使用Webmin提高Linux安全性

引言：Webmin基于Web服務(wù)環(huán)境運(yùn)行的工具可以對(duì)系統(tǒng)和網(wǎng)絡(luò)環(huán)境進(jìn)行有效管理。Webmin具有訪問(wèn)控制和SSL加密傳輸功能，可以保證數(shù)據(jù)傳輸?shù)陌踩?。Webmin支持插件功能。這里就從維護(hù)網(wǎng)絡(luò)安全角度，分析Webmin的相關(guān)功能。

和Windows不 同，在Linux中執(zhí)行各種系統(tǒng)配置操作時(shí)主要依靠的是各種命令。要想熟練的掌握眾多的命令及其參數(shù)，不是一朝一夕所能實(shí)現(xiàn)。相比之下，使用Webmin基于Web服務(wù)環(huán)境運(yùn)行的工具可以對(duì)系統(tǒng)和網(wǎng)絡(luò)環(huán)境進(jìn)行有效管理。Webmin具有訪問(wèn)控制和SSL加密傳輸功能，可以保證數(shù)據(jù)傳輸?shù)陌踩浴ebmin支持插件功能，可以極大的擴(kuò)展其功能，其自身包含了大多數(shù)Linux管理模塊，還可以使用第三方模塊來(lái)強(qiáng)化其功能。這里就從維護(hù)網(wǎng)絡(luò)安全角度，分析Webmin的相關(guān)功能。

配置Webmin運(yùn)行參數(shù)

進(jìn)入主控界面，在其左側(cè)分別點(diǎn)擊“Webmin”、“Change language snd Theme”項(xiàng)，在右側(cè)選 擇“Personal choice” 項(xiàng)，在列表中選擇“Simolified Chinese（ZH_CN）”項(xiàng)，點(diǎn)擊“Make Changes”按鈕，重新登錄后得到中文界面。默認(rèn)情況下Webmin的管理員名稱為“root”。

為更好的使用Webmin，需要對(duì)其進(jìn)行合理設(shè)置。點(diǎn)擊“Webmin”、“Webmin 配置”項(xiàng)，在右側(cè)顯示所有的配置項(xiàng)目。例如，點(diǎn)擊其中的“IP訪問(wèn)控制”項(xiàng)，為了安全起見(jiàn)，最好選擇“只允許列出的地址訪問(wèn)”項(xiàng)，輸入合適的地址。在“解析每一個(gè)請(qǐng)求中的主機(jī)”欄中選擇“是”項(xiàng)，則只允許擁有預(yù)設(shè)的主機(jī)名的客戶機(jī)訪問(wèn)Webmin。

在Webmin配置頁(yè)面中點(diǎn)擊“地址和端口”項(xiàng)，可以對(duì)Webmin的IP和端口進(jìn)行綁定。如果運(yùn)行Webmin的主機(jī)擁有多個(gè)IP，可以在“Bind to IP address” 列表中選擇“Any address”項(xiàng)，表示監(jiān)聽(tīng)所有的IP，選 擇“Only address”項(xiàng)，則只監(jiān)聽(tīng)設(shè)定的IP。 在“Listen on port”列表中選擇監(jiān)聽(tīng)的端口號(hào)。點(diǎn)擊確定按鈕保存配置信息。在Webmin配置界面中點(diǎn)擊“計(jì)入日志”項(xiàng)，可以設(shè)置是否激活日志記錄功能，是否記錄解析的主機(jī)名，以及清除日志的時(shí)間間隔。在“Users to log”欄中可以設(shè)置記錄所有用戶的動(dòng)作或者指定用戶的動(dòng)作。如果主機(jī)是通過(guò)代理服務(wù)器接入Internet的話，可以在Webmin配置界面中點(diǎn)擊“代理服務(wù)器”項(xiàng)，設(shè)置所需的HTTP，F(xiàn)TP等代理服務(wù)器地址，以及代理用戶名和密碼等信息。

Webmin的更大功能在于支持各種模塊插件，在配置界面中點(diǎn)擊“Webmin模塊”項(xiàng)，在“Install”面板中的“從本地文件”欄中點(diǎn)擊瀏覽按鈕，選擇目標(biāo)Webmin模塊文件來(lái)安裝該模塊。在“Delete”面板中顯示安裝的所有模塊信息，點(diǎn)擊“刪除選擇的模塊”按鈕，可以將選定的模塊刪除。為了提高安全性，可以在配置界面中點(diǎn)擊“驗(yàn)證”項(xiàng)，勾選“啟動(dòng)口令超時(shí)功能”項(xiàng)，可以防止非法用戶對(duì)登錄密碼進(jìn)行猜測(cè)破解操作。在其下可以設(shè)置登錄攔截功能。

禁止訪問(wèn)非法網(wǎng)站

Webmin提供了系統(tǒng)管理，服務(wù)器管理，網(wǎng)絡(luò)管理，硬件管理，群集管理等分類，每一分類中包含了大量的管理模塊，這里只談如何利用Webmin來(lái)進(jìn)行網(wǎng)絡(luò)安全管理操作。在Webmin管理界面左側(cè)依次點(diǎn)擊“網(wǎng)絡(luò)”、“Linux Firewall”項(xiàng)，在右側(cè)窗口中的“Forwarded packages（FORWARD）”欄中點(diǎn)擊“Add Ruls”按鈕，在彈出界面中的“Rule Comment”欄中輸入規(guī)則名稱，在“Action to take”欄中選擇“Drop”項(xiàng)，選擇放棄動(dòng)作。在“Destination address or network”列表中選擇“Equals”項(xiàng)，在其右側(cè)輸入目標(biāo)網(wǎng)址。點(diǎn)擊“新建”按鈕，完成該規(guī)則的創(chuàng)建操作。按照同樣的方法，可以創(chuàng)建多條規(guī)則。這樣，用戶就無(wú)法訪問(wèn)這些網(wǎng)站了。

禁止指定用戶上網(wǎng)

如果想禁止特定的用戶上網(wǎng)，可以在上述“Linux Firewall”頁(yè)面中的“Forwarded packages（FORWARD）”欄中點(diǎn)擊“Add Ruls”按鈕，在彈出界面中的“Rule Comment”欄中輸入規(guī)則名稱，在“Action to take”欄中選擇“Drop”項(xiàng)， 在“Source address or network”列表中選擇“Equals”項(xiàng)，在右側(cè)輸入禁止上網(wǎng)的客戶機(jī)的IP地址，也可以輸入其子網(wǎng)ID號(hào)（例如“172.16.22.0/39”）。 點(diǎn)擊“新建”按鈕，完成該規(guī)則的創(chuàng)建操作。同理，可以創(chuàng)建多條規(guī)則。這樣，指定的主機(jī)就無(wú)法上網(wǎng)了。

禁止使用特定的網(wǎng)絡(luò)服務(wù)

如果想禁止指定用戶禁止使用某種服務(wù)（例如 FTP服 務(wù)），可以在“Linux Firewall”頁(yè)面中的“Forwarded packages（FORWARD）”欄中點(diǎn)擊“Add Ruls”按鈕，在彈出界面中的“Rule Comment”欄中輸入規(guī)則名稱，在“Action to take”欄中選擇“Drop” 項(xiàng)，在“Source address or network”列表中選擇“Equals”項(xiàng)，在右側(cè)輸入禁止上網(wǎng)的客戶機(jī)的IP地址，也可以輸入其子網(wǎng)ID號(hào)。在“Network protocol”列表中選擇“Equals”項(xiàng)，在協(xié)議列表中選擇“TCP”項(xiàng)。 在“Destination TCP or UDP port”列表中選擇“Equals”項(xiàng)，在“Port”欄中輸入指定的端口號(hào)（例如21，即FTP服務(wù)的端口）。選擇點(diǎn)擊“新建”按鈕，完成該規(guī)則的創(chuàng)建操作。同理，可以創(chuàng)建多條規(guī)則。這樣，指定的主機(jī)就無(wú)法使用指定的服務(wù)了。實(shí)際上，利用該方法，可以有效封鎖特定主機(jī)連接的端口。

防范ICMP攻擊

為了防止其他的主機(jī)對(duì)本機(jī)發(fā)起ICMP攻擊，造成本機(jī)系統(tǒng)崩潰，可以禁止使用ICMP協(xié)議來(lái)防范這種攻擊。在“Linux Firewall”頁(yè)面中的“Incoming packages（INPUT）”欄 中點(diǎn)擊“Add Rule”按鈕，在規(guī)則添加界面中輸入規(guī)則名稱，在“Action to take”欄中選擇“Drop”項(xiàng)。在“Incoming interface” 欄中選擇“Equals” 項(xiàng)，在其右側(cè)選擇網(wǎng)絡(luò)接口（例如“eth0”）。 在“Network protocol”欄中選擇“Equals”項(xiàng)，在其右側(cè)選擇“ICMP”項(xiàng)，點(diǎn)擊“新建”按鈕，完成該規(guī)則的創(chuàng)建操作。在“Linux Firewall”界面中點(diǎn)擊“Apply Configuration”按鈕，激活設(shè)定的規(guī)則。

強(qiáng)制訪問(wèn)特定的網(wǎng)絡(luò)主機(jī)

如果想讓用戶只能訪問(wèn)指定的網(wǎng)站，可以在“Linux Firewall”頁(yè)面中 的“Showing IPtable”列表中選擇“Network address translation”項(xiàng)，點(diǎn)擊“Showing Iptable” 按鈕，在“NAT”設(shè)置界面中的“Packets before routing（PREROUTING）”欄中點(diǎn)擊“Add Rule”按鈕，輸入規(guī)則名稱，在“Action to take”欄中選擇“Destination NAT” 項(xiàng)， 在“Ips and ports for DNAT”欄中選擇“IP range”項(xiàng)，在其右側(cè)輸入允許訪問(wèn)的目標(biāo)網(wǎng)址的IP和端口號(hào)范圍。在“Incoming interface”欄中選擇“Equals”項(xiàng)，在右側(cè)選擇網(wǎng)卡接口（例如“eth0”）。 在“Network protocal”欄中選擇“Equals”項(xiàng)，在右側(cè)選擇“TCP”項(xiàng)，點(diǎn)擊“新建”按鈕，完成該規(guī)則的創(chuàng)建操作。

管理Squid代理服務(wù)，提高網(wǎng)絡(luò)安全性

在Linux中，可以利用Squid創(chuàng)建代理服務(wù)。利用代理服務(wù)，不僅可以提供文件緩存，復(fù)制和地址過(guò)濾，提高出口帶寬利用率，加快內(nèi)部主機(jī)訪問(wèn)速度，解決公有IP地址不足等功能，而且代理服務(wù)還提供了類似于網(wǎng)絡(luò)防火墻的功能，將內(nèi)外網(wǎng)隔離，監(jiān)控和記錄網(wǎng)絡(luò)傳輸信息，提高局域網(wǎng)的安全性。

在Webmin中，可以對(duì)Squid代理服務(wù)器進(jìn)行簡(jiǎn)單高效的配置操作。分別點(diǎn)擊“服務(wù)器”、“Squid代理服務(wù)器”項(xiàng)，在右側(cè)顯示與其相關(guān)的配置項(xiàng)目。例如，點(diǎn)擊“網(wǎng)絡(luò)和端口”項(xiàng)，在設(shè)置界面中選擇“List below”項(xiàng)，在“端口”欄中設(shè)置Squis服務(wù)使用的端口號(hào)，在“主機(jī)名/IP地址”列中選擇設(shè)置項(xiàng)目，輸入監(jiān)聽(tīng)的IP地址，完成對(duì)Squid代理服務(wù)器監(jiān)聽(tīng)I(yíng)P和端口的設(shè)置。

在Squid 代理設(shè)置頁(yè)面中點(diǎn)擊“內(nèi)存使用”項(xiàng)，可以根據(jù)需要設(shè)置內(nèi)置使用限制，高速緩存大小等參數(shù)。為防止內(nèi)存不足導(dǎo)致Squid代理服務(wù)出現(xiàn)異常，可以點(diǎn)擊“高速緩存選項(xiàng)”項(xiàng)，為其分配磁盤(pán)空間，作為緩沖區(qū)使用。正常的網(wǎng)絡(luò)訪問(wèn)離不開(kāi)DNS解析服務(wù)，在Squid服務(wù)設(shè)置頁(yè)面中點(diǎn)擊“幫助程序”項(xiàng)，在其中的“DNS服務(wù)器地址”欄中選擇“resolv.conf”項(xiàng)，輸入合適的DNS服務(wù)器地址，保存配置信息。

在實(shí)際網(wǎng)絡(luò)管理中，有時(shí)需要禁止某些賬戶上網(wǎng)。可以在Squid代理服務(wù)設(shè)置界面中點(diǎn)擊“訪問(wèn)控制”項(xiàng)，在“訪問(wèn)控制列表”面板中的“創(chuàng)建新的ACL”欄右側(cè)的列表中選擇限制類型，選擇“客戶地址”項(xiàng)，表示使用客戶端的IP作為限制條件。為防止其更改IP地址避開(kāi)攔截，也可以使用MAC地址限制項(xiàng)目來(lái)阻止其非法操作。點(diǎn)擊“創(chuàng)建新的ACL”按鈕，在創(chuàng)建ACL界面中的“ACL名稱”欄中輸入規(guī)則名稱，在“來(lái)自IP”欄中輸入客戶機(jī)的IP地址，點(diǎn)擊保存完成該規(guī)則的創(chuàng)建。在訪問(wèn)控制頁(yè)面中打開(kāi)“代理約束”面板，點(diǎn)擊“添加約束規(guī)則”按鈕，在創(chuàng)建代理約束頁(yè)面中選擇“拒絕”項(xiàng)，在“匹配ACL”列表中選擇上述規(guī)則，點(diǎn)擊保存按鈕即可。同理可以創(chuàng)建多條ACL規(guī)則，來(lái)封鎖特定用戶的上網(wǎng)操作。

如果想限制所有賬戶在規(guī)定的時(shí)間段內(nèi)上網(wǎng)，可以按照上述方法，創(chuàng)建一條ACL約束規(guī)則，所不同的是，將IP和子網(wǎng)掩碼都設(shè)置為“0.0.0.0”，之后保存該規(guī)則。在“訪問(wèn)控制”面板中的“訪問(wèn)控制列表”欄中選擇限制類型為“日期和時(shí)間”項(xiàng)，點(diǎn)擊“創(chuàng)建新的ACL”按鈕，輸入新規(guī)則名稱，按下Ctrl鍵，之后在“星期幾”列表中選擇禁止上網(wǎng)的星期數(shù)，在“時(shí)間”欄中輸入禁止上網(wǎng)的時(shí)間段，點(diǎn)擊保存按鈕完成該規(guī)則的創(chuàng)建操作。之后按照上述方法，在“代理約束”面板中同時(shí)選擇上述兩條規(guī)則，并選擇“拒絕”項(xiàng)，點(diǎn)擊保存按鈕，保存規(guī)則信息。

提起透明代理，有些用戶可能感到陌生。該代理方式對(duì)于內(nèi)網(wǎng)用戶來(lái)說(shuō)是透明的。用戶感覺(jué)不到該代理服務(wù)的存在。即用戶不必在本機(jī)上手工設(shè)置代理服務(wù)器參數(shù)，就可以穿越代理服務(wù)器上網(wǎng)，好像代理服務(wù)器不存在一樣。但是對(duì)于外網(wǎng)用戶來(lái)說(shuō)，當(dāng)其訪問(wèn)該局域網(wǎng)時(shí)，只能看到該代理服務(wù)器，而無(wú)法窺視內(nèi)部的主機(jī)。利用透明代理，可以有效保護(hù)內(nèi)網(wǎng)安全。實(shí)現(xiàn)透明代理的方法很簡(jiǎn)單，在Squid代理設(shè)置頁(yè)面中點(diǎn)擊“雜類選項(xiàng)”項(xiàng)，在“HTTP加速主機(jī)”欄中選擇“Virtual”項(xiàng)，在“HTTP加速端口”欄中選擇“None”項(xiàng)，設(shè)置端口為80。在“HTTP代理加速”欄中選擇“開(kāi)”項(xiàng)，在“HTTP加速使用主機(jī)頭”欄中選擇“是”，點(diǎn)擊保存按鈕，就可以激活透明代理服務(wù)。

為防止用戶隨意上網(wǎng)，可以為其配置身份認(rèn)證功能。只有使用正確的賬戶名和密碼，才可以通過(guò)Squid代理服務(wù)的審核，順利連接Internet。在Squid代理服務(wù)設(shè)置界面中點(diǎn)擊“Authentication Programs”項(xiàng)，在彈出頁(yè)面中的“Basic authentication programs”欄中選擇“Webmin default”項(xiàng)，在其右側(cè)輸入認(rèn)證程序讀取賬戶文件的目錄。點(diǎn)擊保存按鈕后，在Squid代理服務(wù)設(shè)置頁(yè)面中點(diǎn)擊“代理驗(yàn)證”項(xiàng)，在Proxy驗(yàn)證頁(yè)面中點(diǎn)擊“新增新的代理用戶”鏈接，在創(chuàng)建代理用戶頁(yè)面中輸入賬戶名和密碼，在“啟動(dòng)”欄中選擇“是”，點(diǎn)擊“新建”按鈕，完成新賬戶的創(chuàng)建操作。

這樣，在客戶端選擇代理服務(wù)時(shí)，必須輸入該賬戶名和密碼，否則無(wú)法通過(guò)Squid代理的安全認(rèn)證。在Squid代理服務(wù)設(shè)置頁(yè)面中點(diǎn)擊“訪問(wèn)控制”項(xiàng)，在“訪問(wèn)控制”面板中的“訪問(wèn)控制列表”欄中選擇ACL類型為“外部驗(yàn)證”項(xiàng)，點(diǎn)擊“創(chuàng)建新的ACL”按鈕，在打開(kāi)的頁(yè)面中輸入本ACL規(guī)則名稱，在“外部驗(yàn)證用戶”欄中選擇“All users”項(xiàng)，其余設(shè)置保持默認(rèn)，點(diǎn)擊保存按鈕保存該規(guī)則。之后在“訪問(wèn)控制”面板中的“代理約束”欄中點(diǎn)擊“添加代理約束規(guī)則”鏈接，在“動(dòng)作”欄中選擇“允許”項(xiàng)，在“匹配ACL”列表中選擇上述規(guī)則，保存配置信息即可。