基于Linux系統(tǒng)的網(wǎng)絡安全策略

摘要：

Linux系統(tǒng)是一種應用越來越廣泛的網(wǎng)絡操作系統(tǒng)，為確保系統(tǒng)安全穩(wěn)定的運轉(zhuǎn)，在實際運用時應該采用適當?shù)陌踩珯C制，本文就此提出了切實可行的基于Linux系統(tǒng)的網(wǎng)絡安全策略和保護措施。

關(guān)鍵詞： Linux、操作系統(tǒng)、網(wǎng)絡安全、策略

1 引言

    隨著Internet／Intranet網(wǎng)絡的日益普及，采用Linux網(wǎng)絡操作系統(tǒng)作為服務器的用戶也越來越多，這一方面是因為Linux是開放源代碼的免費正版軟件，另一方面也是因為較之微軟的Windows NT網(wǎng)絡操作系統(tǒng)而言，Linux系統(tǒng)具有更好的穩(wěn)定性、效率性和安全性。在Internet／Intranet的大量應用中，網(wǎng)絡本身的安全面臨著重大的挑戰(zhàn)，隨之而來的信息安全問題也日益突出。以美國為例，據(jù)美國聯(lián)邦調(diào)查局（ＦＢＩ）公布的統(tǒng)計數(shù)據(jù)，美國每年因網(wǎng)絡安全問題所造成的經(jīng)濟損失高達75億美元，而全球平均每20秒鐘就發(fā)生一起Internet計算機黑客侵入事件。一般認為，計算機網(wǎng)絡系統(tǒng)的安全威脅主要來自黑客攻擊和計算機病毒2個方面。那么黑客攻擊為什么能夠經(jīng)常得逞呢？主要原因是很多人，尤其是很多網(wǎng)絡管理員沒有起碼的網(wǎng)絡安全防范意識，沒有針對所用的網(wǎng)絡操作系統(tǒng)，采取有效的安全策略和安全機制，給黑客以可乘之機。在我國，由于網(wǎng)絡安全研究起步較晚，因此網(wǎng)絡安全技術(shù)和網(wǎng)絡安全人才還有待整體的提高和發(fā)展，本文希望就這一問題進行有益的分析和探討。

    我們知道，網(wǎng)絡操作系統(tǒng)是用于管理計算機網(wǎng)絡中的各種軟硬件資源，實現(xiàn)資源共享，并為整個網(wǎng)絡中的用戶提供服務，保證網(wǎng)絡系統(tǒng)正常運行的一種系統(tǒng)軟件。如何確保網(wǎng)絡操作系統(tǒng)的安全，是網(wǎng)絡安全的根本所在。只有網(wǎng)絡操作系統(tǒng)安全可靠，才能保證整個網(wǎng)絡的安全。因此，詳細分析Linux系統(tǒng)的安全機制，找出它可能存在的安全隱患，給出相應的安全策略和保護措施是十分必要的。

2 Linux網(wǎng)絡操作系統(tǒng)的基本安全機制

    Linux網(wǎng)絡操作系統(tǒng)提供了用戶帳號、文件系統(tǒng)權(quán)限和系統(tǒng)日志文件等基本安全機制，如果這些安全機制配置不當，就會使系統(tǒng)存在一定的安全隱患。因此，網(wǎng)絡系統(tǒng)管理員必須小心地設(shè)置這些安全機制。

    2.1 Linux系統(tǒng)的用戶帳號

    在Linux系統(tǒng)中，用戶帳號是用戶的身份標志，它由用戶名和用戶口令組成。在Linux系統(tǒng)中，系統(tǒng)將輸入的用戶名存放在/etc/passwd文件中，而將輸入的口令以加密的形式存放在/etc/shadow文件中。在正常情況下，這些口令和其他信息由操作系統(tǒng)保護，能夠?qū)ζ溥M行訪問的只能是超級用戶(root)和操作系統(tǒng)的一些應用程序。但是如果配置不當或在一些系統(tǒng)運行出錯的情況下，這些信息可以被普通用戶得到。進而，不懷好意的用戶就可以使用一類被稱為“口令破解”的工具去得到加密前的口令。

    2.2 Linux的文件系統(tǒng)權(quán)限

    Linux文件系統(tǒng)的安全主要是通過設(shè)置文件的權(quán)限來實現(xiàn)的。每一個Linux的文件或目錄，都有3組屬性，分別定義文件或目錄的所有者，用戶組和其他人的使用權(quán)限（只讀、可寫、可執(zhí)行、允許SUID、允許SGID等）。特別注意，權(quán)限為SUID和SGID的可執(zhí)行文件，在程序運行過程中，會給進程賦予所有者的權(quán)限，如果被黑客發(fā)現(xiàn)并利用就會給系統(tǒng)造成危害。

    2.3 合理利用Linux的日志文件

    Linux的日志文件用來記錄整個操作系統(tǒng)使用狀況。作為一個Linux網(wǎng)絡系統(tǒng)管理員要充分用好以下幾個日志文件。

    2.3.1 /var/log/lastlog文件

    記錄最后進入系統(tǒng)的用戶的信息，包括登錄的時間、登錄是否成功等信息。這樣用戶登錄后只要用lastlog命令查看一下/var/log/lastlog文件中記錄的所用帳號的最后登錄時間，再與自己的用機記錄對比一下就可以發(fā)現(xiàn)該帳號是否被黑客盜用。

    2.3.2 /var/log/secure文件

    記錄系統(tǒng)自開通以來所有用戶的登錄時間和地點，可以給系統(tǒng)管理員提供更多的參考。

    2.3.3 /var/log/wtmp文件

    記錄當前和歷史上登錄到系統(tǒng)的用戶的登錄時間、地點和注銷時間等信息。可以用last命令查看，若想清除系統(tǒng)登錄信息，只需刪除這個文件，系統(tǒng)會生成新的登錄信息。

    3 Linux網(wǎng)絡系統(tǒng)可能受到的攻擊和安全防范策略

    Linux操作系統(tǒng)是一種公開源碼的操作系統(tǒng)，因此比較容易受到來自底層的攻擊，系統(tǒng)管理員一定要有安全防范意識，對系統(tǒng)采取一定的安全措施，這樣才能提高Linux系統(tǒng)的安全性。對于系統(tǒng)管理員來講特別是要搞清楚對Linux網(wǎng)絡系統(tǒng)可能的攻擊方法，并采取必要的措施保護自己的系統(tǒng)。

    3.1 Linux網(wǎng)絡系統(tǒng)可能受到的攻擊類型

    3.1.1 “拒絕服務”攻擊

    所謂“拒絕服務”攻擊是指黑客采取具有破壞性的方法阻塞目標網(wǎng)絡的資源，使網(wǎng)絡暫時或永久癱瘓，從而使Linux網(wǎng)絡服務器無法為正常的用戶提供服務。例如黑客可以利用偽造的源地址或受控的其他地方的多臺計算機同時向目標計算機發(fā)出大量、連續(xù)的TCP/IP請求，從而使目標服務器系統(tǒng)癱瘓。

    3.1.2 “口令破解”攻擊

    口令安全是保衛(wèi)自己系統(tǒng)安全的第一道防線�！翱诹钇平狻惫�擊的目的是為了破解用戶的口令，從而可以取得已經(jīng)加密的信息資源。例如黑客可以利用一臺高速計算機，配合一個字典庫，嘗試各種口令組合，直到最終找到能夠進入系統(tǒng)的口令，打開網(wǎng)絡資源。

    3.1.3 “欺騙用戶”攻擊

    “欺騙用戶”攻擊是指網(wǎng)絡黑客偽裝成網(wǎng)絡公司或計算機服務商的工程技術(shù)人員，向用戶發(fā)出呼叫，并在適當?shù)臅r候要求用戶輸入口令，這是用戶最難對付的一種攻擊方式，一旦用戶口令失密，黑客就可以利用該用戶的帳號進入系統(tǒng)。

    3.1.4 “掃描程序和網(wǎng)絡監(jiān)聽”攻擊

    許多網(wǎng)絡入侵是從掃描開始的，利用掃描工具黑客能找出目標主機上各種各樣的漏洞，并利用之對系統(tǒng)實施攻擊。

    網(wǎng)絡監(jiān)聽也是黑客們常用的一種方法，當成功地登錄到一臺網(wǎng)絡上的主機，并取得了這臺主機的超級用戶控制權(quán)之后，黑客可以利用網(wǎng)絡監(jiān)聽收集敏感數(shù)據(jù)或者認證信息，以便日后奪取網(wǎng)絡中其他主機的控制權(quán)。

    3.2 Linux網(wǎng)絡安全防范策略

    縱觀網(wǎng)絡的發(fā)展歷史，可以看出，對網(wǎng)絡的攻擊可能來自非法用戶，也可能來自合法的用戶。因此作為Linux網(wǎng)絡系統(tǒng)的管理員，既要時刻警惕來自外部的黑客攻擊，又要加強對內(nèi)部網(wǎng)絡用戶的管理和教育，具體可以采用以下的安全策略。

    3.2.1 仔細設(shè)置每個內(nèi)部用戶的權(quán)限

    為了保護Linux網(wǎng)絡系統(tǒng)的資源，在給內(nèi)部網(wǎng)絡用戶開設(shè)帳號時，要仔細設(shè)置每個內(nèi)部用戶的權(quán)限，一般應遵循“最小權(quán)限”原則，也就是僅給每個用戶授予完成他們特定任務所必須的服務器訪問權(quán)限。這樣做會大大加重系統(tǒng)管理員的管理工作量，但為了整個網(wǎng)絡系統(tǒng)的安全還是應該堅持這個原則。

2. 確保用戶口令文件/etc/shadow的安全

    對于網(wǎng)絡系統(tǒng)而言，口令是比較容易出問題的地方，作為系統(tǒng)管理員應告訴用戶在設(shè)置口令時要使用安全口令（在口令序列中使用非字母，非數(shù)字等特殊字符）并適當增加口令的長度（大于6個字符）。系統(tǒng)管理員要保護好/etc/passwd和/etc/shadow這兩個文件的安全，不讓無關(guān)的人員獲得這兩個文件，這樣黑客利用John等程序?qū)?etc/passwd和/etc/shadow文件進行了字典攻擊獲取用戶口令的企圖就無法進行。系統(tǒng)管理員要定期用John等程序?qū)Ρ鞠到y(tǒng)的/etc/passwd和/etc/shadow文件進行模擬字典攻擊，一旦發(fā)現(xiàn)有不安全的用戶口令，要強制用戶立即修改。

    3.2.3 加強對系統(tǒng)運行的監(jiān)控和記錄

    Linux網(wǎng)絡系統(tǒng)管理員，應對整個網(wǎng)絡系統(tǒng)的運行狀況進行監(jiān)控和記錄，這樣通過分析記錄數(shù)據(jù)，可以發(fā)現(xiàn)可疑的網(wǎng)絡活動，并采取措施預先阻止今后可能發(fā)生的入侵行為。如果進攻行為已經(jīng)實施，則可以利用記錄數(shù)據(jù)跟蹤和識別侵入系統(tǒng)的黑客。

    3.2.4 合理劃分子網(wǎng)和設(shè)置防火墻

    如果內(nèi)部網(wǎng)絡要進入Internet，必須在內(nèi)部網(wǎng)絡與外部網(wǎng)絡的接口處設(shè)置防火墻，以確保內(nèi)部網(wǎng)絡中的數(shù)據(jù)安全。對于內(nèi)部網(wǎng)絡本身，為了便于管理，合理分配IP地址資源，應該將內(nèi)部網(wǎng)絡劃分為多個子網(wǎng)，這樣做也可以阻止或延緩黑客對整個內(nèi)部網(wǎng)絡的入侵。

    3.2.5 定期對Linux網(wǎng)絡進行安全檢查

    Linux網(wǎng)絡系統(tǒng)的運轉(zhuǎn)是動態(tài)變化的，因此對它的安全管理也是變化的，沒有固定的模式，作為Linux網(wǎng)絡系統(tǒng)的管理員，在為系統(tǒng)設(shè)置了安全防范策略后，應定期對系統(tǒng)進行安全檢查，并嘗試對自己管理的服務器進行攻擊，如果發(fā)現(xiàn)安全機制中的漏洞應立即采取措施補救，不給黑客以可乘之機。

    3.2.6 制定適當?shù)臄?shù)據(jù)備份計劃確保系統(tǒng)萬無一失

    沒有一種操作系統(tǒng)的運轉(zhuǎn)是百分之百可靠的，也沒有一種安全策略是萬無一失的，因此作為Linux系統(tǒng)管理員，必須為系統(tǒng)制定適當?shù)臄?shù)據(jù)備份計劃，充分利用磁帶機、光盤刻錄機、雙機熱備份等技術(shù)手段為系統(tǒng)保存數(shù)據(jù)備份，使系統(tǒng)一旦遭到破壞或黑客攻擊而發(fā)生癱瘓時，能迅速恢復工作，把損失減少到最小。

    4 加強對Linux網(wǎng)絡服務器的管理，合理使用各種工具

    4.1 利用記錄工具，記錄對Linux系統(tǒng)的訪問

    Linux系統(tǒng)管理員可以利用前面所述的記錄文件和記錄工具記錄事件，可以每天查看或掃描記錄文件，這些文件記錄了系統(tǒng)運行的所有信息。如果需要，還可以把高優(yōu)先級的事件提取出來傳送給相關(guān)人員處理，如果發(fā)現(xiàn)異�？梢粤⒓床扇〈胧�。

    4.2 慎用Telnet服務

    在Linux下，用Telnet進行遠程登錄時，用戶名和用戶密碼是明文傳輸?shù)模�這就有可能被在網(wǎng)上監(jiān)聽的其他用戶截獲。另一個危險是黑客可以利用Telnet登入系統(tǒng)，如果他又獲取了超級用戶密碼，則對系統(tǒng)的危害將是災難性的。因此，如果不是特別需要，不要開放Telnet服務。如果一定要開放Telnet服務，應該要求用戶用特殊的工具軟件進行遠程登錄，這樣就可以在網(wǎng)上傳送加密過的用戶密碼，以免密碼在傳輸過程中被黑客截獲。

    4.3 合理設(shè)置NFS服務和NIS服務

    NFS（Network File System）服務，允許工作站通過網(wǎng)絡共享一個或多個服務器輸出的文件系統(tǒng)。但對于配置得不好的NFS服務器來講，用戶不經(jīng)登錄就可以閱讀或者更改存儲在NFS服務器上的文件，使得NFS服務器很容易受到攻擊。如果一定要提供NFS服務，要確�；�于Linux的NFS服務器支持Secure RPC(Secure Remote Procedure Call)，以便利用DES（Data Encryption Standard）加密算法和指數(shù)密鑰交換（Exponential Key Exchange）技術(shù)驗證每個NFS請求的用戶身份。

    NIS（Network Information System）服務，是一個分布式數(shù)據(jù)處理系統(tǒng)，它使網(wǎng)絡中的計算機通過網(wǎng)絡共享passwd文件，group文件，主機表文件和其他共享的系統(tǒng)資源。通過NIS服務和NFS服務，在整個網(wǎng)絡中的各個工作站上操作網(wǎng)絡中的數(shù)據(jù)就像在操作和使用單個計算機系統(tǒng)中的資源一樣，并且這種操作過程對用戶是透明的。但是NIS服務也有漏洞，在NIS系統(tǒng)中，不懷好意的用戶可以利用自己編寫的程序來模仿Linux系統(tǒng)中的ypserv 響應ypbind的請求，從而截獲用戶的密碼。因此，NIS的用戶一定要使用ypbind的secure選項，并且不接受端口號小于1024（非特權(quán)端口）的ypserv響應。

    4.4 小心配置FTP服務

    FTP服務與前面講的Telnet服務一樣，用戶名和用戶密碼也是明文傳輸?shù)摹Ｒ虼�，為了系統(tǒng)的安全，必須通過對/etc/ftpusers文件的配置，禁止root，bin，daemon，adm等特殊用戶對FTP服務器進行遠程訪問，通過對/etc/ftphosts的設(shè)定限制某些主機不能連入FTP服務器，如果系統(tǒng)開放匿名FTP服務，則任何人都可以下載文件（有時還可以上載文件），因此，除非特別需要一般應禁止匿名FTP服務。

    4.5 合理設(shè)置POP-3和Sendmail等電子郵件服務

    對一般的POP-3服務來講，電子郵件用戶的口令是按明文方式傳送到網(wǎng)絡中的，黑客可以很容易截獲用戶名和用戶密碼。要想解決這個問題，必須安裝支持加密傳送密碼的POP-3服務器（即支持Authenticated POP命令），這樣用戶在往網(wǎng)絡中傳送密碼之前，可以先對密碼加密。

    老版本的Sendmail郵件服務器程序存在安全隱患，為了確保郵件服務器的安全，應盡可能安裝已消除安全隱患的最新版的Sendmail服務器軟件。

    4.6 加強對WWW服務器的管理，提供安全的WWW服務

    當一個基于Linux系統(tǒng)的網(wǎng)站建立好之后，絕大部分用戶是通過Web服務器，利用WWW瀏覽器對網(wǎng)絡進行訪問的，因此必須特別重視Web服務器的安全，無論采用哪種基于HTTP協(xié)議的Web服務器軟件，都要特別關(guān)注CGI腳本（Common Gateway Interface），這些CGI腳本是可執(zhí)行程序，一般存放在Web服務器的CGI-BIN目錄下面，在配置Web服務器時，要保證CGI可執(zhí)行腳本只存放于CGI-BIN目錄中，這樣可以保證腳本的安全，且不會影響到其他目錄的安全。

    4.7 最好禁止提供finger 服務

    在Linux系統(tǒng)下，使用finger命令，可以顯示本地或遠程系統(tǒng)中目前已登錄用戶的詳細信息，黑客可以利用這些信息，增大侵入系統(tǒng)的機會。為了系統(tǒng)的安全，最好禁止提供finger服務，即從/usr/bin下刪除finger 命令。如果要保留 finger服務，應將finger文件換名，或修改權(quán)限為只允許root用戶執(zhí)行finger命令。

    5 結(jié)束語

    由于Linux操作系統(tǒng)使用廣泛，又公開了源碼，因此是被廣大計算機用戶研究得最徹底的操作系統(tǒng)，而Linux本身的配置又相當?shù)膹碗s，按照前面的安全策略和保護機制，可以將系統(tǒng)的風險降到最低，但不可能徹底消除安全漏洞，作為Linux系統(tǒng)的管理員，頭腦中一定要有安全防范意識，定期對系統(tǒng)進行安全檢查，發(fā)現(xiàn)漏洞要立即采取措施，不給黑客以可乘之機。本文所述的安全措施已在紅旗Linux 1.0 和藍點Linux上獲得驗證，并實際應用于我院圖書館計算機集成管理系統(tǒng)中，確保了我院圖書館計算機集成管理系統(tǒng)安全、穩(wěn)定地運轉(zhuǎn)。

　

參考文獻

1. 張小斌、嚴望佳。黑客分析與防范技術(shù)。北京：清華大學出版社，1999年5月，ISBN7-302-03460-5/TP.1885
2. 張軼博、孫占峰。Linux應用大全。北京：機械工業(yè)出版社，2000年1月，ISBN7-111-07768-7
3. 施勢帆、呂建毅。Linux網(wǎng)絡服務器實用手冊。北京：清華大學出版社，1999年7月，ISBN7-900617-86-8

　

作者聯(lián)系地址：安徽省淮南市洞山 淮南工業(yè)學院計算機科學與技術(shù)系 潘瑜

電子郵件：ypan@hnit.edu.cn

郵政編碼：232001 聯(lián)系電話：0554-6647001(H),6668687(O),6668584(O)

作者簡歷：潘瑜，男，1963年出生，碩士，副教授，淮南工業(yè)學院計算機科學與技術(shù)系副主任、網(wǎng)絡中心副主任，安徽省計算機學會常務理事。

【基于Linux系統(tǒng)的網(wǎng)絡安全策略】相關(guān)文章：

基于Linux的Intranet互聯(lián)網(wǎng)教學系統(tǒng)08-06

Linux—網(wǎng)絡時代的操作系統(tǒng)?08-06

基于Web技術(shù)的網(wǎng)絡考試系統(tǒng)08-06

基于Linux的嵌入式網(wǎng)絡存儲器設(shè)計08-06

基于Linux內(nèi)核的鍵盤模擬實現(xiàn)08-19

基于PXA255的PDA交通管理系統(tǒng)在Linux環(huán)境下的實現(xiàn)08-06

搭建基于Linux桌面環(huán)境的影音平臺08-19

基于神經(jīng)網(wǎng)絡ZISC的模式識別系統(tǒng)08-06

基于E5122的家庭網(wǎng)絡控制系統(tǒng)08-06