分類彙整: security

檔案系統的完整性

基本上,我們還是靠L5來做檔案系統的安全性防護,不過以往我們都是透過軟碟片來記載檔案的「指紋」,現在則是因為系統檔案變多了,軟碟片已經裝不下,只好另外想辦法了。

目前,我們改用USB隨身碟來做「可防寫的指紋記載媒體」。價格當然比磁碟片高了不少,不過因為一時也想不到什麼其他更好的代用品,只好這樣處理了。 閱讀全文 檔案系統的完整性

安全措施簡介

雖然,隨著技術的進步,網路設備已經漸漸的變成以Switch為主流,不過監聽與入侵的技巧仍然日新月異,一不小心仍然會被入侵成功。自從好幾年前被入侵 過一次之後,信望愛站到目前並沒有被入侵成功過(或者被入侵而我們不知不覺?呵呵!),但是我們可以由系統記錄中知道入侵的意圖是從來沒有停過。所以,網 路安全的維護仍然是我們很重要的課題。

以往,我們以為換了Switch就比較不容易被監聽,後來,才發現利用「man in the middle」技術照樣可以監聽。使用防火牆可能可以減少入侵的機會,但是如果port 80、25、110、143跑的程式有問題,用防火牆也沒用,所以:「處處加密、時時補破洞」成為我們維護網路安全的基本哲學。還好,這幾年來網路防護的 免費技術與免費資源也增加了,所以我們可以有足夠的武器與入侵者對抗。

進系統,我們用putty取代telnet,要拿資料,我們用 winscp取代ftp。更進一步的,收信(IMAP或POP3)、發信(smpt),我們也都使用ssl加密。目前Fedora的郵件套件都可以直接使 用IMAP、POP3、smtp over SSL的技術,我們用起來也就不必像以前一樣,必須透過一些特殊的tunnel程式來協助,可以輕鬆的直接設定即可。

對一般使用者來說,好像還不是非常習慣網頁的SSL保密機制,不過如果使用webmail等系統,還是很有可能會造成密碼外洩。不管怎樣,我們還是加上了SSL的保護,並且鼓勵使用者用加密的連線來收信。

最後,因為有許多使用者是共用著信望愛站,所以如果任何一個帳號被破解、入侵,都有可能對其他使用者帶來災難。所以我們一向不隨便開放PHP、CGI等程 式功能。不過面對使用者的需求,我們好像也不能永遠都拒絕開放這些比較有危險性的功能,所以我們未來將開始研究user mode linux等jail技術,希望把一些比較危險的使用者關進虛擬機器中,這樣就可以保護其他的使用者不受影響了。 閱讀全文 安全措施簡介