Lubuntu是Ubuntu快速、轻量级且节省能源的变体,它使用LXDE(Lightweight
X11 Desktop
Environment)桌面。它旨在面向低资源配置系统,并被主要设计用于上网本、移动设备和老旧个人电脑。

邮件系统是Linux网络应用的重要组成部分。完整的邮件系统包括底层操作系统、邮件传送代理MTA、邮件分发代理MDA和邮件用户代理MUA。

  越来越多的站长,开始使用独立主机(Dedicated Host)和
VPS。而为了节省成本或提高性能,不少人的独机和 VPS,都是基于 unmanaged
的裸机,一切都要自己
DIY。这时候,安全策略的实施,就犹为重要。下面这篇文章,我以 CentOS
为例,简单地总结一下如何配置 SSH 安全访问。

下载地址: lubuntu-10.04.iso (521MB, MD5, torrent).

  目前来看,Linux邮件系统面临的主要危险是垃圾邮件、Linux病毒和DoS攻击。本文将重点介绍Linux邮件服务器的防垃圾邮件策略。

  Linux SSH 安全策略一:关闭无关端口

X11 Desktop
Environment)桌面。它旨在面向低资源配置系统,并被主要设计用于…

  垃圾邮件的防范

  网络上被攻陷的大多数主机,是黑客用扫描工具大范围进行扫描而被瞄准上的。所以,为了避免被扫描到,除了必要的端口,例如
Web、FTP、SSH 等,其他的都应关闭。值得一提的是,我强烈建议关闭 icmp
端口,并设置规则,丢弃 icmp 包。这样别人 Ping
不到你的服务器,威胁就自然减小大半了。丢弃 icmp 包可在 iptables 中,
加入下面这样一条:

  目前广泛使用的防垃圾邮件技术有:

  -A INPUT -p icmp -j DROP

  (1)SMTP用户认证:一种常见并十分有效的方法,在邮件传送代理(MTA)上对来自本地网络以外的互联网的发信用户进行SMTP认证,仅允许通过认证的用户进行远程转发。这样既能够有效避免邮件传送代理服务器为垃圾邮件发送者所利用,又为出差在外或在家工作的员工提供了便利。如果不采取SMTP认证,在不牺牲安全的前提下,设立面向互联网的Web邮件网关也是可行的。此外,如果SMTP服务和POP3服务集成在同一服务器上,在用户试图发信之前对其进行POP3访问验证(POP
before SMTP)是一种更加安全的方法。

  Linux SSH 安全策略二:更改 SSH 端口

  (2)关闭Open Relay:现在依然存在并非少数的开放Open
Relay服务器,所以,关闭Open Relay功能对反垃圾邮件效果显著。

  默认的 SSH 端口是 22。强烈建议改成 10000
以上。这样别人扫描到端口的机率也大大下降。修改方法:

  (3)实时黑名单过滤:前面介绍的防范措施对使用自身合法域名的垃圾邮件无效,这时可以使用黑名单服务列表。针对每个进入的邮件信息,MTA程序获取远程服务器的地址,并且查询远程互联网服务器对该地址进行认证。如果该地址在垃圾邮件主机列表中,则MTA拒绝接受这些邮件信息。其中使用BRL认证过程如图1所示。

  # 编辑 /etc/ssh/ssh_config

澳门微尼斯人手机版 1

  vi /etc/ssh/ssh_config

图1

  # 在 Host * 下 ,加入新的 Port 值。以 18439 为例(下同):

  (4)内容过滤:MTA、MUA、MDA过滤有自己的特点,通常几种方法同时使用。

  Port 22

  ◆
MTA过滤:大部分MTA提供某种过滤,因为它们在电子邮件的前端,通常更容易控制邮件的到达。

  Port 18439

  ◆
MDA过滤:大多数MTA不对邮件内容过滤,对信件内容的过滤就由MDA来完成,许多复杂的过滤器都是使用MDA过滤器做的。

  # 编辑 /etc/ssh/sshd_config

  ◆
MUA过滤:MDA位于邮件服务器上,而许多用户希望从邮件界面管理过滤规则,因此需要MUA过滤。主流的MUA如Windows下的Outlook、Foxmail和Linux下的Evolution都带有过滤功能。

  vi /etc/ssh/sshd_config

  ◆ 专用工具:如SpamAssassin。

  #加入新的 Port 值

  ◆ 商业软件:如趋势科技IMSS 5.5(整合了垃圾邮件防治服务SPS)。

  Port 22

  应用实例

  Port 18439

  Sendmail是RedHat
Linux以及大多数类Unix操作系统的邮件传送代理,因此是目前配置最广泛的邮件服务器。下面以RedHat
Linux
9.0使用的Sendmail为例,介绍上面几种技术应对垃圾邮件的危害。(1)关闭Sendmail的Relay功能

  #澳门微尼斯人手机版, 保存后,重启 SSH 服务:

  所谓Relay,就是指别人能用这台SMTP邮件服务器给任何人发信,这样别有用心的垃圾发送者就可以使用这台邮件服务器大量发送垃圾邮件,而最后别人投诉的不是垃圾发送者,而是这台服务器,因此必须关闭Relay。

  service sshd restart

  其方法是:到Linux服务器的/etc/mail目录编辑access文件,去掉“*relay”之类的设置,只留“localhost
relay”和“127.0.0.1
relay”两条即可。注意,修改access文件后还要使用如下命令使修改生效:

  这里我设置了两个端口,主要是为了防止修改出错导致 SSH
再也登不上。更改你的 SSH
客户端(例如:Putty)的连接端口,测试连接,如果新端口能连接成功,则再编辑上面两个文件,删除
Port 22 的配置。如果连接失败,而用 Port 22 连接后再重新配置。

  makemap hash access.db < access

  端口设置成功后,注意同时应该从 iptables 中,
删除22端口,添加新配置的 18439,并重启 iptables。

  (2)在Sendmail中添加RBL功能

  如果 SSH 登录密码是弱密码,应该设置一个复杂的密码。Google Blog
上有一篇强调密码安全的文章:Does your password pass the test?

  RBL(Realtime Blackhole
List)是实时黑名单。常用的RBL服务器地址有relays.ordb.org、bl.spamcop.net、dun.dnsrbl.net及dnsbl.sorbs.net等。查询和删除RBL中的IP地址可以去

  Linux SSH 安全策略三:限制 IP 登录

  RBL将收集到的专发垃圾邮件的IP地址加入他们的黑名单,只要在Sendmail中加入RBL认证功能,就会使邮件服务器在每次收信时都自动到RBL服务器上去查实,如果信件来源于黑名单,则Sendmail会拒收邮件,从而使单位的用户少受垃圾邮件之苦。

  如果你能以固定 IP
方式连接你的服务器,那么,你可以设置只允许某个特定的 IP
登录服务器。例如我是通过自己的 VPN 登录到服务器。设置如下:

  在Sendmail中添加RBL认证,需要对Sendmail.mc添加以下内容:

  # 编辑 /etc/hosts.allow

  FEATURE(`dnsbl,`relays.ordb.org,`″Email blocked using ORDB.org

  vi /etc/hosts.allow

  • see″)

  # 例如只允许 123.45.67.89 登录

  最后执行“m4 Sendmail.mc> Sendmail.cf”和“service Sendmail
restart”两条命令,使有关Sendmail的修改生效。(3)打开Sendmail的SMTP

  sshd:123.45.67.89

  ◆ 服务器端设置

  Linux SSH 安全策略四: 使用证书登录 SSH

发表评论

电子邮件地址不会被公开。 必填项已用*标注