李榮芳 辛富國

摘要完善的內(nèi)置網(wǎng)絡(luò)功能是Linux優(yōu)于其他系統(tǒng)的顯著特點,但是Linux并不能保證絕對的安全,在實際應(yīng)用中仍然需要管理員做好網(wǎng)絡(luò)安全策略,本文就此問題展開討論。

關(guān)鍵詞Linux 網(wǎng)絡(luò)安全 策略

中圖分類號:TP393文獻標(biāo)識碼:A

1 引言

Linux操作系統(tǒng)最早是由芬蘭的Linus Torvalds 1991年8月在上學(xué)時發(fā)布的,后經(jīng)眾多世界頂尖的軟件工程師的不斷修改和完善,Linux在全球普及開來,在服務(wù)器領(lǐng)域及個人桌面版得到越來越多的應(yīng)用,在嵌入式開發(fā)方面更是具有其它操作系統(tǒng)無可比擬的優(yōu)勢。與此同時也帶來了許多網(wǎng)絡(luò)安全問題,網(wǎng)絡(luò)安全成為網(wǎng)絡(luò)用戶關(guān)心的一個熱點問題,本文就Linux 的網(wǎng)絡(luò)安全問題展開討論。

2 Linux系統(tǒng)的網(wǎng)絡(luò)安全隱患

(1)Linux系統(tǒng)可以使用啟動盤來啟動計算機,而無需使用root口令即可獲得超級用戶root所具有的權(quán)限。這是一個很嚴(yán)重的安全隱患,因為它使root口令失去了意義。

(2)Linux的弱口令隱患。不少網(wǎng)站的管理員賬號密碼、ftp賬號密碼、sql賬號密碼等都是使用很簡單的或是很容易猜測到的字母或數(shù)字( 利用現(xiàn)有的 )PIII 機器配合編寫恰當(dāng)?shù)钠平廛浖阋栽诙虝r間內(nèi)輕松破解,一旦口令被破解,網(wǎng)站就意味著被攻破。

(3)SETUID隱患。SETUID是為解決某些普通用戶在執(zhí)行程序時須暫時獲得root特權(quán)的程序執(zhí)行問題,這也是一個很大的安全隱患。

(4)緩沖區(qū)溢出隱患。當(dāng)輸入數(shù)據(jù)超出所分配存儲空間而系統(tǒng)又沒有對此作直接處理時將產(chǎn)生緩沖區(qū)溢出問題。

3 Linux系統(tǒng)的網(wǎng)絡(luò)安全防范策略

作為Linux網(wǎng)絡(luò)系統(tǒng)的管理員,既要時刻警惕來自外部的黑客攻擊,又要加強對內(nèi)部網(wǎng)絡(luò)用戶的管理和教育,具體可以采用以下的安全策略:

(1)關(guān)閉無用的端口。任何網(wǎng)絡(luò)連接都是通過開放的應(yīng)用端口來實現(xiàn)的。如果盡可能少的開放斷口,就會使網(wǎng)絡(luò)攻擊變成無源之水,從而大大減少了攻擊者成功的機會。

(2)口令管理?？诹畹拈L度一般不要少于8個字符,口令的組成應(yīng)以無規(guī)則的大小寫字母、數(shù)字和符號相結(jié)合,嚴(yán)格避免用英語單詞或詞組等設(shè)置口令,而且各用戶的口令應(yīng)該定期更換。另外,口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護,必須做到只有系統(tǒng)管理員才能訪問這2個文件。安裝一個口令過濾工具加npasswd,能幫你檢查你的口令是否耐得住攻擊。如果你的系統(tǒng)中沒有安裝口令過濾工具,請馬上檢查所有用戶的口令是否能被窮盡搜索到,即對/ect/passwd文件實施窮盡搜索攻擊。

(3)分區(qū)管理。一個潛在的攻擊首先會嘗試緩沖區(qū)溢出。更為嚴(yán)重的是,緩沖區(qū)溢出漏洞占了遠程網(wǎng)絡(luò)攻擊的絕大多數(shù),這種攻擊可以輕易使得一個匿名的Intemet用戶有機會獲得一臺主機的部分或全部的控制權(quán)。為了防止此類攻擊,我們從安裝系統(tǒng)時就應(yīng)該注意.如果用root分區(qū)記錄數(shù)據(jù),如log文件,就可能因為拒絕服務(wù)產(chǎn)生大量日志或垃圾郵件,從而導(dǎo)致系統(tǒng)崩潰。所以建議為/var開辟單獨的分區(qū),用來存放日志和郵件,以避免root分區(qū)被溢出。最好為特殊的應(yīng)用程序單獨開一個分區(qū),特別是可以產(chǎn)生大量日志的程序,還建議為/home單獨分—個區(qū),這樣他們就不能填滿分區(qū)了,從而可有效避免部分針對Linux分區(qū)溢出的惡意攻擊。

(4)使用保留IP地址。維護網(wǎng)絡(luò)安全性最簡單的方法是保證網(wǎng)絡(luò)中的主機不同外界接觸。最基本的方法是與公共網(wǎng)絡(luò)隔離。這時,使用保留IP地址是一種簡單可行的方法,它可以讓用戶訪問Intemet同時保證一定的安全性。RFC1918規(guī)定了能夠用于本地TCP/IP網(wǎng)絡(luò)使用的IP地址范圍,這些lP地址不會在Intemet上路由,因此不必注冊這些地址。通過在該范圍分配IP地址,可以有效地將網(wǎng)絡(luò)流量限制在本地網(wǎng)絡(luò)內(nèi)。這是一種拒絕外部汁算機訪問而允許內(nèi)部汁算機互聯(lián)的快速有效的方法。

保留IP地址范圍:10.0.0.0 — 10.255.255.255

172.16.0.0 — 172.31.255.255

192.168.0.0 —192.168.255.255

來自保留IP地址的網(wǎng)絡(luò)交通不會經(jīng)過Intemet路由器,因此被賦予保留IP地址的任何計算機不能從外部網(wǎng)絡(luò)訪問,,但是,這種方法同時也不允許用戶訪問外部網(wǎng)絡(luò),不過可以利用lP偽裝解決這一問題。

(5)不設(shè)置缺省路由。在主機中,應(yīng)該嚴(yán)格禁止設(shè)置缺省路由default route。建議為每一個子網(wǎng)或網(wǎng)段設(shè)置一個路由.否則其它機器就可能通過一定方式訪問該主機。

(6)采用防火墻技術(shù)。 防火墻是阻止非授權(quán)用戶進入、離開、穿過網(wǎng)絡(luò)或主機系統(tǒng)一種部件或一系列部件,可以采用系統(tǒng)附帶的工具和專用的防火墻來實現(xiàn)主機系統(tǒng)或網(wǎng)絡(luò)安全,通過適當(dāng)配置可有效地限制、保護系統(tǒng)以及控制局域網(wǎng)范圍內(nèi)的訪問。防火墻系統(tǒng)一般提供如下功能:訪問控制、審計、抗攻擊、其他附屬功能。

(7)采用加密技術(shù)。 加密技術(shù)主要是指數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲加密數(shù)。數(shù)據(jù)傳輸加密技術(shù)是對傳輸中的數(shù)據(jù)流加密,常用的方法有“數(shù)據(jù)線路加密”和“端-端加密”兩種。前者主要考慮數(shù)據(jù)在傳輸線路上的安全,而不考慮(下轉(zhuǎn)第174頁)(上接第172頁)數(shù)據(jù)的信源節(jié)點與信宿節(jié)點;后者則指信息在發(fā)送端自動加密,并進入TCP/IP數(shù)據(jù)包,然后作為不可閱讀和不可識別的數(shù)據(jù)穿過因特網(wǎng),當(dāng)這些信息一旦到達目的地,將被自動重組、解密,重新變成為可讀數(shù)據(jù)。數(shù)據(jù)存儲加密技術(shù)是防止信息在存儲過程中的數(shù)據(jù)泄密,分為密文存儲和存取控制兩種。

(8)加強服務(wù)器防病毒功能。雖然從理論上說在Linux系統(tǒng)上可以產(chǎn)生一個病毒, 但那是很困難的事情,只有擁有root訪問權(quán)限才能執(zhí)行一個能起大破壞的病毒。但是Linux潛在的對病毒的免疫性可以被用來做Linux的防病毒系統(tǒng)。不僅Linux的SAMBA服務(wù)器應(yīng)該掃描被Windows客戶機存放的被病毒感染的文件,一個基于Linux的反病毒網(wǎng)關(guān)也應(yīng)該用于為整個網(wǎng)絡(luò)掃描和保護SMTP 、FTP和Web通信等。

4 結(jié)語

由于Linux操作系統(tǒng)使用廣泛,又公開源碼.因此被廣大計算機用戶研究得最徹底。而Linux本身的配置又相當(dāng)?shù)膹?fù)雜, 對于Linux的系統(tǒng)管理員.頭腦中一定要有安全防范意識,定期檢查系統(tǒng),發(fā)現(xiàn)漏洞要立即采取措施。

參考文獻

[1][美]Aron Hsiao.Linux系統(tǒng)安全基礎(chǔ)[M].北京:人民郵電出版社,2002.

[2]潘瑜.基于Linux系統(tǒng)的網(wǎng)絡(luò)安全策略.計算機基礎(chǔ)教程網(wǎng).