亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        提高Linux安全技巧

        2016-03-13 10:24:03
        網(wǎng)絡(luò)安全和信息化 2016年5期
        關(guān)鍵詞:日志備份防火墻

        引言:提起Linux,大家都覺(jué)得其安全性很高。因?yàn)橄鄬?duì)Windows來(lái)說(shuō),大家對(duì)Linux接觸的相對(duì)較少。很多病毒、木馬和黑客工具都是針對(duì)Windows進(jìn)行攻擊的,攻擊Linux的惡意程序相對(duì)較少,似乎使用Linux后,就不必為系統(tǒng)安全擔(dān)憂了。其實(shí)不然,Linux系統(tǒng)同樣存在各種漏洞,黑客完全可能利用這些漏洞攻擊并控制整個(gè)系統(tǒng)。只有經(jīng)過(guò)精心的配置,消除所有安全漏洞,才可以讓系統(tǒng)變得強(qiáng)壯。

        在Windows中,利用系統(tǒng)提供的Update功能,可以執(zhí)行系統(tǒng)的更新操作,也就是為系統(tǒng)打上各種補(bǔ)丁。與之對(duì)應(yīng),不同的Linux系統(tǒng)都有各自的更新程序,利用其可以自動(dòng)搜索更新包并完成安裝操作,將系統(tǒng)中的所有軟件包升級(jí)到最新版本。登錄密碼可謂系統(tǒng)的第一道也是最重要的防線,如果您的Linux系統(tǒng)使用的是默認(rèn)的空密碼,而且還開(kāi) 啟 了Telnet、SSH等 服務(wù)的話,就等于為黑客入侵開(kāi)啟了大門(mén)。因此,當(dāng)系統(tǒng)安裝完畢后,必須立即更改Root等賬戶的密碼,可以使用Passwors命令來(lái)修改密碼,其使用格式為“password

        賬戶名”。當(dāng)然,只有超級(jí)用戶才可以修改不同賬戶的密碼。如果在命令行中執(zhí)行“password”命令,修改的是Root賬戶的密碼,而且密碼輸入時(shí)不回顯的。雖然使用圖形界面也可以修改密碼,不過(guò)使用Linux一定要養(yǎng)成使用終端的習(xí)慣。對(duì)口令的保護(hù)還涉及到對(duì)“/etc/password”和“/etc/shadow”文件的保護(hù),只有系統(tǒng)管理員才可以訪問(wèn)這兩個(gè)文件。

        系統(tǒng)的所有活動(dòng)信息都會(huì)記錄在日志中,如果黑客入侵了系統(tǒng),其行蹤自然逃不出日志的法眼。Linux的日志文件一般保存在“/var/log”目錄中,在該目錄下會(huì)發(fā)現(xiàn)名稱后面帶有數(shù)字的文件,這些文件是在日志文件被循環(huán)的時(shí)候創(chuàng)建的,因?yàn)槭茄h(huán)使用日志,其體積不會(huì)太大。但是,當(dāng)黑客攻擊系統(tǒng)后,往往會(huì)修改,刪除日志來(lái)逃避檢測(cè)。所以一定要限制“/var/log”目 錄的訪問(wèn)權(quán)限,禁止一般權(quán)限的用戶查看,修改日志內(nèi)容。大部分日志使用的是純文本模式,任何文本編輯器都可以查看其內(nèi)容。當(dāng)然,也可以使用系統(tǒng)自帶的工具,例如在Redhat Linux中運(yùn)行其內(nèi)置的Logviewer程序,可以以圖形化界面顯示日志信息,其界面更加細(xì)致簡(jiǎn)潔,查看起來(lái)很方便。當(dāng)然,也可以使用Logcheck這款專(zhuān)業(yè)工具來(lái)分析日志,該工具可以自動(dòng)檢查和安全相關(guān)的入侵事件以及非正?;顒?dòng)記錄,可以有效分析各種Linux日志文件,例如“/var/log/message”、“/var/log/secure”、“/var/log/maillog”等。

        當(dāng)黑客入侵系統(tǒng)后,往往會(huì)和本機(jī)建立網(wǎng)絡(luò)連接,或者在其中安置后門(mén)程序,來(lái)長(zhǎng)期控制系統(tǒng)。在Linux中可以使用大家很熟悉的“netstat a”命令,來(lái)查看本機(jī)端口使用信息。在網(wǎng)絡(luò)連接列表中如果發(fā)現(xiàn)異常的端口連接情況,就必須對(duì)系統(tǒng)進(jìn)行安全檢查了。常言道,有備則無(wú)患。當(dāng)黑客入侵后,一旦將重要文件刪除,就會(huì)給您造成很大的損失。因此,對(duì)重要的文件和目錄進(jìn)行備份,是極為重要的。使用系統(tǒng)自帶的“tar”命令,就可以完成備份操作,其使用格式為“tar [選項(xiàng)] 文件或目錄”,其中的選項(xiàng)分為主選項(xiàng)和輔選項(xiàng),主選項(xiàng)是必須的,告訴tar命令執(zhí)行什么動(dòng)作,輔選項(xiàng)是可選的,例如選項(xiàng)“c”表示創(chuàng)建新的文檔文件,“r”表示把要存檔的文件追加到檔案文件尾部,例如當(dāng)備份好文件后,發(fā)現(xiàn)有些文件忘記備份了,可以利用該選項(xiàng),將這些文件追加到備份文件中?!皌”參數(shù)可以列出檔案內(nèi)容,“u”參數(shù)要用來(lái)更新檔案文件,即使用新增的文件覆蓋原備份文件,如果在檔案文件中沒(méi)有更新內(nèi)容則執(zhí)行追加操作。“f”參數(shù)表示使用檔案文件,“x”參數(shù)表示釋放文件。

        例如,需要備份當(dāng)前路徑下的“data”目錄,可以執(zhí)行“tar-cf shuju.tar data”,將其內(nèi)容被分到“shuju.tar”文件中。以后需要恢復(fù)數(shù)據(jù)時(shí),執(zhí)行“tar xvf shuju.tar”即可。對(duì)于系統(tǒng)中的一些重要目錄,建議經(jīng)常進(jìn)行備份操作。例如在“/etc/password”目錄中存儲(chǔ)所有用戶的信息,包括密碼、登錄的Shell等。在“/etc/fstab”目錄中保存文件系統(tǒng)配置信息,在“/etc/inittab”目錄中包含配置Init在不同運(yùn)行級(jí)別下啟動(dòng)系統(tǒng)參數(shù),在“/etc/hosts”目錄中包含域名解析信息,在“/etc/inetd.conf”目 錄中包含遠(yuǎn)程控制信息,在“/etc/printcap”目錄中包含打印機(jī)通信配置信息,在“e/tc/XF86Config”目錄中包含Xfree86的初始配置信息等,對(duì)于上述目錄,應(yīng)該定期進(jìn)行備份。其實(shí),在“/etc”目錄下有很多配置文件都需要及時(shí)進(jìn)行備份的。

        當(dāng)黑客入侵系統(tǒng)后,往往會(huì)在其中創(chuàng)建非法賬戶,來(lái)對(duì)系統(tǒng)進(jìn)行深入控制。因此,對(duì)用戶列表經(jīng)常進(jìn)行檢查,及時(shí)發(fā)現(xiàn)并刪除陌生的可疑賬戶,是不可忽視的安全問(wèn)題。執(zhí)行“cat /etc/password”命令,就可以查看賬戶列表信息。使用“userdel f”命令,可以刪除指定的賬戶。例如執(zhí)行“userdelf hack”命令,可以將hack賬戶刪除,同時(shí)將其關(guān)聯(lián)的目錄和文件一并清除。為了提高安全性,需要在Linux中使用殺軟和防火墻軟件。這類(lèi)安全軟件有很多,例如ClamAV、Mcafee、Avast、Avria、AVG、F-PROT 等。對(duì)于防火墻軟件來(lái)說(shuō),可以使用KDE自帶的防火墻,雖然沒(méi)有專(zhuān)業(yè)版防火墻功能強(qiáng)悍,不過(guò)對(duì)于一般用戶可以滿足需求。如果您沒(méi)有使用KDE桌面環(huán)境,可以使用系統(tǒng)自帶的IPTables(內(nèi)核包過(guò)濾管理工具),同樣可以起到防火墻的作用。其過(guò)濾流程的前提是包過(guò)濾規(guī)則必須被包過(guò)濾設(shè)備端口存儲(chǔ)起來(lái),當(dāng)包到達(dá)端口時(shí),對(duì)包的報(bào)頭進(jìn)行語(yǔ)法分析,大多數(shù)包過(guò)濾只檢查IP、TCP、UDP報(bào)頭中的字段信息。包過(guò)濾規(guī)則以特殊的方式存儲(chǔ),應(yīng)用于包的規(guī)則的順序與包過(guò)濾器規(guī)則存儲(chǔ)順序必須相同。若一條規(guī)則阻止包傳輸或接收,則此包便不被允許。若一條規(guī)則允許包傳輸或接收,則此包便可以被繼續(xù)處理。若包不滿足任何一條規(guī)則,則此包便被阻止。

        IPTables的 用 法是“iptable [-t table]CMD[chain][rule-matcher][-j target]”,其中的“table”是表明,為 filter、nat和mangle,包過(guò)濾只使用filter表,這是默認(rèn)項(xiàng)目。其中的“CMD”是操作命令,包括添加、刪除、更新等?!癱hain”為鏈名,對(duì)于包過(guò)濾防火墻可操作filter表中的INPUT鏈、OUTPUT鏈和FORWARD鏈,也可以自定義鏈。

        “Rule-matcher” 參數(shù)是規(guī)則匹配器,用來(lái)指定各種規(guī)則匹配,例如IP、PORT、包類(lèi)型等?!癟arget”為目標(biāo)動(dòng)作,當(dāng)規(guī)則匹配一個(gè)包時(shí),真正要執(zhí)行的任務(wù)用目標(biāo)表示,最常用的內(nèi)置目標(biāo)為ACCEPT和DROP,當(dāng)然,也可以使用擴(kuò)展的目標(biāo)??雌饋?lái)包過(guò)濾規(guī)則很復(fù)雜,其實(shí)使用起來(lái)很簡(jiǎn)單,例如,一般用戶可以充分利用syn標(biāo)示來(lái)阻止未經(jīng)授權(quán)的非法訪問(wèn)。比如當(dāng)瀏覽網(wǎng)頁(yè)時(shí),系統(tǒng)會(huì)發(fā)送一個(gè)請(qǐng)求到Web服務(wù)器上,該服務(wù)器會(huì)響應(yīng)該請(qǐng)求并發(fā)回一個(gè)數(shù)據(jù)包,同時(shí)在系統(tǒng)中開(kāi)啟一個(gè)端口。和響應(yīng)請(qǐng)求不同,Web服務(wù)器并不關(guān)心其傳輸?shù)膬?nèi)容,利用這個(gè)特點(diǎn)可以設(shè)置過(guò)濾規(guī)則,來(lái)阻止所有未經(jīng)您的系統(tǒng)授權(quán)的TCP連接,例如執(zhí)行“iptables t filter A INPUT i eth0–ptcp–syn jDROP”,其中的“-i”指的是網(wǎng)卡,“-p”指的是協(xié)議,“-syn”指的是帶有SYN標(biāo)識(shí)的TCP數(shù)據(jù)包。SYN用于初始化一個(gè)TCP連接,如果自己的電腦沒(méi)有運(yùn)行任何服務(wù)器軟件,別人就無(wú)法向您發(fā)送SYN數(shù)據(jù)包。

        如果想攔截所有發(fā)送到本機(jī)的ICMP數(shù)據(jù)包的話,可以下執(zhí)行命令“iptables AINPUTpicmps0/0d0/0j DROP”。其 中的“p”參數(shù)指明控制何種網(wǎng)絡(luò)協(xié)議,這里是ICMP協(xié)議。其中的參數(shù)“-s”表示源地址,后根“0/0”表示任何源地址,其中的“-d”參數(shù)表示目標(biāo)地址,后根“0/0”表示所有的目標(biāo)地址。其中的參數(shù)“j”表示對(duì)符合條件的數(shù)據(jù)包采用何種處理辦法,后根“REJECT”表示拒絕該數(shù)據(jù)包。如果本機(jī)是一臺(tái)Web服務(wù)器,需要阻止外部主機(jī)對(duì)本機(jī)進(jìn)行訪問(wèn),可以執(zhí)行命令“iptables A INPUT ptcp s0/0 d0/0 dport 80 j drop”,其 中的“-dport 80”參數(shù)指明封鎖本機(jī)的80端口。相反的,如果允許IP分為位“123.456.789.0/24”的外部主機(jī)訪問(wèn)本機(jī)所有端口,可以執(zhí)行命令“iptables-A INPUT-s 123.456.789.0/24 d0/0j ACCEPT”, 其 中的“-jACCEPT”參 數(shù) 表示允許訪問(wèn)。當(dāng)需要?jiǎng)h除iptables創(chuàng)建的安全規(guī)則時(shí),首先使用“iptables line-numbers nL”命令。來(lái)查詢系統(tǒng)中的所有安全規(guī)則,每一條安全規(guī)則都存在一個(gè)編號(hào),例如需要?jiǎng)h除第9條規(guī)則,執(zhí)行命令“iptables D INPUT 9”即可,其中的“-D”參數(shù)表示刪除操作。當(dāng)然,可以將一系列的IPTables規(guī)則放進(jìn)一個(gè)初始化的Shell腳本里,并為其加上可執(zhí)行屬性,設(shè)置為開(kāi)機(jī)運(yùn)行狀態(tài),就可以組建一個(gè)功能強(qiáng)悍的防火墻。

        猜你喜歡
        日志備份防火墻
        “備份”25年:鄧清明圓夢(mèng)
        一名老黨員的工作日志
        扶貧日志
        心聲歌刊(2020年4期)2020-09-07 06:37:14
        構(gòu)建防控金融風(fēng)險(xiǎn)“防火墻”
        游學(xué)日志
        淺析數(shù)據(jù)的備份策略
        科技視界(2015年6期)2015-08-15 00:54:11
        下一代防火墻要做的十件事
        一種基于粗集和SVM的Web日志挖掘模型
        出版原圖數(shù)據(jù)庫(kù)遷移與備份恢復(fù)
        筑起網(wǎng)吧“防火墻”
        午夜福利电影| 日韩精品一区二区在线天天狠天| 久久久久人妻一区二区三区| 国产成人av性色在线影院色戒| 精品人妻VA出轨中文字幕| 亚洲乱码中文字幕综合| 亚洲中文字幕日韩综合| 无码人妻丰满熟妇啪啪网站| 综合久久给合久久狠狠狠97色| 亚洲国产AⅤ精品一区二区不卡| 一区二区亚洲精品国产精| 天天做天天摸天天爽天天爱| 中文字幕有码无码av| 制服无码在线第一页| 国产尤物自拍视频在线观看| 国产精品久久久久9999| 在教室伦流澡到高潮h麻豆| 91综合久久婷婷久久| 亚洲成人一区二区三区不卡| 国产偷国产偷精品高清尤物| 亚洲色大成网站www尤物| 91色婷婷成人精品亚洲| 极品一区二区在线视频| 天下第二社区在线视频| 四虎在线播放免费永久视频| 国产一区亚洲一区二区| 欧美高清视频手机在在线| 国产精品三级在线观看无码| 成年奭片免费观看视频天天看| 国产av一区二区日夜精品剧情| 国产爆乳无码一区二区麻豆| 久久久精品波多野结衣| 国产三级黄色片子看曰逼大片| 男奸女永久免费视频网站| 无码中文字幕免费一区二区三区| 久久se精品一区精品二区国产| 日韩日本国产一区二区 | 精品久久久久久中文字幕| 亚洲一区二区情侣| 亚洲av专区国产一区| 日本高清视频www|