2、Linux郵件服務器的安全管理
隨着互連網的普及,郵件服務器受***的可能性也越來越大。目前,因特網上的郵件服務器所受***主要有兩類:第一類是中繼利用(Relay),即遠程任何***者都可以利用郵件服務器向任何地址發郵件,久而久之,你的機器不僅成爲發送垃圾郵件的幫兇,也會使網絡國際流量激增,就好像個人信譽降低一樣,很可能被網上的很多郵件服務器所拒絕。另一類***稱爲垃圾郵件(Spam),即人們常說的郵件炸彈,是指在很短時間內服務器可能接收大量無用的郵件,從而使郵件服務器不堪重負而癱瘓。
如何讓服務器防止中繼利用?如何拒收從外部發來的垃圾郵件?或者設置能阻止一些非法的SMTP認證?從這個問題着手,我們來看看在Linux下進行郵箱管理的一些典型問題,並探討一些行之有效的方法。
(1)拒收特定的IP和發件人。
在實踐中,許多垃圾郵件製造者利用一些工具使發件人的郵件地址變成隨機地址,一般的方法就起不到作用了。針對這種情況,我們可以通過查看郵件日誌和網絡的SMTP(25)端口的連接情況,找出數目比較高的IP和連接數比較高的IP,用防火牆來對這些IP進行拒收,從網絡層就拒收這些垃圾郵件,同時也有相當高的效率。
(2)設置垃圾郵件控制規則。
Sendmail的垃圾郵件控制功可以拒收來自某些地址的郵件,而且也防止其他人使用系統轉發垃圾郵件。用戶可以增加添加垃圾郵件控制規則以拒收特定的郵件來源,並且也允許本網絡上的其它計算機通過本系統轉發郵件的規則。單擊“Sendmail配置”下的“垃圾郵件控制”圖標,就可以在Sendmail中設置控制規則了。軟件還提供了“手工編輯/etc/mail/access”的方式。如圖25所示。
(3)使用Anti-Spam軟件。
這項技術的基本原理是定時分析日誌,發現有發信頻率過多的用戶就放到badmailfrom文件中。現在有很多的Anti-Spam軟件,如Spamassassin,KasperskyAnti-Spam。
(4)使用實時黑洞列表。
RBL(RealtimeBlackholeList)是實時黑洞列表,是國際上比較流行的反垃圾郵件技術,可以採用RBL來使郵件服務器拒收在列表中已知的垃圾郵件發送服務器所發送的垃圾郵件。郵件系統的管理是一個循序漸進的過程,採取上面的措施,就可以制止住相當部分的垃圾郵件,這將有利於郵件服務器的負載降低、帶寬佔有減少和工作效率提高,從而有利於整個網絡的高效運行。
五、更上一層樓:Linux服務器的安全實踐
網絡安全實踐中,防火牆(Firewall)是被經常強調的重點,它的基本功能是過濾並阻擋本地網絡與Internet之間的數據傳送。另外,無論是網絡管理員還是***,對數據截獲分析都十分重視,因此,在進階提高部分,我們也將使用直觀簡單的方式對這兩部分內容進行講解。
1、iptables :Linux服務器下的優秀防火牆
Linux提供了一個非常優秀的防火牆工具—iptables,它完全免費、功能強大、使用靈活、可以對流入和流出的信息進行細化控制,能夠在一臺低配置機器上很好地運行。
(1)安裝和啓動
一般情況下,iptables已經包含在Linux發行版中,運行iptables--version來查看系統是否安裝了iptables。如果系統沒有安裝iptables,則可以從[url]http://www.netfilter.org[/url]下載。使用中可以運行maniptables來查看所有命令和選項的完整介紹,或者運行iptables-help來查看一個快速幫助。
iptables服務也可以在圖形模式下開啓,步驟爲:依次打開“主菜單”下的“系統設置”,選擇“服務器設置”中的“服務”,拉動滾動條找到iptables選項,選中後點擊“開始”,即可啓動防火牆服務;如果不想使用防火牆,點擊“停止”即可。如圖26所示。
(2)使用實例分析
iptables功能十分強大,它可以檢測到源地址和目的地址、源端口和目的端口及流入數據包的順序,即iptables記住了在現有連接中,哪些數據包已經被允許接收。這使得暫時性的端口只有在需要時纔會被打開,並且會拒絕所有永久性佔用端口的請求,大大地加強了安全性。下面是關於iptables防火牆的一些應用實例。
實際應用中,如果要阻止來自某一特定IP範圍內的數據包,因爲該IP地址範圍被管理員懷疑有大量惡意***者在活動:
# iptables -t filter -A INPUT -s xxx.xxx.xxx.0/24 -j DROP
也可以很輕易地阻止所有流向***者IP地址的數據包,該命令稍有不同:
# iptables -t filter -A OUTPUT -d xxx.xxx.xxx.0/24 -j DROP
注意這裏的A選項,使用它說明是給現有的鏈添加規則。網絡上的惡意***者總是在變化的,因此需要不斷改變IP。假設一個網上***者轉移到新的IP地址,而原來的IP地址被分配給一些清白的用戶,那麼這時這些用戶的數據包將無法通過網絡。這種情況下,可以使用帶-D選項的命令來刪除現有的規則:
# iptables -t filter -D OUTPUT -d 192.168.10.0/24 -j DROP
一旦測試結果令人滿意,就可以將上述測試結果保存爲腳本。可以使用“iptables-save>iptables-t”命令來實現,現在,信息包過濾表中的所有規則都被保存在文件iptables-t中。無論何時再次引導系統,都可以使用iptables-restore命令將規則集從該腳本文件恢復到信息包過濾表,命令爲“iptables-restoreiptables-t”。
創建一個具有很好靈活性、可以抵禦各種意外事件的規則需要大量的時間。對於那些沒有時間這樣做的人,最基本的原則是“先拒絕所有的數據包,然後再允許需要的”。下面來爲每一個鏈設置缺省的規則:
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
這裏選項-P用於設置鏈的策略,只有三個內建的鏈纔有策略。這些策略可以讓信息毫無限制地流出,但不允許信息流入。
最後需要提示的是:功能強大的iptables防火牆是完全免費的,這對於那些想要功能卓越而又想節省費用的用戶來說,是一種比較理想的選擇。