2、Linux邮件服务器的安全管理
随着互连网的普及,邮件服务器受***的可能性也越来越大。目前,因特网上的邮件服务器所受***主要有两类:第一类是中继利用(Relay),即远程任何***者都可以利用邮件服务器向任何地址发邮件,久而久之,你的机器不仅成为发送垃圾邮件的帮凶,也会使网络国际流量激增,就好像个人信誉降低一样,很可能被网上的很多邮件服务器所拒绝。另一类***称为垃圾邮件(Spam),即人们常说的邮件炸弹,是指在很短时间内服务器可能接收大量无用的邮件,从而使邮件服务器不堪重负而瘫痪。
如何让服务器防止中继利用?如何拒收从外部发来的垃圾邮件?或者设置能阻止一些非法的SMTP认证?从这个问题着手,我们来看看在Linux下进行邮箱管理的一些典型问题,并探讨一些行之有效的方法。
(1)拒收特定的IP和发件人。
在实践中,许多垃圾邮件制造者利用一些工具使发件人的邮件地址变成随机地址,一般的方法就起不到作用了。针对这种情况,我们可以通过查看邮件日志和网络的SMTP(25)端口的连接情况,找出数目比较高的IP和连接数比较高的IP,用防火墙来对这些IP进行拒收,从网络层就拒收这些垃圾邮件,同时也有相当高的效率。
(2)设置垃圾邮件控制规则。
Sendmail的垃圾邮件控制功可以拒收来自某些地址的邮件,而且也防止其他人使用系统转发垃圾邮件。用户可以增加添加垃圾邮件控制规则以拒收特定的邮件来源,并且也允许本网络上的其它计算机通过本系统转发邮件的规则。单击“Sendmail配置”下的“垃圾邮件控制”图标,就可以在Sendmail中设置控制规则了。软件还提供了“手工编辑/etc/mail/access”的方式。如图25所示。
(3)使用Anti-Spam软件。
这项技术的基本原理是定时分析日志,发现有发信频率过多的用户就放到badmailfrom文件中。现在有很多的Anti-Spam软件,如Spamassassin,KasperskyAnti-Spam。
(4)使用实时黑洞列表。
RBL(RealtimeBlackholeList)是实时黑洞列表,是国际上比较流行的反垃圾邮件技术,可以采用RBL来使邮件服务器拒收在列表中已知的垃圾邮件发送服务器所发送的垃圾邮件。邮件系统的管理是一个循序渐进的过程,采取上面的措施,就可以制止住相当部分的垃圾邮件,这将有利于邮件服务器的负载降低、带宽占有减少和工作效率提高,从而有利于整个网络的高效运行。
五、更上一层楼:Linux服务器的安全实践
网络安全实践中,防火墙(Firewall)是被经常强调的重点,它的基本功能是过滤并阻挡本地网络与Internet之间的数据传送。另外,无论是网络管理员还是***,对数据截获分析都十分重视,因此,在进阶提高部分,我们也将使用直观简单的方式对这两部分内容进行讲解。
1、iptables :Linux服务器下的优秀防火墙
Linux提供了一个非常优秀的防火墙工具—iptables,它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制,能够在一台低配置机器上很好地运行。
(1)安装和启动
一般情况下,iptables已经包含在Linux发行版中,运行iptables--version来查看系统是否安装了iptables。如果系统没有安装iptables,则可以从[url]http://www.netfilter.org[/url]下载。使用中可以运行maniptables来查看所有命令和选项的完整介绍,或者运行iptables-help来查看一个快速帮助。
iptables服务也可以在图形模式下开启,步骤为:依次打开“主菜单”下的“系统设置”,选择“服务器设置”中的“服务”,拉动滚动条找到iptables选项,选中后点击“开始”,即可启动防火墙服务;如果不想使用防火墙,点击“停止”即可。如图26所示。
(2)使用实例分析
iptables功能十分强大,它可以检测到源地址和目的地址、源端口和目的端口及流入数据包的顺序,即iptables记住了在现有连接中,哪些数据包已经被允许接收。这使得暂时性的端口只有在需要时才会被打开,并且会拒绝所有永久性占用端口的请求,大大地加强了安全性。下面是关于iptables防火墙的一些应用实例。
实际应用中,如果要阻止来自某一特定IP范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意***者在活动:
# iptables -t filter -A INPUT -s xxx.xxx.xxx.0/24 -j DROP
也可以很轻易地阻止所有流向***者IP地址的数据包,该命令稍有不同:
# iptables -t filter -A OUTPUT -d xxx.xxx.xxx.0/24 -j DROP
注意这里的A选项,使用它说明是给现有的链添加规则。网络上的恶意***者总是在变化的,因此需要不断改变IP。假设一个网上***者转移到新的IP地址,而原来的IP地址被分配给一些清白的用户,那么这时这些用户的数据包将无法通过网络。这种情况下,可以使用带-D选项的命令来删除现有的规则:
# iptables -t filter -D OUTPUT -d 192.168.10.0/24 -j DROP
一旦测试结果令人满意,就可以将上述测试结果保存为脚本。可以使用“iptables-save>iptables-t”命令来实现,现在,信息包过滤表中的所有规则都被保存在文件iptables-t中。无论何时再次引导系统,都可以使用iptables-restore命令将规则集从该脚本文件恢复到信息包过滤表,命令为“iptables-restoreiptables-t”。
创建一个具有很好灵活性、可以抵御各种意外事件的规则需要大量的时间。对于那些没有时间这样做的人,最基本的原则是“先拒绝所有的数据包,然后再允许需要的”。下面来为每一个链设置缺省的规则:
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
这里选项-P用于设置链的策略,只有三个内建的链才有策略。这些策略可以让信息毫无限制地流出,但不允许信息流入。
最后需要提示的是:功能强大的iptables防火墙是完全免费的,这对于那些想要功能卓越而又想节省费用的用户来说,是一种比较理想的选择。