第七章 Kali Linux 安全加固及监控

题图：尼泊尔 ABC 沿途客栈 2017

《Kali Linux解密》不完全翻译手册

第七章 Kali Linux 安全加固及监控

随着你用 Kali Linux 处理更敏感和更高要求的工作，对于系统的安全性也要更加重视。在本章中，我们首先要讨论下系统的安全策略以及制定策略时要考虑的各种因素，之后还会给出一些系统面临的威胁以及作为安全专家来说面临的安全问题。我们还会针对笔记本和桌面系统给出一些安全措施建议，主要集中在防火墙配置及数据包过滤方面。最后，我们将会学习一些监控工具和策略，同时还会向你展示如何通过合理运用这些内容来检测系统可能面临的风险。

章节内容：

• 制定安全策略

• 可行的安全措施/安全加固概述

• 加固网络服务

• 防火墙及包过滤

• 监控及日志记录

• 本章总结

• 本章练习

• KLCP 知识点 #7

7.1 定义安全策略

如果想要简单的讲述一下系统安全是不太现实的，因为这里面包含了大量的概念、工具、规范等，这些没有一个是通用的。如何选择取决于你的根本目的是什么。在开始对系统进行安全加固之前需要先回答一些基础问题。没有明确目的引入一些工具可能会导致安全上的风险。

通常，最好的做法是先明确目标。而以下几个问题可以帮助你做到这一点：

你要保护什么内容？计算机还是数据？这两者的安全策略是不同的，如果是保护数据，那么你还要知道要保护哪些数据。

你要针对哪种情况做保护？机密数据泄露？数据意外丢失？服务中断导致的损失？

还有，你要针对谁进行防御？对常规使用者和外部蓄意攻击组织的安全防御策略是完全不同的。

“风险”这个词通常集中体现在以下三个方面：保护什么、阻止什么、谁能触发问题。评估风险首先要回答这三个问题。通过评估建立风险模型，之后依据模型建立安全策略，再通过实际行动来落地执行。

额外的限制措施也值得引入到账户管理中，因为它们可以限制可用的策略。你究竟想要把系统加固到什么程度？这个问题直接影响到你对策略的选择。绝大多数情况下，这个问题通常由造成损失的价值来衡量，但是其他方面也需要考虑进来，比如，强制引入的策略对系统用户造成的不便以及系统性能的降低等。

一旦风险模型建立起来，你就可以开始考虑设计具体的安全策略了。

在决定要采取安全保护级别的时候，还会有一些极端的情况。另一方面，它还可以简单的提供基础的系统安全防护。

例如，被保护的系统是由二手电脑构成的，而它唯一的用途就是在日期后面添加一些数字，那么不用做什么特殊的保护也是可以理解的。这个系统本身的价值不高，而由于数据不存储在这些电脑上，所以数据价值为零。攻击者潜入这些电脑最多就能弹一个计算器（常规 POC 的演示方法）。加固这样一个系统的成本可能要高于攻破的成本。

另一方面，你对保护敏感数据的机密性考虑可能胜过一切。这种情况下，最好的办法就是完全的摧毁数据（安全的删除文件、低级格式化硬盘、使用酸液溶解碟片等等）。如果数据需要存储起来以备未来之用（尽管不必立即可用），并且不需要考虑成本的话，可以将数据存储在铱铂合金磁盘上，然后放到有炸弹保护的地堡里，这些地堡分布在世界各地的大山之中，当然每一个地堡都是完全保密的，而且都有武装进行保护。

以上例子看起来都很极端，尽管如此，这些措施对于应对特定风险是足够的了。目前涉及的范围还只是思考和分析的结果，考虑了目标达成和规则实施的一些因素。当从理性角度做决定的时候，没有任何一个安全策略要比其他策略更优。

来看一个更典型的情况，一个信息系统可以被划分成统一、独立的子系统。每一个子系统都有自己的独特要求和限制，因此，风险评估和安全策略的设计应该分开来做。需要记住的一个原则是：小的攻击面永远比大的容易防范。因此网络分组也要依此设计：敏感服务应该只集中在少数机器上，而且访问这些机器的路由或节点要最小化。这个逻辑很简单：要防御外界的攻击，只加固这些有限的节点要比加固所有存储敏感信息的机器容易的多。从这点来看，网络过滤（包括防火墙）的作用就更加明显了。过滤可以采用专门的硬件来完成，但是更简单、灵活的方案是使用软件防火墙，比如 Linux kernel 就集成了一个。