透過 aliases 轉給一般的使用者,免得一些漏接一些重要的警告信而不自知。 對於侵入者,要獲得系統的使許可權最簡單的方法之一就是利用其它使用者的帳號。密碼是 UNIX 安全管製作業中最重要的一部分,如果侵入者得到一個使用者的密碼,可以利用這個帳號登入系統中,繼而用這個帳號的許可權去做他想做的事,再嚴重一點的,如果獲得的是 root 的密碼,侵入者立刻就擁有了對系統的絕對控制權,如此整個系統就落入了他人手中,後果是很嚴重的,因此選擇一個安全的密碼是很重要的。 根據某項測試結果分析一般人選用的密碼有幾項特性: 1. 用跟帳號相同的密碼(最多)。 2. 用自己的漢語拼音。 3. 用常用的英文單字。 4. 用計算機中常出現的字,還有操作系統的命令,如:command、host、copy….。 5. 簡單的數字,例如12345、23232、888…等等。 6. 用自己出生日期,如:19791008。 選擇密碼的原則就是讓人永遠猜不到,這樣可以讓侵入者痛苦地不斷猜測密碼,即使是用字典法(暴力破解法)也無輒。(注一) · 不要使用跟帳號一樣的密碼。 · 不要使用任何人或任何東西的名稱。 · 不要使用英文單字、或外文單字,或任何字的縮寫。 · 不要使用從討論計算機安全的書上看到的、用來舉例的密碼,不論它有多好。 · 使用數字和大小寫字母混合的密碼。 · 至少使用六個字母的密碼。 · 不要使用帳戶擁有者的個人相關資料,例如,不要使用姓名前綴縮寫、電話號碼、身分證號碼、工作職稱、單位名稱等等。 · 不要使用鍵盤字母的排列順序,如asdf。 · 不要使用上面各項的反序,或大寫形式,或類似的變化。 · 不要使用全部是數字的密碼。 · 使用看似隨機選取的字母和數字。 在基本的安裝及重新開機完成之後,然後要去做必需的 patches (修補)和增加必需的應用軟體。首先,必需去下載及去應用 patch (修補),以 Trustix 為例在 ftp://ftp.trustix.com/pub/Trustix/updates/ 中,以 Redhat6.1 為例,那些 patch 檔能夠在 http://www.redhat.com/errata 中找到。那些 patch ?n有三種不同的形式,包含:安全諮詢 (security advisories)、錯誤修正 (bug fixes) 及套件更新 (package updates)。接著在命令列下執行: rpm - Uvh filename.rpm 並且記得定時到網站去看看有沒有新的修補檔案,還要訂閱相關的郵件論壇,例如有 tsl-announce, tsl-discuss, tsl-testers 詳細的資料請參考 http://www.trustix.net/support/。 另一個要討論安全問題的就是 LInux LOader (LILO),LILO 是激活管理程序,當一台計算機要使用許多種操作系統時,就可以用 LILO 來管理,LILO 也能夠提示符號中去輸入參數。 LILO 通常在安裝完之後就大概會被忘記,然而它卻存在著安全的危險,因為可能有惡意的使用者可以經由不同的LILO參數去通過安全的手段進而取得讀者的系統。舉例來說,如果有使用者在LILO的提示符號中輸入這樣的參數: linux init=/bin/sh 然後這個參數允許使用者直接去激活 linux 並且給予使用者 root 的許可權(儘管它是在只讀的型式)而不需要密碼。因為可能會發生上述的事件,所以必須去對 LILO 做限制,這個控制包含在 /etc/lilo.conf 檔案中,理想上這 /etc/lilo.conf 檔案應該如下列所設定的一樣: Boot=/dev/had map=/boot/map install=/boot/boot.b Prompt timeout=10 image=/boot/vmlinuz-2.2.12-20 label=linux initrd=/boot/initrd read-only root=/dev/hda1 restricted password=PASSWORD 結果為: LILO boot: Password: 這個例子中設定時間為 1 秒,如果沒有命令參數在 1 秒內輸入的話,它就會繼續去激活預設的設定去開機,這樣子就沒有機會去輸入參數。在這檔案中另外一個重要的地方就是使用者必需要去輸入密碼,密碼就是存放在這個檔案中,可以任意去改變,格外要注意的是它的許可權必須改成640,避免被人去讀取,只能由 root 去讀寫這個檔案。執行: chmod 640 /etc/lilo.conf 為了讀者的 Linux 主機變的更安全,還有許多額外的步驟要去執行。首先必需要做的是對系統帳號對安全管制,在 /etc/passwd 檔案中包含了許多預先設定好的帳號,這些帳號包括 gopher, news, mail, ftp 等等僅僅為了軟體使用權等目的而設置,在這建議讀者將這些帳號通通移除或用 『#『 批註掉。 在此有些帳號會沒有去設定密碼,必須要確定每個帳號都有密碼保護著。執行下面指令,可以找出 /etc/passwd 中沒有密碼保護的帳號: awk ?F: 『$2 == 「」』 /etc/passwd
當修改了 /etc/passwd 時,也必需去檢查影子密碼文件(shadow passwords),可以去執行 「pwconv「 and 「grpconv「 命令,去讀取 /etc/passwd ?n,產生 shadow 檔案出來。 注一:字典法 在passwd檔里,使用crypt加密,過程為 1. 以明碼正文形式取出密碼。 2. 把密碼做為關鍵詞,用一系列0進行加密。 3. 把一個64位二進位值轉變成56位變數基礎的唯一的64位二進位值,作為關鍵詞再加密。 crypt加密隨機性大,56位關鍵詞存在可為7x10E16個,所以要逆向解碼是不可能的。使用比較法: 1. 獲得一個字典文件,它是一個單字表。 2. 把單字用用戶的加密程序加密(符合DES的標準)。 3. 把每個單字加密后的結果與目標加密后的結果進行比較,如果 符合,則該單字就是加密關鍵詞,也就是密碼。 這就是所謂的字典法。 3. 檔案許可權 Linux 檔案系統跟其它的 UNIX 系統非常相似,每個檔案都有它的許可權在,包含:讀取、寫入、執行等3種許可權。和大部分的 UNIX 一樣,檔案和目錄許可權會產生問題及被有心人利用來破壞或竊取讀者寶貴的資料,所以系統上檔案和目錄必須設權根,只能給有權根的使用者去讀取、寫入和執行。 Read:該檔案或目錄可以被讀取,對目錄來說讀取許可權可以允許使用者去查看目錄的內容,但不能對目錄內的檔案進行讀取。 Write:該檔案或目錄可以被寫入,對於目錄來說,寫入是指在此目錄區中建立、刪除檔案及改名的能力,要注意的是移除檔案的能力並不是由檔案的許可權控制的,而是由包含該檔案的目錄許可權位所控制。 Execute:該檔案或目錄可以被執行(被搜尋),對目錄而言是指允許該目錄區能被搜尋的許可權,即查看目錄中檔案的許可權。 執行已編譯的可執行檔只需要設定該檔案的執行許可權即可,但執行 shell 指令文件則必需同時需要設定讀取和執行兩種許可權,因為 shell 必須先能夠從檔案中讀取指令,再去執行以 /bin/mount 這個檔案舉例來說(這檔案是用來掛上某些裝置,如 CD-ROM),它標準的許可權是 -rwsr-xr-x,表示一般的使用者能夠去執行這個檔案。從安全的觀點來看,一般的使用者不應該能夠去執行這個檔案。就這點來看,有許多系統的檔案是被濫用的,誰都可以去執行。 不用說,最基本的就是去討論重要的目錄(例如:/etc, /bin, /usr/sbin, /usr/bin 等等) 和檢查檔案和目錄是否有適當的許可權,如果沒有,趕快改成適當的許可權。 去尋找所有使用者皆可以寫入的檔案: find / -perm ?2 -print 去尋找不屬於任何使用者的檔案: find / -nouser ?print 在 Linux 系統中,檢查未經授權的 SUID 程序是相當重要工作,由於這些程序會授予執行它們的使用者特殊的許可權,因此程序編寫不當的話很可能會使得系統上的安全出現漏洞,因此管理者必需要去知道系統中所有 SUID 的檔案。例如 /usr/bin/passwd 的許可權設定: ls ?l /usr/bin/passwd -r-s—x—x 1 root root 34828 Jun 6 13:48 /usr/bin/passwd 在使用者許可權中有個 s 取代了 x,代表設定了 UID 位,這個檔案只能由 UID 為 0 (即 root )才能執行。如果要把檔案加入 SUID,執行: chmod 4000 file 執行下列命令去尋找SUID檔案: find / -type f -perm +6000 -exec ls -l {} ; > suidfiles 這將會把 SUID 檔案所有清單輸出到 suidfiles 檔案中,接著應該詳細檢查其中的每一個檔案,確定它們是否確實應該擁有這些許可權,尤其是在重要目錄下的檔案,更要注意。 4. 安全的服務 一般網站安全上會出現問題常是因為提供原來沒有打算提供的服務而不自覺,因為有些服務是操作系統安裝時預設安裝的,如果這台主機在規劃時並不打算提供 telnet 的服務,那應該先將該服務停掉,減少利用該服務出現的安全漏洞入侵的風險。 要針對上述的安全議題加以防範就必須了解網站的主機到底提供哪些服務?再針對個別的服務加以注意相關的安全議題。一般的網站管理者通常不會從外部來掃描自己管理的網站,但是面對來自世界各地的封包,其中就有不少是試探性的掃描,如果別人比讀者更清楚網站所提供的服務,無疑將網站放在比較危險的情況之下。 因為如此,必需要去移除任何不需要的服務,首先要去檢查的地方是 /etc/inetd.conf 這個檔案,在命令列中執行: grep ?v 「^#」 /etc/inetd.conf 會列出在inetd.conf中所開啟的服務
看上面有什麼服務是可以關掉的就關掉(用#批註掉),以增加安全性。而在 trustix 中是預設所有都關閉的。 然後去檢查指令文件中不必要的服務,在 Trustix/RedHat 中的 /etc/rc.d 目錄中又分出許多個副目錄,init.d 和 rc0.d 到 rc6.d。 0-6 是指系統的執行等級或是執行 /usr/sbin/setup 來檢查系統上所有可執行的服務,或是執行 ps aux | wc -l 查看目前系統上正在執行的服務。當執行完上列的步驟后,只要記住從安全的觀點來看,愈少的激活指令文件執行,對讀者的系統愈安全。 4.1 SSH 在 Trustix Secure Linux 中使用 ssh 來代替 telnet 做遠程登入的工作,在使用 telnet 時,它是可被竊聽的,但使用 ssh 的過程中是經過編碼加密的,安全性較高。激活 sshd server,執行 setup 后,選擇 System services 后,如下圖選取 sshd。
執行 /etc/rc.d/init.d/sshd start 激活 sshd。 執行 ssh -l user hostname 例如: 至於 SSH 的詳細使用方法如下: ssh [-l login_name] [hostname | user@hostname] [command] ssh [-afgknqtvxCPX246] [-c blowfish | 3des] [-e escape_char] [-i identity_file] [-l login_name] [-o option] [-p port] [-L port:host:hostport] [-R port:host:hostport] [hostname | user@hostname] [command] sshd 為執行 ssh 的 daemon,在讀者使用 ssh 之前必須去激活 sshd,在此建議把它加在 /etc/init/rc.local 中,在每次開機時激活。 在執行 sshd 之前可以指定它的 port,例如:sshd ?p 999 若有安裝 SSL,可以指定 SSL 的 port 443,例如:sshd ?p 443 這樣就可以經過 SSL 及 SSH 雙重的保護,但必須去指明使用的 port ssh ?l user ?p 443 mouse.oit.edu.tw 才行,若不指明則仍然使用預設的port 22 ssh 選項: -l login_name 指定登入於遠程機器上的使用者,若沒加這個選項,而直接打 ssh lost 也是可以的,它是以讀者目前的使用者去做登入的動作。 例如: ssh ?l shie mouse.oit.edu.tw -c blowfish|3des 在期間內選擇所加密的密碼型式。預設是3des,3des(作三次的資料加密) 是用三種不同的密碼鍵作三次的加密-解密-加密。 blowfish 是一個快速區塊密碼編製器,它比3des更安全以及更快速。 -v Verbose 模式。使ssh 去印出關於行程的除錯訊息,這在連接除錯,認 證和設定的問題上有很的幫助。 -V 顯示版本。 -a 關閉認證代理聯機。 -f 要求ssh 在背景執行命令,假如ssh要詢問密碼或通行證,但是使用者 想要它在幕後執行就可以用這個方式,最好還是加上-l user 例如在遠程場所上激活 X11,有點像是 ssh ?f host xterm 。 -e character 設定跳脫字元。 -g 允許遠程主機去連接本地指派的 ports。 -i identity_file 選擇所讀取的 RSA 認證識別的檔案。預設是在使用者的家目錄 中的 .ssh/identity 。 -n 重導 stdin 到 /dev/null (實際上是避免讀取 stdin)。必須當 ssh 在幕後執 行時才使用。常見的招數是使用這選項在遠程機器上去執行 X11 的程序 例如,ssh -n shadows.cs.hut.fi emacs &,將在 shadows.cs.hut.fi 上激活 emace,並且 X11 連接將自動地在加密的通道上發送。ssh 程序將把它放 在幕後。(假如ssh需要去詢問密碼時,這將不會動作) -p port 連接遠程機器上的 port。 -P 使用非特定的 port 去對外聯機。如果讀者的防火牆不淮許從特定的 port去聯機時,就可以使用這個選項。注意這個選項會關掉 RhostsAuthentication 和 RhostsRSAAuthentication。 -q 安靜模式。把所有的警告和訊息抑制,只有嚴重的錯誤才會被顯示。 -t 強制配置 pseudo-tty。這可以在遠程機器上去執行任意的 screen-based 程 式,例如操作 menu services。 -C 要求壓縮所有資料(包含 stdin, stdout,stderr 和 X11 和 TCP/IP 連接) 壓縮演算規則與 gzip 相同,但是壓縮的等級不能控制。在數據機或 聯機速度很慢的地方,壓縮是個很好的選擇,但如果讀者的網路速路很 快的話,速度反而會慢下來。 -L listen-port:host:port 指派本地的 port 到達端機器地址上的 port。 -R listen-port:host:port 指派遠程上的 port 到本地地址上的 port。 -2 強制 ssh 去使用協議版本 2。 -4 強制 ssh 去使用 IPv4 地址。 -6 強制 ssh 去使用 IPv6 地址。 scp 使用 scp 在遠程機器上 copy 檔案 例如: copy 本地的檔案到遠程的機器上 scp /etc/lilo.conf k@net67.ee.oit.edu.tw:/home/k 會將本地的 /etc/lilo.conf 這個檔案 copy 到 net67.ee.oit.edu.tw,使用者 k 的家目錄下。 copy遠程機器上的檔案到本地來 scp k@net67.ee.oit.edu.tw:/etc/lilo.conf /etc 會將 net67.ee.oitdu.tw 中 /etc/lilo.conf 檔案 copy 到本地的 /etc 目錄下。 保持從來源 host 檔案的屬性 scp ?p k@net67.ee.tw:/etc/lilo.conf /etc 在此必須注意使用者的許可權是否可讀取遠程上的檔案,若想知道更多關於 scp 的使用方法,可去看看 scp 的使用手冊。 ssh-keygen 產生公開鑰 (pulib key) 和私人鑰 (private key),以保障 ssh 聯機的安性, 當 ssh 連 shd 伺服器,會交換公開鑰上,系統會檢查 /etc/ssh_know_hosts 內儲存的 key,如果找到客戶端就用這個 key 產生一個隨機產生的session key 傳給伺服器,兩端都用這個 key 來繼續完成 ssh 剩下來的階段。
它會產生 identity.pub、identity 兩個檔案,私人鑰存放於identity,公開鑰 存放於 identity.pub 中,接下來使用 scp 將 identity.pub copy 到遠程機器的家目錄下.ssh下的authorized_keys。 .ssh/authorized_keys(這個 authorized_keys 檔案相當於協議的 rhosts 檔案), 之後使用者能夠不用密碼去登入。RSA的認證絕對是比 rhosts 認證更來的安全可靠。 執行: scp identity.pub k@linux1.ee.oit.edu.tw:.ssh/authorized_keys
若在使用 ssh-keygen 產生鑰匙對時沒有輸入密碼,則如上所示不需輸入密碼即可從 net67.ee.oit.edu.tw 去登入 linux1.ee.oit.edu.tw。在此,這裡輸入的密碼可以跟帳號的密碼不同,也可以不輸入密碼。 4.2 郵件伺服器 由於 sendmail 在歷史上曾有相當多的漏痛,所以 Trustix 選擇郵件傳輸代理 (MTA)—Postfix,當作它的 mail 伺服器,因為 Postfix 是基於安全而設計的,它也包含了 IMAP 和 POP daemon。安全的 IMAP(SIMAP)、POP3(SPOP3) 一般來說是比標準的 IMAP、POP3 來的更好,由於在使用這個協議時的資料 (使用者的密碼和 E-mail) 經過網路傳輸是經過編碼加密的,所以對數據比較有保障。 4.2.1 安裝和設定 如果讀者在安裝 Trustix Secure Linux 時並沒有選擇 Mail Server,讀者可以在之後 mount CD-ROM 去安裝,或從 FTP、HTTP 下載 Postfix 的 rpm 檔去安裝。為了確定可以執行 postfix,可以打 『chkconfig postfix on』。 4.2.2 轉寄root的信件 寄給 root 的信件必須轉寄給系統的管理者,編輯 /etc/postfix/aliases 這個檔案,在裡面找到下面這一行: #root: you 將批註刪除,並把 you 改為系統的管理者,之後將 aliases 複製到 /etc 下,執行 newaliases 指令,此指令會自動讀取 /etc/aliases 文件的內容,讓 aliases 生效。接下來請將該檔放置一般使用者無法讀取的地方。 4.2.3 讀取信件 在 /etc/inetd.conf 中可以找到下列幾行內容,現在郵件主機都是開 POP(Post Office Protocol)server 的功能,透過收信程序 (Outlook) 不斷地向主機詢問,使用者可以將 E-mail 從主機取回自己的計算機中閱讀或保存,這對於以數據機聯機的使用者而言,有不少的方便,或讀者也可以開 imap 的 server。將 pop-3 這行的批註 『#『 給刪除,執行 /etc/rc.d.d/init.d/inetd stop ;/etc/rc.d/init.d/inetd start 或是重開機即可。
4.2.3 設定 /etc/postfix/main.cf -- postfix 的設定檔 在裡面找到下列幾項的內容: #myhostname = host.domain.name => myhostname = net28.ee.oit.edu.tw 設定讀者的hostname #mydomain = domain.name => mydomain = ee.oit.edu.tw 設定讀者的domain name #myorigin = $myhostname => myorigin = $myhostname 設定寄出信后所附加的 hostname,預設是$myhostnam ex:改為 myorigin = net99.ee.oit.edu.tw,則 k 所寄出的信件來源 為 k@net99.ee.oit.edu.tw,而不是 net28.ee.oit.edu.tw inet_interfaces = localhostinet_interfaces = all 設定在主機上激活的網路介面,在此將所有介面打開 #mydestination = $myhostname, localhost.$mydomain #relay_domains = $mydestination 如果讀者要讀者的伺服器去讓別的 domains 去 mail,加上 domains 到 mydestination 中,及刪除 『#『 4.2.4 加密的郵件交換機 在 Trustix Secure Linux 中有一支程序」stunnel」能夠在 inetd 上執行的服務上去產生 SSL 加密通道。在這裡建議讀者取代某些服務,例如未經過加密的 imap 和 pop3,改為 simap 和 spop3,若使用未經過加密的 imap 和 pop3,在收發 mail 時會去檢查使用者、密碼,這時的使用者、密碼是沒有加密的,可以被人用 sniffit 這支程序去竊聽到,造成系統上的一大後門。例如下圖即是沒有使用一般的 imap 或是 pop3 而未經過 SSL 加密過的,使用者及密碼可是一清二楚的呈現在讀者的面前..... 在使用 stunnel 之前,讀者必須去產生【認證】。許多安全的服務使用 OpenSSL 去達到加密的目地。首先讀者需要去產生伺服器認證和加密的 key,依下列步驟執行: 1. 切換目錄 cd /etc/ssl/certs 2. 執行 RANDFILE=/dev/urandom openssl req ?new ?x509 ?nodes -out server.pem ?keyout server.pem ?days 365 如下圖中,輸入本身的資料。
這會產生 RSA 私人的 key 和認證,並且把它放在 server.pem 這個檔案中。 3. stunnel 能夠被手動或是從 inted 激活,下面是手動的命令: /usr/sbin/stunnel ?p /etc/ssl/certs/server.pem ?d spop3 ?l /usr/sbin/ipop3d -p 告訴程序去尋找它的認證在哪裡 -d 使它在spop3的埠成為daemon在執行 -l 說明什麼程序產生通道 4. 這個命令能夠放在 /etc/rc.d/rc.local 中,使它每次開機時可以激活。 5. 設定outlook 在內送郵件-POP3(I)打勾,使用安全聯機 SSL,預設的 port 是 995。
在設定完后,一樣是收發 mail,讀者可能感覺不到什麼,但讀者的 E-mail 的帳號、密碼卻是卻是經過編碼加密的。例如下圖即是使用 spop3,是經過 SSL 加密過的,只看得到一堆的亂碼,這讀者就知道它的優點在哪了。
4.3 Apache-SSL Trustix 預設有 Apache-SSL,只要激活 /etc/rc.d/init.d/httpsd start 即可。 4.4 Ftpd 相同的由於 wu-ftpd 在歷史上曾有相當多的漏洞,所以 Trustix 選擇 ftpd-BSD 當作它的 ftp 伺服器,只要激活 /etc/rc.d/init.d/ftpd start 即可。 結語 OSS 的安全問題雖然要比 Close System 好的許多,但是最重要的仍是取決於管理者的手上,有沒有隨時關心網路上的消息,隨時監看系統的記錄,並加以更新捕洞,希望筆者介紹的 Trustix 能讓管理者的負擔減輕些
