`
purpen
  • 浏览: 796750 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

基于Linux的网络安全策略和保护措施

 
阅读更多

Linux网络操作系统的基本安全机制

  Linux网络操作系统提供了用户帐号、文件系统权限和系统日志文件等基本安全机制,如果这些安全机制配置不当,就会使系统存在一定的安全隐患。因此,网络系统管理员必须小心地设置这些安全机制。

  1.1 Linux系统的用户帐号

  在Linux系统中,用户帐号是用户的身份标志,它由用户名和用户口令组成。在Linux系统中,系统将输入的用户名存放在/etc/passwd文件中,而将输入的口令以加密的形式存放在/etc/shadow文件中。在正常情况下,这些口令和其他信息由操作系统保护,能够对其进行访问的只能是超级用户(root)和操作系统的一些应用程序。但是如果配置不当或在一些系统运行出错的情况下,这些信息可以被普通用户得到。进而,不怀好意的用户就可以使用一类被称为“口令破解”的工具去得到加密前的口令。

  1.2 Linux的文件系统权限

  Linux文件系统的安全主要是通过设置文件的权限来实现的。每一个Linux的文件或目录,都有3组属性,分别定义文件或目录的所有者,用户组和其他人的使用权限(只读、可写、可执行、允许SUID、允许SGID等)。特别注意,权限为SUID和SGID的可执行文件,在程序运行过程中,会给进程赋予所有者的权限,如果被黑客发现并利用就会给系统造成危害。

  1.3 合理利用Linux的日志文件

  Linux的日志文件用来记录整个操作系统使用状况。作为一个Linux网络系统管理员要充分用好以下几个日志文件。

  1.3.1 /var/log/lastlog文件

  记录最后进入系统的用户的信息,包括登录的时间、登录是否成功等信息。这样用户登录后只要用lastlog命令查看一下/var/log/lastlog文件中记录的所用帐号的最后登录时间,再与自己的用机记录对比一下就可以发现该帐号是否被黑客盗用。

  1.3.2 /var/log/secure文件

  记录系统自开通以来所有用户的登录时间和地点,可以给系统管理员提供更多的参考。

  1.3.3 /var/log/wtmp文件

  记录当前和历史上登录到系统的用户的登录时间、地点和注销时间等信息。可以用last命令查看,若想清除系统登录信息,只需删除这个文件,系统会生成新的登录信息。

 

 2.1 Linux网络系统可能受到的攻击类型

  2.1.1 “拒绝服务”攻击

  所谓“拒绝服务”攻击是指黑客采取具有破坏性的方法阻塞目标网络的资源,使网络暂时或永久瘫痪,从而使Linux网络服务器无法为正常的用户提供服务。例如黑客可以利用伪造的源地址或受控的其他地方的多台计算机同时向目标计算机发出大量、连续的TCP/IP请求,从而使目标服务器系统瘫痪。

  2.1.2 “口令破解”攻击

  口令安全是保卫自己系统安全的第一道防线。“口令破解”攻击的目的是为了破解用户的口令,从而可以取得已经加密的信息资源。例如黑客可以利用一台高速计算机,配合一个字典库,尝试各种口令组合,直到最终找到能够进入系统的口令,打开网络资源。

  2.1.3 “欺骗用户”攻击

  “欺骗用户”攻击是指网络黑客伪装成网络公司或计算机服务商的工程技术人员,向用户发出呼叫,并在适当的时候要求用户输入口令,这是用户最难对付的一种攻击方式,一旦用户口令失密,黑客就可以利用该用户的帐号进入系统。

  2.1.4 “扫描程序和网络监听”攻击

  许多网络入侵是从扫描开始的,利用扫描工具黑客能找出目标主机上各种各样的漏洞,并利用之对系统实施攻击。

  网络监听也是黑客们常用的一种方法,当成功地登录到一台网络上的主机,并取得了这台主机的超级用户控制权之后,黑客可以利用网络监听收集敏感数据或者认证信息,以便日后夺取网络中其他主机的控制权。

  2.2 Linux网络安全防范策略

  纵观网络的发展历史,可以看出,对网络的攻击可能来自非法用户,也可能来自合法的用户。因此作为Linux网络系统的管理员,既要时刻警惕来自外部的黑客攻击,又要加强对内部网络用户的管理和教育,具体可以采用以下的安全策略。

  2.2.1 仔细设置每个内部用户的权限

  为了保护Linux网络系统的资源,在给内部网络用户开设帐号时,要仔细设置每个内部用户的权限,一般应遵循“最小权限”原则,也就是仅给每个用户授予完成他们特定任务所必须的服务器访问权限。这样做会大大加重系统管理员的管理工作量,但为了整个网络系统的安全还是应该坚持这个原则。

  2.2.2 确保用户口令文件/etc/shadow的安全

  对于网络系统而言,口令是比较容易出问题的地方,作为系统管理员应告诉用户在设置口令时要使用安全口令(在口令序列中使用非字母,非数字等特殊字符)并适当增加口令的长度(大于6个字符)。系统管理员要保护好/etc/passwd和/etc/shadow这两个文件的安全,不让无关的人员获得这两个文件,这样黑客利用John等程序对/etc/passwd和/etc/shadow文件进行了字典攻击获取用户口令的企图就无法进行。系统管理员要定期用John等程序对本系统的/etc/passwd和/etc/shadow文件进行模拟字典攻击,一旦发现有不安全的用户口令,要强制用户立即修改。

  2.2.3 加强对系统运行的监控和记录

  Linux网络系统管理员,应对整个网络系统的运行状况进行监控和记录,这样通过分析记录数据,可以发现可疑的网络活动,并采取措施预先阻止今后可能发生的入侵行为。如果进攻行为已经实施,则可以利用记录数据跟踪和识别侵入系统的黑客。

  2.2.4 合理划分子网和设置防火墙

  如果内部网络要进入Internet,必须在内部网络与外部网络的接口处设置防火墙,以确保内部网络中的数据安全。对于内部网络本身,为了便于管理,合理分配IP地址资源,应该将内部网络划分为多个子网,这样做也可以阻止或延缓黑客对整个内部网络的入侵。

  2.2.5 定期对Linux网络进行安全检查

  Linux网络系统的运转是动态变化的,因此对它的安全管理也是变化的,没有固定的模式,作为Linux网络系统的管理员,在为系统设置了安全防范策略后,应定期对系统进行安全检查,并尝试对自己管理的服务器进行攻击,如果发现安全机制中的漏洞应立即采取措施补救,不给黑客以可乘之机。

  2.2.6 制定适当的数据备份计划确保系统万无一失

  没有一种操作系统的运转是百分之百可靠的,也没有一种安全策略是万无一失的,因此作为Linux系统管理员,必须为系统制定适当的数据备份计划,充分利用磁带机、光盘刻录机、双机热备份等技术手段为系统保存数据备份,使系统一旦遭到破坏或黑客攻击而发生瘫痪时,能迅速恢复工作,把损失减少到最小。

 

      3.1 利用记录工具,记录对Linux系统的访问

 

  Linux系统管理员可以利用前面所述的记录文件和记录工具记录事件,可以每天查看或扫描记录文件,这些文件记录了系统运行的所有信息。如果需要,还可以把高优先级的事件提取出来传送给相关人员处理,如果发现异常可以立即采取措施。

  3.2 慎用Telnet服务

  在Linux下,用Telnet进行远程登录时,用户名和用户密码是明文传输的,这就有可能被在网上监听的其他用户截获。另一个危险是黑客可以利用Telnet登入系统,如果他又获取了超级用户密码,则对系统的危害将是灾难性的。因此,如果不是特别需要,不要开放Telnet服务。如果一定要开放Telnet服务,应该要求用户用特殊的工具软件进行远程登录,这样就可以在网上传送加密过的用户密码,以免密码在传输过程中被黑客截获。

  3.3 合理设置NFS服务和NIS服务

  NFS(Network File System)服务,允许工作站通过网络共享一个或多个服务器输出的文件系统。但对于配置得不好的NFS服务器来讲,用户不经登录就可以阅读或者更改存储在NFS服务器上的文件,使得NFS服务器很容易受到攻击。如果一定要提供NFS服务,要确保基于Linux的NFS服务器支持Secure RPC(Secure Remote Procedure Call),以便利用DES(Data Encryption Standard)加密算法和指数密钥交换(Exponential Key Exchange)技术验证每个NFS请求的用户身份。

  NIS(Network Information System)服务,是一个分布式数据处理系统,它使网络中的计算机通过网络共享passwd文件,group文件,主机表文件和其他共享的系统资源。通过NIS服务和NFS服务,在整个网络中的各个工作站上操作网络中的数据就像在操作和使用单个计算机系统中的资源一样,并且这种操作过程对用户是透明的。但是NIS服务也有漏洞,在NIS系统中,不怀好意的用户可以利用自己编写的程序来模仿Linux系统中的ypserv 响应ypbind的请求,从而截获用户的密码。因此,NIS的用户一定要使用ypbind的secure选项,并且不接受端口号小于1024(非特权端口)的ypserv响应。

  3.4 小心配置FTP服务

  FTP服务与前面讲的Telnet服务一样,用户名和用户密码也是明文传输的。因此,为了系统的安全,必须通过对/etc/ftpusers文件的配置,禁止root,bin,daemon,adm等特殊用户对FTP服务器进行远程访问,通过对/etc/ftphosts的设定限制某些主机不能连入FTP服务器,如果系统开放匿名FTP服务,则任何人都可以下载文件(有时还可以上载文件),因此,除非特别需要一般应禁止匿名FTP服务。

  3.5 合理设置POP-3和Sendmail等电子邮件服务

  对一般的POP-3服务来讲,电子邮件用户的口令是按明文方式传送到网络中的,黑客可以很容易截获用户名和用户密码。要想解决这个问题,必须安装支持加密传送密码的POP-3服务器(即支持Authenticated POP命令),这样用户在往网络中传送密码之前,可以先对密码加密。

  老版本的Sendmail邮件服务器程序存在安全隐患,为了确保邮件服务器的安全,应尽可能安装已消除安全隐患的最新版的Sendmail服务器软件。

  3.6 加强对WWW服务器的管理,提供安全的WWW服务

  当一个基于Linux系统的网站建立好之后,绝大部分用户是通过Web服务器,利用WWW浏览器对网络进行访问的,因此必须特别重视Web服务器的安全,无论采用哪种基于HTTP协议的Web服务器软件,都要特别关注CGI脚本(Common Gateway Interface),这些CGI脚本是可执行程序,一般存放在Web服务器的CGI-BIN目录下面,在配置Web服务器时,要保证CGI可执行脚本只存放于CGI-BIN目录中,这样可以保证脚本的安全,且不会影响到其他目录的安全。

  3.7 最好禁止提供finger 服务

  在Linux系统下,使用finger命令,可以显示本地或远程系统中目前已登录用户的详细信息,黑客可以利用这些信息,增大侵入系统的机会。为了系统的安全,最好禁止提供finger服务,即从/usr/bin下删除finger 命令。如果要保留 finger服务,应将finger文件换名,或修改权限为只允许root用户执行finger命令。

分享到:
评论

相关推荐

    基于Linux系统的网络安全策略和保护措施.pdf

    基于Linux系统的网络安全策略和保护措施.pdf

    基于Linux系统的网络安全策略及Linux组网技术 论文格式

    Linux系统是一种应用越来越广泛的网络操作系统,为确保系统安全稳定的运转,在实际运用时应该采用适当的安全机制,本文就此提出了切实可行的基于Linux系统的网络安全策略和保护措施。

    基于Linux的网络入侵检测系统.pdf

    各种计算机安全事件不断发生,如何从技术、管理、法律多方面采取综合措施来保障信息与网络安全已经成为全球计算机安全人员的共同目标。 入侵检测系统(Intrusion Detection System,IDS)是一种检测和防止网络入侵...

    Linux网络安全技术.pdf

    Linux 的开源策略使它得到广大用户的青睐,但这也让系统核心一览无余,系统存在的漏洞很容易被他人利用,因此应更加注重整个系统的网络安全设计。 网络安全技术主要是为安全考虑而对客户机设置访问权限或对网络中...

    基于linux的网络安全配置和服务加速系统.pdf

    基于Linux的网络安全配置和服务加速系统需要全面考虑网络攻击的多样性、网络性能的需求以及现代通信环境中干扰的复杂性。通过深入理解和应用上述技术,我们可以构建更安全、更快捷的网络服务环境,保护用户数据安全...

    Linux操作系统网络安全、策略

    Linux系统是一种应用越来越广泛的网络操作系统,为确保系统安全稳定的运转,在实际运用时应该采用适当的安全机制,本文就此提出了切实可行的基于Linux系统的网络安全策略和保护措施。

    IPSec协议研究及基于Linux的安全网关的实现.pdf

    IPSec协议通过加密和认证数据包,为IP层以上的所有应用提供透明保护,提升网络安全防护级别。 IPSec的安全体系结构复杂,由多个组件构成,包括安全协议(AH和ESP)、密钥管理(ISAKMP/IKE)、策略、解释域和加解密...

    基于Linux操作系统平台的服务器安全策略.pdf

    综上所述,基于Linux的操作系统平台需要一套综合的安全策略,包括但不限于口令管理、权限控制、防火墙、加密技术以及监控和审计等措施。这些策略的实施,能够显著提高服务器的安全性,降低被黑客攻击的风险,保护...

    基于Linux系统服务器网络安全机制.pdf

    Linux系统中会存在漏洞和后门,需要通过安全策略和机制来弥补这些缺陷。 操作系统本身也应纳入网络安全机制中,操作系统级别的安全设置对于保障整个服务器的安全至关重要。例如,Linux系统服务器可以采用三层负载...

    基于S3A3G3三级等保标准的Linux系统主机安全加固.pdf

    做好网络安全防护,需要了解黑客攻击的过程和方法,才能制订正确的防御策略。通常黑客攻击可以归纳为几个阶段,包括信息收集、漏洞扫描、漏洞利用、权限提升、隐私数据盗取等阶段。因此,为了防御黑客攻击,需要采取...

    基于等级保护思想实现Linux操作系统的安全防护研究.pdf

    【等级保护思想与Linux操作系统安全】\n\n随着信息技术的快速发展,网络安全问题日益凸显,操作系统作为数据和应用的载体,其安全性至关重要。特别是在云计算和大数据的推动下,主机安全,尤其是Linux操作系统,已经...

    基于Linux的内核安全技术的研究与实现.pdf

    随着信息技术的快速发展,网络安全问题变得越来越重要,尤其是在Linux操作系统中。Linux以其开源、强大且高度模块化的特性,成为许多领域的重要选择。然而,其默认的安全级别较低,这给系统和数据带来了潜在的风险。...

    LINUx下基于TCPIP的多人聊天程序

    5. **安全性**:考虑到网络安全,可能需要实施身份验证、加密传输等措施,以防止未经授权的访问和数据泄露。 6. **性能优化**:在大型聊天系统中,可能需要考虑服务器负载均衡、数据缓存、高效的内存管理等策略来...

    网络安全绝地求生-Linux实验指南

    随着信息技术的快速发展和网络安全事件的频发,对网络安全人才的需求日益增加,特别是在Linux环境下的安全能力培养显得尤为重要。 网络安全绝地求生-Linux实验指南是一本专注于Linux系统安全实验的指导书籍,旨在...

    基于Linux下网络服务安全可靠性研究.pdf

    3. 网络服务安全策略 在Linux下,确保网络服务安全性的关键在于采取适当的策略,如: - 定期更新和打补丁:保持操作系统和应用程序的最新状态,修复已知的安全漏洞。 - 强化防火墙规则:根据服务需求定制防火墙...

    基于linux操作系统的网络服务器安全管理.pdf

    3. **网络安全策略** - **权限管理**:Linux的用户和组管理机制(如用户权限、文件权限、SELinux等)能确保只有授权的用户和程序才能访问资源。 - **日志监控**:通过对系统日志的持续监控,可以及时发现异常活动...

    基于linux的小区电动车充电桩设备(STM32).zip

    【基于Linux的小区电动车充电桩设备(STM32)】是一个嵌入式系统项目,它结合了Linux操作系统和STM32微控制器技术,用于为电动车提供安全、高效的充电服务。STM32是意法半导体(STMicroelectronics)推出的一款基于ARM...

    LINUX 下防火墙的研究与实现(详细配置)

    本文将首先从Intranet的安全性入手, 分析Intranet面临的安全问题,讨论Intranet安全设计需求,然后详述防火墙的背景知识和关键技术,最后重点介绍我们提出的基于Linux平台的复合防火墙的设计和实现。 ...

    基于Linux的即时聊天系统_socket_tcp_UDP_linux_

    在实际开发中,为了提高系统的稳定性和健壮性,还需要考虑异常处理、多线程或多进程模型、网络中断后的重连机制、安全加密措施(如SSL/TLS)、以及负载均衡和容错策略等。此外,界面设计和用户体验也是不容忽视的...

    SELinux安全策略和探释.pdf

    MAC机制确保所有资源(如文件、目录和端口)的访问均基于预定义的安全策略。这些策略通常由系统管理员制定,并且普通用户无法随意修改。 ##### 2. 类型强制执行(Type Enforcement, TE) 在SELinux中,每个文件...

Global site tag (gtag.js) - Google Analytics