凡是要在公司内部用自己的服务器进行信用卡交易处理，都必须遵从支付卡行业数据安全标准（PCI DSS）。该标准对系统管理员有许多要求；然而最重要的标准之一就是对系统加强安全级别。这些系统必须通过关闭默认配置参数和不必要的服务来加固，因为信用卡数据必须被充分保护，所有可能的漏洞都必须从系统中移除。

　　PCI DSS由Visa和MasterCard等主要信用卡公司制定。建立PCI安全标准委员是为了帮助统一通用的支付卡信息安全方法，让它们可以更容易地遵从一个统一的标准进行安全管理，而不是各用各的标准。

　　这篇文章将以在Ubuntu系统上的实施为例，提供一些概括性的步骤指导。将用Ubuntu 9.10版本作为范例。

　　在Ubuntu 9.10上满足PCI DSS最低要求

　　PCI DSS 2.2.2条目要求：“禁用所有不需要的和不安全的服务及协议。”

　　这个要求包含了部分增强系统的基本理念。通过移除不需要的和不安全的协议，如果系统受到攻击，很多不被注意的薄弱环节都被移除了。

　　在Ubuntu上，满足以上的最小要求要从安装系统开始，确保只有你需要的软件被安装上。（“安装所有项目”的选项对管理员来说是简单了，但是这会造成没完没了的PCI DSS问题和无休止的系统补丁更新。）

　　如果这台服务器不在云计算集群中，在第一个安装界面上确认选择的是安装Ubuntu服务器。

　　然后，在安装过程中你同样需要只为系统选择所需要的最小的项目。

　　例如，如果这台服务器要作为DNS服务器，那么你在安装的时候只需要选择DNS项目。这个方法满足了前面提到的2.2.2项目，同时也帮助保证2.2.1项目“每个服务器只部署一个基本功能。”

　　这不仅帮助符合PCI DSS需求，同时也意味着在要打补丁的系统中有较少的分系统。通过这个最小的方法让Ubuntu成为从服务方法上让PCI遵从更简单的发行版之一。

　　对于没有用最小方法部署的系统和那些多功能但是却只支持PCI的目的单一的系统来说，你需要禁止服务并从启动开始保持禁止。停止一项服务可以在rc运行级别的目录中合适的启动脚本中来操作。对于这个例子，我们假设它是apache，安装在rc3.d中。要停止它，运行：

#./S91apache2 stop

　　然后在系统启动进程中移除它：

update-rc.d -f apache2 remove

　　说明：-f选项将强制删除/etc/init.d/apache2。这是为了保证在紧急情况下可以被快速执行－最终apache2和apache安装包都将卸载。

　　识别Ubuntu 9.10上现有的服务

　　在现有的系统中，可以审查确认有那些系统正在被监听及运行在什么端口上。这个审查可以在本地系统来操作：

#netstat -l

　　在远程对另一个系统审查可以用命令nmap：

#nmap 192.168.1.1

　　数据加密

　　加密持卡人信息对支付卡系统来说是十分重要的，大部分PCI DSS也支持这个要求。保护数据最常用的方法就是对数据进行加密。可选择磁盘加密来进行某些限制，这在条目3.4.1中也有相关规定：“如果使用了磁盘加密…逻辑访问和操作系统访问必须被独立管理（例如，不使用本地用户帐号数据库。）”

　　Ubuntu支持在卷级别对磁盘进行加密，避免使用本地用户账户。注：因为在系统启动的时候会用到，这个密码必须得到充分保护。

　　要加密卷，在安装时选择“Guided-使用整个磁盘并设置加密LVM”。

　　安装之后会要求你输入一个密码用以访问加密数据。

　　用至少8个字符，一个特殊字符，和一个数字，以降低密码被破解的可能性。用其它密码保护信息来安全保存该密码。

　　通过移除不必要的服务，软件安装包，并使用逻辑卷加密，Ubuntu可以被充分加固，相对容易地通过PCI DS要求。尽管一个完全增强的Ubuntu通常在建立PCI DSS的时候就已经执行，这篇文章还是提供了一些必要的探索思路。