萬(wàn)為軍 江西旅游商貿(mào)職業(yè)學(xué)院 330100

淺談Linux系統(tǒng)網(wǎng)絡(luò)安全

萬(wàn)為軍 江西旅游商貿(mào)職業(yè)學(xué)院 330100

Linux是唯一開(kāi)放源代碼的免費(fèi)正版軟件，其完美的網(wǎng)絡(luò)服務(wù)功能較微軟操作系統(tǒng)具有更好的靈活性、穩(wěn)定性和安全性，采用Linux作為Web網(wǎng)絡(luò)服務(wù)器的中小企業(yè)也越來(lái)越多。隨著Linux系統(tǒng)在Internet中的廣泛應(yīng)用，網(wǎng)絡(luò)病毒及黑客攻擊成為服務(wù)器信息安全的主要威脅。本文通過(guò)分析Linux系統(tǒng)的安全機(jī)制，指出了可能存在的安全隱患，給出了相應(yīng)的安全策略和保護(hù)措施。

Linux;W服eb務(wù);安全機(jī)制;策略

1、Linux系統(tǒng)的基本安全機(jī)制

Linux操作系統(tǒng)提供了用戶(hù)賬號(hào)、文件系統(tǒng)權(quán)限和系統(tǒng)日志文件等基本安全機(jī)制，因此網(wǎng)絡(luò)系統(tǒng)管理員必須細(xì)心設(shè)置安全策略。

1.1 賬號(hào)安全

在Linux系統(tǒng)中，用戶(hù)賬號(hào)是由用戶(hù)名和用戶(hù)密碼組成。系統(tǒng)將輸入的用戶(hù)名存放在/etc/passwd文件中，而將輸入的密碼以加密的形式存放在/etc/shadow文件中。在正常情況下由操作系統(tǒng)保護(hù)，能夠?qū)ζ溥M(jìn)行訪問(wèn)的只能是根用戶(hù)root和操作系統(tǒng)的一些應(yīng)用程序。如果設(shè)置不當(dāng)或在系統(tǒng)運(yùn)行出錯(cuò)的情況下，這些信息可能被普通用戶(hù)得到，非法用戶(hù)就能使用“口令破解”的工具去得到加密前的口令。

1.2 文件系統(tǒng)權(quán)限

Linux文件系統(tǒng)的安全主要是通過(guò)設(shè)置文件的權(quán)限來(lái)實(shí)現(xiàn)的。文件或目錄，都有3組屬性，分別定義文件或目錄的所有者，用戶(hù)組和其他人的使用權(quán)限，而權(quán)限為SUID和SGID的可執(zhí)行文件，在程序運(yùn)行過(guò)程中，會(huì)給進(jìn)程賦予所有者的權(quán)限，若被黑客發(fā)現(xiàn)并利用就會(huì)給系統(tǒng)造成危害。

1.3 合理利用Linux的日志文件

Linux的日志文件用來(lái)記錄整個(gè)操作系統(tǒng)使用狀況。作為一個(gè)Linux網(wǎng)絡(luò)系統(tǒng)管理員要充分用好以下幾個(gè)日志文件。 / var/log/lastlog文件記錄最后進(jìn)入系統(tǒng)的用戶(hù)的信息，包括登錄的時(shí)間、登錄是否成功等信息。這樣用戶(hù)登錄后只要用lastlog命令查看一下/var/log/lastlog文件中記錄的所用賬號(hào)的最后登錄時(shí)間，與管理員登陸記錄對(duì)比就能發(fā)現(xiàn)該賬號(hào)是否被非法盜用。/var/log/secure文件記錄系統(tǒng)自開(kāi)通以來(lái)所有用戶(hù)的登錄時(shí)間和地點(diǎn)，能給系統(tǒng)管理員提供更多的參考。/v a r/l o g/ wtmp文件記錄當(dāng)前和歷史上登錄到系統(tǒng)的用戶(hù)的登錄時(shí)間、地點(diǎn)和注銷(xiāo)時(shí)間等信息。

2、Linux網(wǎng)絡(luò)系統(tǒng)可能受到的攻擊

Linux是公開(kāi)源碼的操作系統(tǒng)，比較容易受到來(lái)自底層的攻擊，管理員要有安全防范意識(shí)，對(duì)于Linux網(wǎng)絡(luò)系統(tǒng)可能的攻擊采取必要的措施保護(hù)系統(tǒng)正常運(yùn)行。

2.1 “拒絕服務(wù)”攻擊

所謂“拒絕服務(wù)”攻擊是指黑客采取具有破壞性的方法阻塞目標(biāo)網(wǎng)絡(luò)的資源，使網(wǎng)絡(luò)暫時(shí)或永久癱瘓，從而使Linux網(wǎng)絡(luò)服務(wù)器無(wú)法為正常的用戶(hù)提供服務(wù)。非法用戶(hù)能利用偽造的源地址或受控的其他地方的多臺(tái)計(jì)算機(jī)同時(shí)向目標(biāo)計(jì)算機(jī)發(fā)出大量、連續(xù)的TCP/IP 請(qǐng)求，從而使目標(biāo)服務(wù)器系統(tǒng)癱瘓。

2.2 “口令破解”攻擊

口令（即密碼）安全是保衛(wèi)自己系統(tǒng)安全的第一道防線?！翱诹钇平狻惫舻哪康氖菫榱似平庥脩?hù)的密碼，從而能取得已加密的數(shù)據(jù)庫(kù)等信息資源。黑客通常利用一臺(tái)高速計(jì)算機(jī)，配合一個(gè)字典庫(kù)，嘗試各種口令組合，直到最終找到能夠進(jìn)入系統(tǒng)的口令，竊取數(shù)據(jù)庫(kù)及其他信息資源。

本文分析了金融管理中對(duì)于金融風(fēng)險(xiǎn)的有效識(shí)別，希望可以給我們國(guó)家金融行業(yè)的發(fā)展提供更加有益的幫助，確保我們國(guó)家的金融行業(yè)在今后的發(fā)展中能夠更好地識(shí)別所存在的金融風(fēng)險(xiǎn)。

2.3 “欺騙用戶(hù)”攻擊

“欺騙用戶(hù)”攻擊是指網(wǎng)絡(luò)黑客偽裝成網(wǎng)絡(luò)公司或計(jì)算機(jī)服務(wù)商的工程技術(shù)人員，向用戶(hù)發(fā)出呼叫，并在適當(dāng)?shù)臅r(shí)候需求用戶(hù)輸入口令，這是用戶(hù)最難對(duì)付的一種攻擊方式，一旦用戶(hù)口令失密，黑客就能獲取的信息輕易進(jìn)入資源系統(tǒng)。

2.4 “掃描程式和網(wǎng)絡(luò)監(jiān)聽(tīng)”攻擊

許多網(wǎng)絡(luò)入侵是從掃描開(kāi)始的，利用掃描工具非法用戶(hù)能找出目標(biāo)主機(jī)上各種各樣的漏洞，并利用之對(duì)系統(tǒng)實(shí)施攻擊。

網(wǎng)絡(luò)監(jiān)聽(tīng)也是黑客攻擊的常用方法，當(dāng)成功地登錄到一臺(tái)網(wǎng)絡(luò)上的主機(jī)，并取得了這臺(tái)主機(jī)的根用戶(hù)控制權(quán)之后，黑客能利用網(wǎng)絡(luò)監(jiān)聽(tīng)收集敏感數(shù)據(jù)或認(rèn)證信息，以便日后奪取網(wǎng)絡(luò)中其他主機(jī)的控制權(quán)。

3、 Linux網(wǎng)絡(luò)安全防范策略

作為L(zhǎng)inux網(wǎng)絡(luò)系統(tǒng)的管理員，在合理規(guī)劃網(wǎng)絡(luò)結(jié)構(gòu)的同時(shí)，應(yīng)加強(qiáng)對(duì)一般用戶(hù)權(quán)限的管理和設(shè)置，通常采用以下的策略。

3.1 限制一般用戶(hù)的權(quán)限

為了保護(hù)Linux網(wǎng)絡(luò)系統(tǒng)的資源，在開(kāi)設(shè)用戶(hù)賬號(hào)時(shí)，仔細(xì)設(shè)置每個(gè)用戶(hù)的權(quán)限，一般應(yīng)遵循“最小權(quán)限”原則，也就是僅給每個(gè)用戶(hù)授予完成他們特定任務(wù)所必需的服務(wù)器訪問(wèn)權(quán)限。這樣做會(huì)加重系統(tǒng)管理員的工作量，但為了整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全還是應(yīng)該堅(jiān)持這一原則。

3.2 確保用戶(hù)口令文件/etc/shadow的安全

對(duì)于網(wǎng)絡(luò)系統(tǒng)而言，口令是比較容易出問(wèn)題的地方，系統(tǒng)管理員要保護(hù)好/ etc/passwd和/etc/shadow這兩個(gè)文件的安全，非法用戶(hù)利用John等程序?qū)?etc/ passwd和/etc/shadow文件進(jìn)行字典攻擊也無(wú)法獲取用戶(hù)口令。同樣管理員也要定期用John等程序?qū)Ρ鞠到y(tǒng)的/etc/passwd和/etc/shadow文件進(jìn)行模擬字典攻擊，發(fā)現(xiàn)有不安全的用戶(hù)口令要即時(shí)修改。

3.3 加強(qiáng)對(duì)系統(tǒng)運(yùn)行的監(jiān)視和記錄

Linux網(wǎng)絡(luò)系統(tǒng)管理員，應(yīng)對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視和記錄，通過(guò)分析記錄數(shù)據(jù)，能發(fā)現(xiàn)可疑的網(wǎng)絡(luò)活動(dòng)，并采取措施預(yù)先阻止今后可能發(fā)生的入侵行為。

3.4 定期安全檢查

Linux網(wǎng)絡(luò)系統(tǒng)的運(yùn)轉(zhuǎn)是動(dòng)態(tài)變化的，因此安全管理也是變化的，系統(tǒng)管理員應(yīng)定期對(duì)系統(tǒng)進(jìn)行安全檢查，并嘗試對(duì)自己管理的服務(wù)器進(jìn)行攻擊，如果發(fā)現(xiàn)安全機(jī)制中的漏洞應(yīng)即時(shí)采取措施補(bǔ)救。

3.5 適當(dāng)?shù)臄?shù)據(jù)備份

Linux系統(tǒng)管理員，必須為系統(tǒng)制定適當(dāng)?shù)臄?shù)據(jù)備份，充分利用磁帶機(jī)、光盤(pán)刻錄機(jī)、雙機(jī)熱備份等技術(shù)手段為系統(tǒng)備份重要數(shù)據(jù)，在系統(tǒng)一旦遭到病毒破壞或黑客攻擊癱瘓時(shí)，迅速恢復(fù)工作，盡可能減少損失。

4、加強(qiáng)對(duì)Linux網(wǎng)絡(luò)服務(wù)器的管理

4.1 利用工具，記錄對(duì)Linux系統(tǒng)的訪問(wèn)

Linux系統(tǒng)管理員應(yīng)利用前面所述的文件和記錄工具記錄事件，定期查看或掃描系統(tǒng)運(yùn)行的所有信息。及時(shí)發(fā)現(xiàn)異常并采取相應(yīng)措施。

4.2 慎用Telnet等服務(wù)

在Linux下，用Telnet進(jìn)行遠(yuǎn)程登錄時(shí)，用戶(hù)名和用戶(hù)密碼是明文傳輸?shù)?，這有可能被在網(wǎng)上監(jiān)聽(tīng)的其他用戶(hù)截獲，因此不是特別需要，不開(kāi)放Telnet服務(wù)。

4.3 設(shè)置服務(wù)器安全

為L(zhǎng)inux的Apache、MySql定期更新補(bǔ)丁包，完善老版本的缺陷和漏洞。

4.3.1 Apache安全設(shè)置

4.3.2 MySql數(shù)據(jù)庫(kù)的安全配置

MySql是用數(shù)據(jù)庫(kù)名在數(shù)據(jù)目錄建立建立一個(gè)數(shù)據(jù)庫(kù)目錄，各數(shù)據(jù)庫(kù)表分別以數(shù)據(jù)庫(kù)表名作為文件名，擴(kuò)展名分別為MYD、MYI、frm的三個(gè)文件放到數(shù)據(jù)庫(kù)目錄中。合理設(shè)置MySql所在目錄和文件的權(quán)限防止攻擊者訪問(wèn)竊取的數(shù)據(jù)庫(kù)信息，MySql默認(rèn)只允許本機(jī)才能連接數(shù)據(jù)庫(kù)，缺省根用戶(hù)root口令是空，設(shè)置該用戶(hù)口令防止非法用戶(hù)通過(guò)外部機(jī)器連接數(shù)據(jù)庫(kù)從而確保外部網(wǎng)絡(luò)安全。

10.3969/j.issn.1001-8972.2011.11.060

萬(wàn)為軍 (1971-)，男，江西南昌人，碩士，江西旅游商貿(mào)職業(yè)學(xué)院 講師 主要從事計(jì)算機(jī)教學(xué)。