BackTrack及其工具保护企业环境免遭远程入侵(1)

限制网络暴露程度

针对每一项暴露的服务，你应该确定该服务是不是果真有必要暴露。若没有必要暴露，一个办法就是，确保该服务只侦听本地回送接口（127.0.0.1）。当MySQL服务只服务本地请求时，这对该服务来说是个好办法。为此，就MySQL服务而言，编辑my.cnf文件。当MySQL侦听所有接口时， bind-address命令看起来像这样：bind-address = 0.0.0.0。想让它只侦听本地接口，将它更改成bind-address = 127.0.0.1。

此外，MySQL让你可以明确限制允许用户连接的远程主机，连接远程主机是MySQL的连接验证过程的一部分。这样一种额外的安全限制有助于防范蛮力攻击，但是通常对防范远程软件安全漏洞无济于事。

你还可以使用防火墙来限制对服务的访问。如果配置得当，防火墙可以只允许某些主机连接至某项特定服务。MySQL的一个示例iptables命令看起来像这样：iptables -I INPUT -s 192.168.1.1 -p TCP --dport 3306 -j ACCEPT; iptables -I INPUT -p TCP --dport 3306 -j DROP。这个示例命令只允许从IP地址192.168.1.1进行MySQL连接。

作为最后一招，你可以决定为某项服务更改默认端口。这通常适用于必须仍然保持相对隐藏，但从外面仍可以完全访问的敏感服务。当系统管理员想从任何地方获得访问权时，SSH常常是这种情况。你可以把SSH端口更改成通常扫描的范围（1-10000）之上的一个端口。比如说，如果你设置SSH守护进程，以便侦听端口19999，它不大可能被检测出来，但是你仍能够从任何地方访问该服务，只要你知道这个端口。想更改SSH端口，编辑文件/etc/ssh/sshd_config 中的命令Port，然后重启服务。当以后用你的SSH客户端进行连接时，别忘了指定该端口（Linux外壳中的ssh -p）。

这些是限制远程连接、防范外部攻击的几个最简单的方法。如果你有兴趣想了解更高级的手段，可以考虑采用端口碰撞（port knocking）这个值得关注的理念和办法。

限制暴露的信息

通过我们的实例处理SSH和MySQL服务后，只有Web服务仍暴露着。按理说，外界通过标准的HTTP TCP端口80，完全可以访问该服务；我们无法把该服务隐藏在一个不同的端口后面，也无法限制对该服务的访问。我们唯一的选择就是，关于它的信息尽量少透露。

按照上一个实例，Apache版本是Apache httpd 2.2.22（(Debian)）。这为攻击者提供了大量的信息：Web服务器名称、版本、甚至还有操作系统。你可以限制这些信息，只需更改Apache配置，并且将服务器权标设置为ServerTokens ProductOnly。之后，当你再次运行扫描时，你会看到版本信息只有Apache httpd。

就算我们使用那个基本的Nmap实例，也能获得除版本之外的更多信息。就Apache而言，Nmap还显示了OPTIONS报头被允许；http方法方面没有什么限制 ：|_http-methods: No Allow or Public header in OPTIONS response (status code 200)。从安全的角度来看，将允许的HTTP方法限制在你网站真正需要的几种方法很重要，因而为攻击者提供了较少的办法。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!