淺談Linux系統(tǒng)的網(wǎng)絡(luò)安全及其應(yīng)對策略

摘要完善的內(nèi)置網(wǎng)絡(luò)功能是Linux優(yōu)于其他系統(tǒng)的顯著特點(diǎn)，但是Linux并不能保證絕對的安全，在實(shí)際應(yīng)用中仍然需要管理員做好網(wǎng)絡(luò)安全策略，本文就此問題展開討論。

關(guān)鍵詞Linux 網(wǎng)絡(luò)安全 策略

中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A

1 引言

Linux操作系統(tǒng)最早是由芬蘭的Linus Torvalds 1991年8月在上學(xué)時發(fā)布的，后經(jīng)眾多世界頂尖的軟件工程師的不斷修改和完善，Linux在全球普及開來，在服務(wù)器領(lǐng)域及個人桌面版得到越來越多的應(yīng)用，在嵌入式開發(fā)方面更是具有其它操作系統(tǒng)無可比擬的優(yōu)勢。與此同時也帶來了許多網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全成為網(wǎng)絡(luò)用戶關(guān)心的一個熱點(diǎn)問題，本文就Linux 的網(wǎng)絡(luò)安全問題展開討論。

2 Linux系統(tǒng)的網(wǎng)絡(luò)安全隱患

(1)Linux系統(tǒng)可以使用啟動盤來啟動計算機(jī)，而無需使用root口令即可獲得超級用戶root所具有的權(quán)限。這是一個很嚴(yán)重的安全隱患，因?yàn)樗箁oot口令失去了意義。

(2)Linux的弱口令隱患。不少網(wǎng)站的管理員賬號密碼、ftp賬號密碼、sql賬號密碼等都是使用很簡單的或是很容易猜測到的字母或數(shù)字( 利用現(xiàn)有的 )PIII 機(jī)器配合編寫恰當(dāng)?shù)钠平廛浖阋栽诙虝r間內(nèi)輕松破解，一旦口令被破解，網(wǎng)站就意味著被攻破。

(3)SETUID隱患。SETUID是為解決某些普通用戶在執(zhí)行程序時須暫時獲得root特權(quán)的程序執(zhí)行問題，這也是一個很大的安全隱患。

(4)緩沖區(qū)溢出隱患。當(dāng)輸入數(shù)據(jù)超出所分配存儲空間而系統(tǒng)又沒有對此作直接處理時將產(chǎn)生緩沖區(qū)溢出問題。

3 Linux系統(tǒng)的網(wǎng)絡(luò)安全防范策略

作為Linux網(wǎng)絡(luò)系統(tǒng)的管理員，既要時刻警惕來自外部的黑客攻擊，又要加強(qiáng)對內(nèi)部網(wǎng)絡(luò)用戶的管理和教育，具體可以采用以下的安全策略:

(1)關(guān)閉無用的端口。任何網(wǎng)絡(luò)連接都是通過開放的應(yīng)用端口來實(shí)現(xiàn)的。如果盡可能少的開放斷口，就會使網(wǎng)絡(luò)攻擊變成無源之水，從而大大減少了攻擊者成功的機(jī)會。

(2)口令管理?？诹畹拈L度一般不要少于8個字符，口令的組成應(yīng)以無規(guī)則的大小寫字母、數(shù)字和符號相結(jié)合，嚴(yán)格避免用英語單詞或詞組等設(shè)置口令，而且各用戶的口令應(yīng)該定期更換。另外，口令的保護(hù)還涉及到對/etc/passwd和/etc/shadow文件的保護(hù)，必須做到只有系統(tǒng)管理員才能訪問這2個文件。安裝一個口令過濾工具加npasswd，能幫你檢查你的口令是否耐得住攻擊。如果你的系統(tǒng)中沒有安裝口令過濾工具，請馬上檢查所有用戶的口令是否能被窮盡搜索到，即對/ect/passwd文件實(shí)施窮盡搜索攻擊。

(3)分區(qū)管理。一個潛在的攻擊首先會嘗試緩沖區(qū)溢出。更為嚴(yán)重的是，緩沖區(qū)溢出漏洞占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)，這種攻擊可以輕易使得一個匿名的Intemet用戶有機(jī)會獲得一臺主機(jī)的部分或全部的控制權(quán)。為了防止此類攻擊，我們從安裝系統(tǒng)時就應(yīng)該注意.如果用root分區(qū)記錄數(shù)據(jù)，如log文件，就可能因?yàn)榫芙^服務(wù)產(chǎn)生大量日志或垃圾郵件，從而導(dǎo)致系統(tǒng)崩潰。所以建議為/var開辟單獨(dú)的分區(qū)，用來存放日志和郵件，以避免root分區(qū)被溢出。最好為特殊的應(yīng)用程序單獨(dú)開一個分區(qū)，特別是可以產(chǎn)生大量日志的程序，還建議為/home單獨(dú)分—個區(qū)，這樣他們就不能填滿分區(qū)了，從而可有效避免部分針對Linux分區(qū)溢出的惡意攻擊。

(4)使用保留IP地址。維護(hù)網(wǎng)絡(luò)安全性最簡單的方法是保證網(wǎng)絡(luò)中的主機(jī)不同外界接觸。最基本的方法是與公共網(wǎng)絡(luò)隔離。這時，使用保留IP地址是一種簡單可行的方法，它可以讓用戶訪問Intemet同時保證一定的安全性。RFC1918規(guī)定了能夠用于本地TCP/IP網(wǎng)絡(luò)使用的IP地址范圍，這些lP地址不會在Intemet上路由，因此不必注冊這些地址。通過在該范圍分配IP地址，可以有效地將網(wǎng)絡(luò)流量限制在本地網(wǎng)絡(luò)內(nèi)。這是一種拒絕外部汁算機(jī)訪問而允許內(nèi)部汁算機(jī)互聯(lián)的快速有效的方法。

保留IP地址范圍:10.0.0.0 — 10.255.255.255

172.16.0.0 — 172.31.255.255

192.168.0.0 —192.168.255.255

來自保留IP地址的網(wǎng)絡(luò)交通不會經(jīng)過Intemet路由器，因此被賦予保留IP地址的任何計算機(jī)不能從外部網(wǎng)絡(luò)訪問，，但是，這種方法同時也不允許用戶訪問外部網(wǎng)絡(luò)，不過可以利用lP偽裝解決這一問題。

(5)不設(shè)置缺省路由。在主機(jī)中，應(yīng)該嚴(yán)格禁止設(shè)置缺省路由default route。建議為每一個子網(wǎng)或網(wǎng)段設(shè)置一個路由.否則其它機(jī)器就可能通過一定方式訪問該主機(jī)。

(6)采用防火墻技術(shù)。 防火墻是阻止非授權(quán)用戶進(jìn)入、離開、穿過網(wǎng)絡(luò)或主機(jī)系統(tǒng)一種部件或一系列部件，可以采用系統(tǒng)附帶的工具和專用的防火墻來實(shí)現(xiàn)主機(jī)系統(tǒng)或網(wǎng)絡(luò)安全，通過適當(dāng)配置可有效地限制、保護(hù)系統(tǒng)以及控制局域網(wǎng)范圍內(nèi)的訪問。防火墻系統(tǒng)一般提供如下功能:訪問控制、審計、抗攻擊、其他附屬功能。

(7)采用加密技術(shù)。 加密技術(shù)主要是指數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲加密數(shù)。數(shù)據(jù)傳輸加密技術(shù)是對傳輸中的數(shù)據(jù)流加密，常用的方法有“數(shù)據(jù)線路加密”和“端-端加密”兩種。前者主要考慮數(shù)據(jù)在傳輸線路上的安全，而不考慮(下轉(zhuǎn)第174頁)(上接第172頁)數(shù)據(jù)的信源節(jié)點(diǎn)與信宿節(jié)點(diǎn);后者則指信息在發(fā)送端自動加密，并進(jìn)入TCP/IP數(shù)據(jù)包，然后作為不可閱讀和不可識別的數(shù)據(jù)穿過因特網(wǎng)，當(dāng)這些信息一旦到達(dá)目的地，將被自動重組、解密，重新變成為可讀數(shù)據(jù)。數(shù)據(jù)存儲加密技術(shù)是防止信息在存儲過程中的數(shù)據(jù)泄密，分為密文存儲和存取控制兩種。

(8)加強(qiáng)服務(wù)器防病毒功能。雖然從理論上說在Linux系統(tǒng)上可以產(chǎn)生一個病毒， 但那是很困難的事情，只有擁有root訪問權(quán)限才能執(zhí)行一個能起大破壞的病毒。但是Linux潛在的對病毒的免疫性可以被用來做Linux的防病毒系統(tǒng)。不僅Linux的SAMBA服務(wù)器應(yīng)該掃描被Windows客戶機(jī)存放的被病毒感染的文件，一個基于Linux的反病毒網(wǎng)關(guān)也應(yīng)該用于為整個網(wǎng)絡(luò)掃描和保護(hù)SMTP 、FTP和Web通信等。

4 結(jié)語

由于Linux操作系統(tǒng)使用廣泛，又公開源碼.因此被廣大計算機(jī)用戶研究得最徹底。而Linux本身的配置又相當(dāng)?shù)膹?fù)雜， 對于Linux的系統(tǒng)管理員.頭腦中一定要有安全防范意識，定期檢查系統(tǒng)，發(fā)現(xiàn)漏洞要立即采取措施。

參考文獻(xiàn)

[1][美]Aron Hsiao.Linux系統(tǒng)安全基礎(chǔ)[M].北京:人民郵電出版社，2002.

[2]潘瑜.基于Linux系統(tǒng)的網(wǎng)絡(luò)安全策略.計算機(jī)基礎(chǔ)教程網(wǎng).