登入  |  English
感謝您對「自由軟體鑄造場」的支持與愛護,十多年來「自由軟體鑄造場」受中央研究院支持,並在資訊科學研究所以及資訊科技創新研究中心執行,現已完成階段性的任務。 原網站預計持續維運至 2021年底,網站內容基本上不會再更動。本網站由 Denny Huang 備份封存。
也紀念我們永遠的朋友 李士傑先生(Shih-Chieh Ilya Li)。
自由專欄 Linux 最佳實踐指南:資料安全

Linux 最佳實踐指南:資料安全

開放性有時會讓剛接觸開源軟體的人,產生安全問題上的疑慮。有些人認為 Linux 散佈套件的推陳出新,意味著缺乏標準化,在安全架構與系統管理上,也沒有最佳的實踐標準。

事實上,開放性與大量出現的不同專案其實是優點。上至 Linux 下至小應用程式的開源專案,都會受到開發者不斷地檢視並加以改進。也就是說有許多雙眼睛在審視這些程式碼,他們都想看到這些程式碼順利運作。

Linux 資料安全確有標準存在,主要就是最初由美國國家安全局開發,於 2000 年公開釋出的 Security Enhanced Linux (SELinux)。其他也有像是 ISO 27001、PCI DSS 等中立於平台之外的標準。不過如果不付諸實用,有了這些工具也毫無意義。

常見的問題出在當 Linux 被不同團隊在不同時間,出自不同目的而部署於資料中心各處時,其組態配置所出現的差異。實作並維護適當的安全措施於是變得很棘手。這是風險所在,特別是今日的 IT 基礎架構乃是奠基在廣泛的分散式網路,這為入侵者提供了企業系統與資料的現成進入點。

標準化是關鍵之處,確保安全標準貫徹應用於 Linux 設計、部署、維護過程中。有三項基礎:

  1. 標準作業環境
  2. 標準作業環境是一套經過仔細定義的核心建構規格,能協助組織為依據其不同硬體平台、企業應用與工作負載,實作安全且經優化 Linux 系統,發展出一套可重複的流程。核心建構讓系統能迅速且一致地以安全的方式進行部署。

  3. 標準作業環境管理平台
  4. 標準作業環境管理平台是例如像 Red Hat 的 Satellite 伺服器與 Puppet 這樣的一系列技術,讓系統管理者有辦法輕鬆將重複工作自動化,並快速部署與有效管理標準作業環境與其安全性。標準作業環境管理平台能大幅降低核心建構安全性、部署和維護週期的運作成本。

  5. 最佳的系統管理程序實踐
  6. 為了維護 Linux 資料安全,安全管理必須成為 FCAPS 等所有管理方法論的關鍵組成部份。

    除了標準作業環境管理平台,像是 Centrify 等技術提供了有組織的辨識與存取管理方法,帶來更強大的安全性,更符合規格要求並降低營運成本。


你需要做的是:
  1. 在設計與設定 Linux 建構時以安全為優先
  2. 建立並維護最佳的安全組態
  3. 及時安裝支援修補和安全更新
  4. 監視並回報安全組態異動
  5. 嚴密網路與用戶存取
  6. 用戶集中管理與認證服務
  7. 使用日誌紀錄與稽核以提供品質保證與標準相符性
  8. 定期檢視政策與程序
  9. 在核心建構組態管理與部署上,挑選像 Puppet 與 Satellite 伺服器這樣的系統管理工具,為用戶認證選擇類似 Centrify 的工具,在監控上選用 Nagios 等工具。

◎本文翻譯自 Linux IT,原作者為 Simon Mitchell:
https://www.linuxit.com/blog/bid/324262/Best-Practice-Linux-Guide-Data-Security?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+LinuxIT+%28LinuxIT+Blog%29




自由軟體鑄造場電子報 : 第 233 期 自由開源軟體預設的不附隨保證與擔保特性

分類: 自由專欄