对付特洛伊木马和文件备份的困扰

保护一个公司的数据是一个Red Hat Linux 管理员的职责。但是这一职责由于特洛伊木马和文件备份的错误而变的更难。本文的一些提示是由 Mark Sobell 解释怎样对付特洛伊木马和介绍一些容易得到的文件备份的工具。Mark Sobell是新版本的“A Practical Guide to Red Hat Linux“的作者，该杂志2004年八月三号在旧金山的LinuxWorld上第一次推出。

　　第一部分他提到了用户管理，第三部分和最后一段给出了如何避免通常的Red Hat Linux的管理错误。

问：为什么利用拼写错误的特洛伊木马的危险性这么大？

　　Sobell答: 利用拼写错误的特洛伊木马之所以很危险，是因为人人都时不时的要进行排字印刷。比如说，人们很容易将ls拼写成sl。如果这一拼错了的命令被正确的输出来，那么，你可能没有意识到自己的机器已经在后台上被安装上了一个键盘记录程序或者其它的恶意程序。因此当你发出命令时，使用TAB-completion将会有助于提醒你同一个字母开头的命令会有很多种，因此就回正确的选择。

问：阻止特洛伊木马的较好的措施是什么？

　　Sobell答: 检查你的易变的PATH，并且确保PATH下面没有目录（用户可以在PATH下面写入，而超级用户却不可以）。如果攻击者已经在这一磁盘下以超级用户的身份写入了东西，那么该系统很可能已经处在危险中了。如果将PATH正确的进行设置，那么这种特洛伊木马所能进行的仅有的攻击形式是：当你在给出一个你并不想要执行的命令的时候，指定一个用户可写入的目录的路径名。

　　当你用su来得到超级用户的特权时，要确保使用su –（在su 命令后面加上一根横线）。这根横线使得su提供就像你登陆的时候使用root的相同的环境，同时也包含root的PATH。如果没有这一横线，你就会给超级用户特权，但同时却保留你原来的环境，这就可能包含了一个带有用户可写入的目录的PATH。

问：在什么整体IT设置下，文件备份工具tar, Amanda, and cpio最有用？

　　Sobell答: 事实是在任何设置下。文件备份策略的最重要的部分是文件备份的频率、用来进行文件备份的媒介以及文件备份的路径，而不是用来组织这些备份文件的软件。

　　过分的依赖文件备份不是一个好的办法，因为当你从损坏磁盘上恢复文件的时候，就需要所有的备份媒介来为它工作。比如说，当你在A盘上存储一个快照，而在B盘和C盘存储别的内容，那么你就需要A盘、B盘和C盘都来工作从而恢复最新的文件版本。

　　在商业设置中，个人工作站必须从一个磁盘映象来进行安装，并且不能将重要的信息安装到上面去。工作文件必须保存到一个服务器的RAID阵列上（RAID可以减少硬件失效的危险系数）。这一RAID阵列必须是一个具有一个能够周期性的减少来自于物理损坏或者盗窃的异地系统的rsync’d。快照（文件备份）必须是在离线情况下进行异地存储，以便已经被删除了的文件得以恢复。

　　对于特别重要的数据，可以使用一个filesystem，比如说支持filesystem快照的XFS。你可以用快照来制作已经存在的文件系统的快照。在快照作完之后并且以一种静态的和只读的filesystem方式出现之后，快照卷里面就会存储已经被改变了的文件的原始的副本。从这些快照而得到备份可以消除一些在你备份一个可以改变的filesystem时所可能出现的问题。

　　你可以用tar, dump和cpio来编写脚本。使用tar和cpio，你可以通过bzip2压缩文件从而减小文件备份的空间的大小。使用脚本是很好的，因为这并不难，并且允许你自己根据自己的需要而使所要备份的文件个性化。记住适当的清除一些数据库是很重要的。比如说，通过清除一个SQL（结构化查询语言）文件或者指示该数据库，就可以达到在运行这一备份文件之前达到与磁盘同步。使用一个自定义的文件备份脚本。这项工作就会变的非常的容易。

　　Amanda可以适合于不同的网络，并且可以工作在大多数的备份文件工具上。

　　使用CVS或者类似的工具并且每天对工作所存放的磁盘负责维护也是一个好的办法。这一策略可以使你对文件压低到早期的标准水平，而不用通过备份文件进行搜寻。

　　其它的考虑用于公司文件备份的产品，包括IBM的Tivoli Storage Manager和Veritas NetBackup。对于所有的环境，都检验来自于Yosemite Technologies的Tapeware。它可以支持许多磁带，包括SDLT, LTO2和DLTIV ，并且创建临时文挡，花费也不贵。

　　关于备份文件，在backupcentral.com.上有更多的信息。包括一系列的文件备份的软件。