Red Hat Enterprise Linux 5

Deployment Guide

Deployment, configuration and administrationof Red Hat Enterprise Linux 5

Deployment_Guide

Deployment Guide

Red Hat Enterprise Linux 5 Deployment GuideDeployment, configuration and administration of Red HatEnterprise Linux 5版 6

Copyright © 2007, 2008, 2009, 2010 Red Hat Inc..

The text of and illustrations in this document are licensed by Red Hat under a CreativeCommons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL forthe original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not toassert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, MetaMatrix, Fedora, theInfinity Logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States andother countries.

Linux® is the registered trademark of Linus Torvalds in the United States and othercountries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in theUnited States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union andother countries.

All other trademarks are the property of their respective owners.

1801 Varsity Drive Raleigh, NC 27606-2072 USA Phone: +1 919 754 3700 Phone: 888 733 4281 Fax: +1 919 754 3701

The Deployment Guide documents relevant information reegarding the deployment,configuration and administration of Red Hat Enterprise Linux 5.

iii

簡介                                                                                  v1. 我們需要您的寶貴意見！ .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v

I. 安全性與授權                                                                        1

1. 系統安全的概要                                                                 31.1. 安全弱點偵測 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.1.1. 模擬敵人的思考方式 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.1.2. 定義評估與測試 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.1.3. 評估這些工具 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.2. 常見的安全性漏洞與攻擊 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71.3. 安全性更新 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1.3.1. 更新套件 .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

A. Revision History                                                                   15

2. 版本紀錄                                                                           17

iv

v

簡介歡迎使用 Red Hat Enterprise Linux 建置指南。

Red Hat Enterprise Linux 建置指南包含了如何自訂您的 Red Hat Enterprise Linux系統以符合您需求之相關訊息。如果您需要的是設定和自訂您系統之完整、工作取向的指南，這本手冊一定適合您。

Red Hat 的課程和證照無可置疑的是 Linux 中，甚至可以說是資訊科技業界的指標。我們的證照課程全由經驗豐富的 Red Hat 專家們執鞭，並檢測實際系統操作能力，且該專業頗受資訊業界需求。

1. 我們需要您的寶貴意見！假如您在 Red Hat Enterprise Linux 建置指南 中發現錯誤，或有任何您覺得可以改進的地方，我們很歡迎您的建言！請回報一份關於 建置指南 的報告到 Bugzilla（http://bugzilla.redhat.com/bugzilla/）。

假如您有關於改善說明文件的建議，請盡量明確的說明您的想法。 如果有發現錯誤，也請您指出段落號碼與一些周遭的文字，以使得我們可以更快的找到它。

vi

部 I. 安全性與授權不論系統管理員需要保護重要系統、服務或資料時，Red Hat Enterprise Linux 提供了多種工具和方式，作為整體安全性策略的一部分。

本章節將特別以 Red Hat Enterprise Linux 的觀點來提供基礎的安全性介紹。並提供安全評估、常見行為、入侵和突發事件處理方面的概念。也提供了如何使用 SELinux 來加強工作站、伺服器、VPN、防火牆的設定之概念的相關資訊以及其他措施。

在閱讀本章節前，您必須擁有基本相關資訊科技安全性的知識，在此提供小部份如控制實體存取、良好帳戶保管方針和程序、審核等一般安全性的觀念。您可以從其他來源取得適合的相關資訊。

 

3

系統安全的概要由於我們越來越倚賴功能強大且有網路連線的電腦來幫助我們商業方面的需求以及保存 我們的個人資料，因此研發網路與電腦安全的工業也逐漸形成。 在企業中，他們會聘請 安全性的專家來審核系統並且定制出適合他們組織之操作需求的解決方案，因為大部分 公司的運作方式都是相當彈性化的，其員工會有機會在本地端或遠端地存取公司的資訊 科技資源，因此對於安全的電腦運作環境的需求變得越來越重要。

不幸的是，大部分企業（以及個人用戶）都把安全性考量放到最後，排在 系統效能、生產力、以及預算之後。一份適切的安全性政策多半是 後見之明 — 被入侵之後才制訂出來的。安全專家同意，在連上不值得信任的網路（例如網際網路）之前，就該先做好預防措施， 這可以有效地防止大部分入侵。

1.1. 安全弱點偵測只要給予足夠的時間、資源與動機，怪客幾乎可以入侵任何的系統。因此，目前可用的安全性程序與科技都無法保證任何系統可免於入侵。路由器可以幫助保全連接到網際網路的閘道器，而防火牆可幫助保全網路的邊緣，在虛擬私有網路中可以安全地以加密的方式傳輸資料。入侵偵測系統可以用來警告您任何的惡意行為。然而，這些科技的成功也仰賴許多的變數，包括了：

� 負責設定、監控與維護這些科技之人員的專業能力。

� 快速且有效地修復與更新服務與核心的能力。

� 負責的人員對網路使用狀況保持經常警惕性的能力。

由於數據系統與科技的變動頻繁，要保全公司的資源是相當繁複的事情，要為您的所有系統找到專家的資源通常 是很困難的。 雖然我們可以擁有對高層資訊安全的許多領域都熟悉的人員，不過要保留這些專家人員是很困難的。 這主要是因為資訊安全的每一個主題領域都需要不斷地鑽研與探究，資訊安全並不會停留不變。

1.1.1. 模擬敵人的思考方式Suppose that you administer an enterprise network. Such networks are commonly comprisedof operating systems, applications, servers, network monitors, firewalls, intrusion detectionsystems, and more. Now imagine trying to keep current with each of these. Given thecomplexity of today's software and networking environments, exploits and bugs are acertainty. Keeping current with patches and updates for an entire network can prove to be adaunting task in a large organization with heterogeneous systems.

將保持程式更新的工作與專業技能的需求結合，仍然無法避免不利的事件發生，而造成系統被入侵、資料毀損 以及服務被中斷。

如要增加安全性科技與輔助以用來保護系統、網路與資料，請以怪客的思想去思考，並檢查弱點處以估計系統的安全性問題。針對您自己的系統與網路資源進行預防的安全弱點偵測將可找出潛在的問題，使得我們可以在怪客入侵之前便將之解決。

假如您即將對您的家進行一個安全弱點的偵測，您將會檢查每一個門以確定它們是否已經關閉並且鎖上，您也會檢查每一個窗戶，確保它們已完全關閉並且門閂已鎖上。同樣的概念也適用於系統、網路與電子資料上，惡意的使用者是對您資料的小偷與破壞者。請留意他們的工具、思想與動機，然後您便可以很快地因應他們的動作。

1.1.2. 定義評估與測試安全弱點偵測可以劃分為兩個類型： 從外向裡看（Outside looking in） 與 自內部檢視（insidelooking around）。

章 1. 系統安全的概要

4

When performing an outside looking in vulnerability assessment, you are attempting tocompromise your systems from the outside. Being external to your company provides you withthe cracker's viewpoint. You see what a cracker sees — publicly-routable IP addresses,systems on your DMZ, external interfaces of your firewall, and more. DMZ stands for"demilitarized zone", which corresponds to a computer or small subnetwork that sits betweena trusted internal network, such as a corporate private LAN, and an untrusted externalnetwork, such as the public Internet. Typically, the DMZ contains devices accessible toInternet traffic, such as Web (HTTP ) servers, FTP servers, SMTP (e-mail) servers and DNSservers.

當您自內部檢視做安全性評估時，因為您已經身處系統內，身份也是受信任的管理者，因此會比較佔優勢。這也是您與同事登入系統時，會看到的環境：列印伺服器、檔案伺服器、資料庫、以及其他資源。

這兩種安全弱點偵測類型有很大的分別，處身於公司內部將給予您提昇的權限，這比任何的局外人都還高。於今日大部分的公司中，仍然以這種方式來設定安全性以將入侵者阻隔在外。公司內部的保全措施相當差（如部門間的防火牆使用者層級的存取控制以及內部資源的認證程序等等）。基本上，當您進行內部檢視時，您可以存取到更多的資源，因為大部分的系統都存在於公司的內部。一旦您將自己設身於公司外部，您的狀態將馬上成為未受信任的。在外部您所能的存取的系統與資源將會非常有限。

請考量在安全弱點偵測與『滲透測試』 間的相異處，請將安全弱點偵測當作滲透測試的第一步驟，從偵測收集到的資訊將會使用於測試中，然而這個偵測將會檢查安全性漏洞與潛在的弱點，滲透測試實際上將試著破壞所發現的資源。

存取網路的基礎架構是一個動態的程序，資訊與實體上的安全也都是動態的。 執行一個偵測將可顯示出一個 概要以及主動錯誤訊息(false positives) 和被動錯誤訊息(false negatives)。

安全性的管理員只是與他們所使用的工具以及他們保有的知識一樣好，請使用目前所有可用的偵測工具，並於您的系統上執行它們，將可以向您保證會出現一些主動錯誤訊息。不管是因為程式錯誤或使用者的錯誤，結果將會是相同的。這些工具也許會發現實際上不存在的弱點（主動錯誤訊息）；這些工具也許不會發現實際上確實存在的弱點（被動錯誤訊息）。

現在我們已經定義了安全弱點偵測與滲透測試的不同處。正式進行滲透測試，並作為新方法前，詳細檢視這些相異處。

警告

嘗試破壞生產資源的弱點，將會對您系統與網路的生產能力與效率造成相反地效果。

以下的清單列出執行安全弱點偵測的一些好處。

� 養成主動且專注於資訊安全的習慣

� 在怪客發現之前，找出潛在的缺失

� 更新系統，讓系統保持在最新狀態

� 促進成長與輔助職員專業技能的發展

� 減少財務損失與負面的公眾形象

評估這些工具

5

1.1.2.1. 建立一個方法論為了輔助安全弱點偵測工具的選擇，建立一個安全弱點偵測的方法論是很有幫助的。 很不幸的，目前沒有任何 預先定義好的或業界認可的方法論標準，然而一般常識與良好的實習可以當作一個足夠的指引。

什麼是我們的目標？我們是要針對一部伺服器還是要針對整個網路以及網路中的所有資源？我們是位於公司的內部或外部？ 這些問題的答案是很重要的，因為它們可以輔助您決定要選擇那些工具 以及該如何使用這些工具的方法。

如需關於建立方法論的資訊，請參考下列的網站：

� http://www.isecom.org/projects/osstmm.htm 開放原始碼安全性測試方法論手冊(The Open SourceSecurity Testing Methodology Manual) (OSSTMM)

� http://www.owasp.org/ 開放原始碼網頁應用程式安全性專案(The Open Web Application SecurityProject)

1.1.3. 評估這些工具偵測可以從使用一些資訊蒐集工具來開始，當存取整個網路時，請先查詢配置圖以找出執行中的主機，找到後，再個別的檢查每一部主機。專注於這些主機的動作需要另一組工具。在目前這個找出安全弱點 階段的最重要步驟便是了解該使用那些工具。

有許多種不同的工具卻可用來執行相同的工作，這個概念也適用於執行安全弱點的偵測。有特定使用於作業系統、應用程式甚至網路的工具（基於使用的通訊協定），有些工具是免費，有些則不是。有些工具是直覺性的且使用容易，然而某些工具則為艱澀難懂的，而且缺少說明文件，不過它們卻含有其他工具所缺少的許多特色。

要找到適當的工具也許是很困難的，到最後，還是得靠經驗才行。假如可行的話，請設定一個測試工作室來測試您所擁有的所有工具，並記下每一個工具的優缺點，且記得檢視工具的讀我檔案(README)或者是 man page。 除此之外，請在網際網路上搜尋關於某一工具的文章、使用手冊或者甚至郵遞論壇，以取得更多資訊。

以下所探討的工具只是可用工具的一個小型範例。

1.1.3.1. 使用 nmap 掃描主機Nmap 是收錄於 Red Hat Enterprise Linux 中的一個相當受歡迎的工具，可以用來找出一個網路的配置。Nmap 已經使用多年，而且也許是用來蒐集網路資料最常被使用的工具。也收錄了相當棒的 man page 以提供關於它的選項與用法的詳細說明。系統管理員可以在網路中使用 nmap 來找出主機系統以及在這些系統中所開啟的連接埠。

nmap 足以勝任安全弱點偵測的第一步驟，您可以找出網路內部的所有主機，甚至可以使用一個選項，讓nmap來試圖找出一部特定主機所執行的作業系統。 Nmap 是一個很好的基礎，以用來設立使用安全服務與停止未使用服務的方針。

1.1.3.1.1. 使用 Nmap請在 shell 提示符號下輸入 nmap 指令執行nmap，再加上要掃描機器的主機名稱或 IP 位址。

nmap foo.example.com

掃描的結果（將會花上一些時間，取決於該主機的位置）將會類似以下的輸出：

章 1. 系統安全的概要

6

Starting nmap V. 3.50 ( www.insecure.org/nmap/ )Interesting ports on localhost.localdomain (127.0.0.1):(The 1591 ports scanned but not shown below are in state: closed)Port State Service22/tcp open ssh25/tcp open smtp111/tcp open sunrpc443/tcp open https515/tcp open printer950/tcp open oftep-rpc6000/tcp open X11

Nmap run completed -- 1 IP address (1 host up) scanned in 71.825 seconds

Nmap 為聆聽與等待服務最常用的網路通訊連接埠進行測試，這個方法對想要關閉不需要或非使用中之服務的系統管理員來說是很有幫助的。

如需關於使用 Nmap 的更多資訊，請參考下列網址的官方網站：

http://www.insecure.org/

1.1.3.2. NessusNessus 是一種全服務的安全性掃描程式，Nessus 的插增架構使得使用者可以為他們的系統與網路自訂此程式。如同任何的掃描程式，Nessus 僅仰賴它的簽章資料庫，很幸運的，Nessus 程式經常被更新。它含有完整回報、主機掃描以及即時的弱點搜尋等特色。即使像Nessus 程式功能如此的強大，而且經常地更新，還是可能發生主動錯誤訊息和被動錯誤訊息。

請注意

Red Hat Enterprise Linux 中未收錄 Nessus，也不支援此功能。本文件收錄這一部分，供有興趣使用此應用程式的使用者參考。

如需關於使用 Nessus 的更多資訊，請參考下列網址的官方網站：

http://www.nessus.org/

1.1.3.3. NiktoNikto 是一個很棒的 CGI 掃描程式，不僅可以檢查 CGI 程式碼的安全弱點，還可以以一種規避的方式來做檢查，以用來規避入侵偵測系統。它含有完整的說明文件，強烈建議您在執行程式之前要仔細的閱讀。如果您的網頁伺服器執行 CGI 程式碼，Nikto 將會是用來檢查這些伺服器安全性的最佳資源。

請注意

Red Hat Enterprise Linux 中未收錄 Nikto，也不支援此功能。我們在這本手冊中提供它給對於使用這個受歡迎應用程式有興趣的使用者參考用。

關於 Nikto 的更多資訊，可以於下列網址中找到：

http://www.cirt.net/code/nikto.shtml

常見的安全性漏洞與攻擊

7

1.1.3.4. VLAD the ScannerVLAD 是由 Bindview, Inc. 公司的 RAZOR 小組所開發的一個弱點掃描程式，可以使用它來檢查安全弱點。它會檢查 SANS 十個首要的一般安全問題（如 SNMP 問題與檔案共享問題等等）。雖然它不如 Nessus 擁有較完整的特色，VLAD 還是值得您詳加研究。

請注意

Red Hat Enterprise Linux 中未收錄 VLAD 而且也不支援它的使用。我們在這本手冊中提供它給對於使用這個受歡迎應用程式有興趣的使用者參考用。

關於 VLAD 的更多資訊，可以在下列 RAZOR 小組網站的網址中找到：

http://www.bindview.com/Support/Razor/Utilities/

1.1.3.5. 預期您的未來需求Depending upon your target and resources, there are many tools available. There are toolsfor wireless networks, Novell networks, Windows systems, Linux systems, and more. Anotheressential part of performing assessments may include reviewing physical security, personnelscreening, or voice/PBX network assessment. New concepts, such as war walking scanning theperimeter of your enterprise's physical structures for wireless network vulnerabilitiesare some emerging concepts that you can investigate and, if needed, incorporate into yourassessments. Imagination and exposure are the only limits of planning and conductingvulnerability assessments.

1.2. 常見的安全性漏洞與攻擊表格 1.1, “常見的安全性漏洞” details some of the most common exploits and entry pointsused by intruders to access organizational network resources. Key to these common exploitsare the explanations of how they are performed and how administrators can properlysafeguard their network against such attacks.

表格 1.1. 常見的安全性漏洞

安全性漏洞 說明 附記

空的或預設的密碼 將系統管理員的密碼設為空白，或使用硬體廠商提供的預設密碼：這些情況最常出現在諸如路由器或防火牆等硬體上。雖然某些 Linux 上的服務使用了預設的管理者密碼；但 Red HatEnterprise Linux 並不提供這類密碼。

通常與網路硬體有關，例如路由器、防火牆、VPN 或網路儲存裝置（NAS）。這在許多過去的作業系統中非常常見，尤其是伴隨著服務的作業系統（例如 UNIX 與 Windows）有時候管理者會匆促建立一些具有高階權限的使用者帳號，但不賦予任何密碼。如果駭客發現這些帳號，這將會是絕佳的切入點。

預設共享的金鑰 因為發展或評估測試等用途，安全性服務有時會含有預設的安全金鑰。如果這些金鑰未經修改，就伴隨著軟體在網際網路上公佈，那麼所有擁有這些金鑰的使用者，就可以存取這金鑰所分享出來的資源，以及所有的機密資訊。

這在無線網路存取點與預先設定好安全措施的伺服器裝置上，非常常見。

章 1. 系統安全的概要

8

安全性漏洞 說明 附記

偽冒 IP 位址 一部偽裝成您內部網路中某電腦的遠端機器，它會尋找所有伺服器的漏洞，再安裝後門程式或木馬程式，以獲取您網路資源的控制權。

偽冒 IP 位址是相當困難的，因為它牽涉到攻擊者必須能夠預測 TCP/IPSYN-ACK 的封包數量以完成與目的系統的連線，不過有許多種工具可以使用來協助怪客們執行如此的攻擊。取決於目的系統所執行的服務（例如rsh、telnet、FTP 等服務）它們使用『來源為主的』認證技術，通常我們不建議使用者使用，通常建議使用者採用 ssh 或 SSL/TLS 所使用的 PKI或其他形式的加密認證技術。

網路竊聽 藉由網路竊聽兩個節點間的連線來收集在兩個使用中節點間所傳輸的資料。

這種攻擊多辦針對使用一般文字來傳送資料的通訊協定，例如 Telnet、FTP 與 HTTP。要進行這種攻擊，遠端攻擊者必須先侵入區域網路；通常怪客會使用主動式攻擊（例如 IP 偽冒或中途截擊），以侵入區域網路上的系統。請使用預防性的措施，包括使用交換加密金鑰的服務、一次性密碼、或加密的身份認證過程，以防止密碼被竊；我們也建議您使用強固的加密傳輸模式。

服務的弱點攻擊 攻擊者將會尋找在網際網路上運作之服務的缺陷或弱點處，透過這些地方，攻擊者將可以入侵整個系統並截取它所擁有的任何資料，還可能導致網路上的其他系統遭受入侵。

HTTP-based services such as CGIare vulnerable to remote commandexecution and even interactiveshell access. Even if the HTTPservice runs as a non-privilegeduser such as "nobody", informationsuch as configuration files andnetwork maps can be read, or theattacker can start a denial ofservice attack which drains systemresources or renders it unavailableto other users.在建置與測試服務的時候，有時會不知不覺地就成為弱點；這些弱點（例如緩衝區溢位，攻擊者會藉由應用程式的互動式命令列介面，執行惡意的指令，輸入錯誤的值，填入應用程式的記憶體緩衝區中）會將管理者的權利交付到攻擊者的手上。管理者應該要確定這些服務不以 root使用者的身份執行，並隨時提高警覺，從應用程式廠商或安全機構（例如CERT 與 CVE）處，套用最新的升級檔與勘誤。

應用程式的安全性弱點

攻擊者會搜尋一般個人電腦與工作站應用程式（如電子郵件用戶端）的缺陷，然後恣意執行程式碼，植入木馬程式方便將來的入侵，甚至毀損整個

工作站與桌上型電腦比較無法抵抗入侵，因為使用者並沒有足夠的專業知識或經驗來預防或偵測入侵；因此讓每個人知道，安裝不明來源的軟體或

安全性更新

9

安全性漏洞 說明 附記

系統。假如遭入侵的工作站擁有其他電腦的管理權限，那將會對整個網路造成極大的傷害。

打開不明郵件附加檔案會有風險，是非常重要的事情。您可以安裝守護程式，這樣電子郵件軟體就不會自動開啟或執行附件檔。除此之外，透過 Red Hat Network 或其他的系統管理服務自動更新工作站的軟體，可以減輕佈署安全性措施的重擔。

阻絕服務（DoS）的攻擊

Attacker or group of attackerscoordinate against anorganization's network or serverresources by sending unauthorizedpackets to the target host (eitherserver, router, or workstation).This forces the resource to becomeunavailable to legitimate users.

在美國，阻斷式服務攻擊的高峰發生在 2000 年。一些被入侵的系統，藉由寬頻連線，對幾個高流量的商業與政府網站進行潮水般的協同攻擊，這些網站當時都無法提供服務；這些被入侵的系統稱為「僵屍」或重新導向的廣播節點。來源封包通常會被改過（被重新廣播出去），讓調查攻擊的真實來源的工作變得異常困難。使用 iptables 的 Ingress 過濾（IETF rfc2267）與 NetworkIDSes（例如 snort）的高階功能，都能幫助管理者追蹤、防止分散式阻斷服務的攻擊。

1.3. 安全性更新當您發現安全性漏洞時，一定要更新該漏洞所影響的軟體，以降低任何潛在的風險。如果該軟體是受支援 Red Hat Enterprise Linux 版本的套件之一，那麼 Red Hat Inc. 承諾將盡快推出升級套件，以修正問題。通常公佈安全性漏洞時，都會附上修正程式（或是可以修正程式的原始碼）。然後這修正程式會納入 Red Hat Enterprise Linux 套件中，由 Red Hat 的品質保證小組測試，最後再以修補程式更新釋出。然而；如果公告中不含修正程式時，Red Hat 的程式設計師會與該軟體的維護者一起解決問題。只要問題一修正，我們就會進行套件測試，然後推出修補程式。

如果有適用於您系統的任何軟體更新套件推出，我們強烈建議您立即升級該套件， 以降低系統暴露於這潛在風險中的時間。

1.3.1. 更新套件當您更新系統上的軟體時，最好從可信賴的來源下載更新，一個攻擊者可以很容易地重建一個含有相同版本號碼的套件，來混充為用來修正問題的更新套件，不過其中卻含有另一個不同的安全性問題，並將它放置在網際網路上。假如發生如此情事的話，藉由使用例如針對原本的 RPM 來檢驗檔案的安全性方式並無法偵測到問題的存在，因此最好只從可信賴的來源下載 RPMs，例如從 Red Hat Inc.，並且要檢查該套件的數位簽章以檢驗它的完整性。

Red Hat 提供您兩個管道，以取得有關修正程式的訊息。

1. Red Hat Network 上已列出並可供下載

2. Red Hat Errata 網站上已列出但未提供連結

章 1. 系統安全的概要

10

請注意

Red Hat Enterprise Linux 產品線剛推出時，您就可以從 Red Hat Network 上下載更新過的套件。雖然 Red Hat Errata 網站上包含了更新訊息；但網站上並不提供套件 供人下載。

1.3.1.1. 使用 Red Hat NetworkRed Hat Network 允許大部分的更新過程都能自動化，它可找出系統需要那些 RPM 套件，然後將它們從安全的檔案庫下載下來，並且檢驗 RPM 簽章以確定它們沒有被竄改過，然後再更新它們。您可以立即進行套件安裝，或者是排定某一個時間在進行安裝。

對每一部要進行更新的機器，Red Hat Network 都需要一個系統資料檔，系統資料檔中含有關於這部系統的硬體與軟體的資訊，這些資訊將會被機密的保存， 而且不會給予他人。這個資料檔只用於決定那些修補程式更新適用於每一部系統， 而缺少它的話，Red Hat Network 將無法決定該系統是否需要更新。當一個安全性的修補程式 （或者是任何類型的修補程式）釋出後，Red Hat Network 會傳送一封電子郵件，其中含有該 修補程式之描述以及所影響之系統的清單，如要套用更新， 請使用 Red Hat 更新代理程式 或者是透過 http://rhn.redhat.com1 網站排定要更新套件的時程。

Tip

Red Hat Enterprise Linux 含有 Red Hat 警示更新工具：一個方便好用的面板圖示，當註冊過的 Red Hat Enterprise Linux 系統有更新程式出現時，它會顯示明顯的警示圖示。請參考下列網址以取得關於這個小程式的更多資訊：https://rhn.redhat.com/rhn/help/quickstart.jsp

重要

Before installing any security errata, be sure to read any special instructionscontained in the errata report and execute them accordingly. Refer to 節 1.3.1.5, “套用變更” for general instructions about applying the changes made by an errata update.

1.3.1.2. 使用 Red Hat 的修補程式網站當安全性修補程式報告釋出後，它們將會被公佈在 Red Hat 的修補程式網站：http://www.redhat.com/security/。從這網頁上，請選擇您系統 所安裝的產品與版本，再選擇security（安全），接下來網頁會為您顯示 Red Hat Enterprise Linux Security Advisories（安全建議）。如果您在系統上安裝的任何元件，顯示於安全建議表中，請按下其中任何一項，以取得更詳細資訊。

在細節的那頁描述安全性的漏洞以及除了更新套件以修正安全性漏洞外，必須執行的任何 特殊指示。

要下載更新套件，請按下連結以登入 Red Hat Network，再按下套件名稱，儲存到硬碟上。強烈建議您建立一個新的目錄，例如 /tmp/updates，以儲存所有下載的套件。

1.3.1.3. 驗證附數位簽章的套件所有的 Red Hat Enterprise Linux 套件都透過 Red Hat Inc. GPG 金鑰簽證過。GPG為 GNU PrivacyGuard（或GnuPG）的縮寫，是免費的軟體套件，用來確保套件中檔案的完整性。舉例來說，套件會以1 http://rhn.redhat.com

更新套件

11

Red Hat 的私密金鑰加密；而另一方面使用者則用公開金鑰解密並驗證套件的完整性。如果 Red Hat釋出的公開金鑰在驗證過程中，無法對應到原有的私密金鑰，那表示該套件可能被竄改過，使用者不該信任這套件的安全性。

Red Hat Enterprise Linux 內附的 RPM 公用程式會在安裝套件前，自動驗證 RPM 套件的 GPG數位簽章。如果您尚未安裝 Red Hat 的 GPG 金鑰，請從一個安全無虞的地方，例如 Red HatEnterprise Linux 安裝光碟中安裝。

假設光碟機的掛載點是/mnt/cdrom，請使用下列指令將 金鑰匯入到金鑰環（系統上儲存可信任金鑰的資料庫 ）中：

rpm --import /mnt/cdrom/RPM-GPG-KEY-redhat-release

如要顯示用於 RPM 驗證之所有安裝的金鑰清單，請執行下列指令：

rpm -qa gpg-pubkey*

至於 Red Hat 的金鑰，輸出將含有下列的資訊：

gpg-pubkey-37017186-45761324

如要顯示關於一個特定金鑰的的細節，請使用 rpm -qi 指令後面加上上一個指令的輸出，如以下例子所示：

rpm -qi gpg-pubkey-37017186-45761324

在安裝 RPM 套件之前，檢查 RPM 檔案的簽名是相當重要的，如此才能確保來自 Red Hat Inc. 所釋出的套件沒有被修改過，如要一次檢驗所有下載的套件，請執行下列的指令：

rpm -K /tmp/updates/*.rpm

For each package, if the GPG key verifies successfully, the command returns gpg OK. If itdoesn't, make sure you are using the correct Red Hat public key, as well as verifying thesource of the content. Packages that do not pass GPG verifications should not be installed,as they may have been altered by a third party.

在驗證完 GPG 金鑰，而且下載完所有與修補程式報告相關的所有套件後，請在 shell 提示 符號下以 root 身份安裝這些套件。

1.3.1.4. 安裝通過驗證的套件您可以執行下列指令，順利安裝大部分的套件（除了核心套件外）：

rpm -Uvh /tmp/updates/*.rpm

請使用下列的指令安裝核心套件：

rpm -ivh /tmp/updates/<kernel-package>

章 1. 系統安全的概要

12

Replace <kernel-package> in the previous example with the name of the kernel RPM.

當您的機器使用新的核心重新開機後，您可以使用下列指令來移除舊的核心：

rpm -e <old-kernel-package>

Replace <old-kernel-package> in the previous example with the name of the older kernelRPM.

請注意

您不一定要移除舊的核心。預設的開機載入程式GRUB會列出多項核心， 讓您擇一開機。

重要

Before installing any security errata, be sure to read any special instructionscontained in the errata report and execute them accordingly. Refer to 節 1.3.1.5, “套用變更” for general instructions about applying the changes made by an errata update.

1.3.1.5. 套用變更在從 Red Hat Network 或 Red Hat 的修補程式網站下載並安裝安全性修補程式後，請停止使用舊版本的軟體，而開始使用新版本的軟體。該如何完成這個過程取決於要更新的軟體類型，以下的清單分項列出軟體的一般類別，而且提供在一個套件升級後使用更新版本的指示。

請注意

一般來說，重新啟動系統是確保使用最新版本之軟體套件最佳的方式，然而，對系統管理員 來說，這個選項並非總是可以使用。

應用程式User-space 應用程式指得是可由系統使用者啟動的任何程式。基本上，這種應用程式會由使用者、程式碼、或是自動化排程的公用程式啟動，而且執行時間都不會太長。

一旦更新一個 user-space 的應用程式後，關閉系統上該應用程式的任何使用中的實例， 然後再次啟動程式以使用更新的版本。

核心核心是 Red Hat Enterprise Linux 作業系統最主要的軟體元件，它掌管記憶體、微處理器與週邊設備的存取，以及排程所有的系統工作。

由於它的中心角色，在沒有關閉電腦的情況下無法重新啟動核心，因此在系統重新啟動之前， 您將無法使用更新版本的核心。

共享函式庫共享函式庫是程式碼的單位（如 glibc）是由許多應用程式與服務所 使用的，有利用共享函式庫的應用程式基本上都會在應用程式初始時載入共享程式碼，所以 使用更新函式庫的任何應用程式都必須在關閉後再重新啟動。

要找出正在執行中的哪個應用程式連結到某特定函式庫，請使用lsof 指令，如以下例子所示：

更新套件

13

lsof /usr/lib/libwrap.so*

這個指令傳回使用 TCP 包裹程式當作主機存取控制的所有執行中程式的清單，因此當 tcp_wrappers 套件更新後，任何所列出的程式都必須關閉後再 重新啟動。

SysV 服務SysV 服務是在開機過程中啟動的持續性伺服器程式，SysV 服務的例子有 sshd, vsftpd 與 xinetd。

因為這些程式在機器開機後便一直停留在記憶體中，因此在套件升級後，每一個更新的 SysV 服務都必須先關閉後再重新啟動。這個動作可以使用 服務設定工具 來完成，或是登入到一個 root的 shell 提示符號然後執行 /sbin/service 指令來完成，如下所示：

/sbin/service <service-name> restart

In the previous example, replace <service-name> with the name of the service, such assshd.

xinetd 服務只當一個現行的連線存在時，有 xinetd 超級服務所控制的服務才會 執行，由 xinetd 所控制的服務例子包括 Telnet, IMAP 與 POP3。

因為在每次接收到新要求時，這些服務的新實例是由 xinetd 所啟動， 在更新後所產生的連線是由更新的軟體所處理，然而如果在 xinetd 所 控制的服務升級時，仍有現行的連線存在，它們則是由舊版本的軟體所伺服。

要刪除特定的，由xinetd所控制的舊服務項目，請先升級 該服務的套件，然後終止所有執行中的相關程序。請用ps 指令找出系統裡有哪些執行中的程序，再用kill 或 killall指令終止這些服務的執行續。

舉例來說，假如 imap 套件的安全性修補程式釋放了，請升級該套件， 然後以 root 身份在 shell 提示符號下輸入下列指令：

ps -aux | grep imap

這個指令傳回所有現行的 IMAP 作業階段，可以執行下列的指令來終止個別的作業階段：

kill <PID>

如果這無法結束該作業階段，請執行下列指令：

kill -9 <PID>

In the previous examples, replace <PID> with the process identification number (found inthe second column of the ps command) for an IMAP session.

如要結束所有現行的 IMAP 作業階段，請執行下列指令：

killall imapd

14

15

附錄 A. Revision History修訂 8 Thu July 30 2010 Douglas Silas dhensley@redhat.com

Resolve BZ#239313: document oom_adj and oom_score.Resolve BZ#526502: correct quotaon instructions with proper, safe operating procedures.Resolve BZ#551367: correct SELinux dhcpd_disable_trans description.Resolve BZ#521215: clarify NFS interaction with portmapper, rpc.mountd, rpc.lockd andrpc.statd.Resolve BZ#453875: various OpenSSH chapter corrections.Resolve BZ#455162: correct zone example configuration file, description.Resolve BZ#460767: make it a proper daemon.Resolve BZ#600702: correct directories used for SSL key generation.

修訂 7 Wed Sep 30 2009 Douglas Silas dhensley@redhat.com, JarekHradilek jhradile@redhat.com, Martin Prpicmprpic@redhat.com

Change heading titles to correspond with actual headings used in 'man rpm'.Resolve BZ#499053: /usr/sbin/racoon is correct install path.Remove any mention of 'pkgpolicy' in /etc/yum.conf as per BZ#237773.Resolve BZ#455162: correct example zone file with regard to records, description.Resolve BZ#510851: /proc/cmdline has confusing descriptions of sample output.Resolve BZ#510847: page with multiple footnotes formatted incorrectly in online PDF.Resolve BZ#214326: more detailed usage info concerning vsftpd banners and secueerity.Resolve BZ#241314: formatting problems in screen elements.Resolve BZ#466239: postfix connect-from-remote-host configuration fix.

修訂 7 Mon Sep 14 2009 Douglas Silas dhensley@redhat.com

Resolve BZ#214326: Server Security FTP Banner instructions: questions re: vsftpd.conf.Resolve BZ#466239: insert line into Postfix config file to allow connecting remotely.Resolve BZ#499053: path for racoon daemon is /usr/sbin/racoon, not /sbin/racoon.Resolve BZ#510847: missing footnotes in PDF output.Resolve BZ#510851: rewrite /proc/cmdline minor section to make more sense.Resolve BZ#515613: correct location of RHEL5 GPG keys and key details.Resolve BZ#523070: various minor fixes; --redhatprovides to rpm -q --whatprovides.

修訂 6 Wed Sep 02 2009 Douglas Silas dhensley@redhat.com

Resolve BZ#492539: "This directive is useful..." to "This directive must be used in machinescontaining more than one NIC to ensure...".Resolve BZ#241314: re: kernel-pae and hugemem support on RHEL 4 and 5.Resolve BZ#453071: incorrect tag use led to config files and other screen elements beingdisplayed on single lines.Resolve BZ#507987: clarify and correct statements about partitions being in use whileresizing or removing.Resolve BZ#462550: recommended amount of swap space, according to http://kbase.redhat.com/faq/docs/DOC-15252.Resolve BZ#466239: line omitted from Postfix configuration meant connecting remotelyfailed

附錄 A. Revision History

16

Resolving other MODIFIED BZs (fixed previously): 468483, 480324, 481246, 481247, 438823,454841, 485187, 429989, 452065, 453466.

修訂 5 Wed Jan 28 2009 Michael Hideo Smith mhideo@redhat.com

Resolves: #460981Changing 64GB *tested* support to support for 16GB.

 

17

版本紀錄本手冊是以 DocBook XML v4.3 寫成。

Garrett LeSage 是一些圖片（附記、提示、重要、注意與警告）的製作者。這些圖片得以隨 RedHat 文件任意散佈。

Contributing Writers: John Ha (System Administration, Filesystems, Kernel), Joshua Wulf(Installation and Booting), Brian Cleary (Virtualization), David O'Brien (Security andSELinux), Michael Hideo (System Administration), Don Domingo (System Administration), MichaelBehm (System Administration), Paul Kennedy (Storage), Melissa Goldin (Red Hat Network)

前作者群：Sandra Moore, Edward C. Bailey, Karsten Wade, Mark Johnson, Andrius Benokraitis,Lucy Ringland

軟體工程：Jeffrey Fearn

技術編輯：Michael Behm

美工設計：Andrew Fitzsimon

Red Hat 本地化小組包含以下成員：

� 東亞語言

� 簡體中文

� 傅同杰

� 黃曦

� 劉衛

� 王賽英

� 繁體中文

� 鄭中

� 莊佳儒

� 吳宏彬

� 日文

� 橋田喜代人

� 伊藤淳子

� 水本紀子

� 長本琢郎

� 韓文

� 金銀珠

� 金芝恩

� 拉丁語系

章 2. 版本紀錄

18

� 法文

� Jean-Paul Aubry

� Fabien Decroux

� Myriam Malga

� Audrey Simons

� Corina Roe

� 德文

� Jasna Dimanoski

� Verena Furhuer

� Bernd Groh

� Daniela Kugelmann

� Timo Trinks

� 義大利文

� Francesco Valente

� 巴西式葡萄牙文

� Glaucia de Freitas

� Leticia de Lima

� David Barzilay

� 西班牙文

� Angela Garcia

� Gladys Guerrero

� Yelitza Louze

� Manuel Ospina

� 俄羅斯文

� Yuliya Poyarkova

� 印度語言

� 孟加拉文

� Runa Bhattacharjee

� 古及拉特語

� Ankitkumar Rameshchandra Patel

19

� Sweta Kothari

� 印度文

� Rajesh Ranjan

� 馬拉雅拉姆語

� Ani Peter

� 馬拉地語

� Sandeep Shedmake

� 旁遮普語

� Amanpreet Singh Alam

� Jaswinder Singh

� 泰米爾語

� I Felix

� N Jayaradha

20