◆欒志強

(山東公安邊防總隊煙臺機場邊防檢查站 山東 264000)

構(gòu)建以Linux服務(wù)器為基礎(chǔ)的網(wǎng)絡(luò)安全平臺探討

◆欒志強

(山東公安邊防總隊煙臺機場邊防檢查站 山東 264000)

網(wǎng)絡(luò)安全作為一項時下社會領(lǐng)域中一項熱點課題，而服務(wù)器則為整個網(wǎng)絡(luò)安全當(dāng)中最為核心環(huán)節(jié)，Linux被業(yè)界公認(rèn)為是一個較為安全的 Internet服務(wù)器。如何采取有效措施為服務(wù)器系統(tǒng)安全提供保障，乃為整個網(wǎng)絡(luò)安全工作的重要環(huán)節(jié)。只有網(wǎng)絡(luò)服務(wù)器系統(tǒng)可靠、安全，方能確保整個網(wǎng)絡(luò)的穩(wěn)定與安全。

Linux服務(wù)器；網(wǎng)絡(luò)安全；策略

1 服務(wù)初試配置的安全策略

1.1 安裝策略

對于配置系統(tǒng)安全而言，操作系統(tǒng)安全乃為其首步。由于所配置的乃是防火墻，因此，對于之前的任何系統(tǒng)配置與安裝，均不能信任，需要著手于全新安裝，只有這樣方能為系統(tǒng)安全的完整性提供保障。當(dāng)系統(tǒng)處在隔離或者單獨的網(wǎng)絡(luò)當(dāng)中時，不能讓沒有受到保護的系統(tǒng)與其它網(wǎng)絡(luò)相連接，也不能連接于互聯(lián)網(wǎng)，以遭受外界攻擊。依據(jù)個人經(jīng)驗得知，一個與互聯(lián)網(wǎng)相連接的新安裝系統(tǒng)，可以在短短的15s便能被掃描或入侵，從而取得完全控制權(quán)。當(dāng)把即將當(dāng)作防火墻的機器放置在處于隔離狀態(tài)的網(wǎng)絡(luò)當(dāng)中時，便可著手下步工作。第一步便是對操作需要需要安裝的軟件包進行選擇。針對Red Hat Linux而言，其安裝方法主要有如下幾種：Cusotm（定制，缺省選項）、Sevrer（服務(wù)器）、Wokrsattion（工作站）等。再次選擇“定制”，因為這允許你進行硬盤分區(qū)以及選擇那些服務(wù)器。對于安裝策略而言，實際就是在最大化效率得以維持的前提下，實施“最小化”安裝。系統(tǒng)當(dāng)中具有越少的軟件，則便會具有越小的潛在性的安全漏洞。無論所選擇的安裝方式是哪種，HOWTO文檔與手冊頁均需必備。盡管可能會增加一點系統(tǒng)風(fēng)險，但他們有時確實比較有用。如果在安裝方式上選擇的是“定制”安裝，則此時便會被提示實施硬盤分區(qū)。建議為/var專門設(shè)置一個獨立性的分區(qū)。因為如若根分區(qū)被劃歸至電子郵件及系統(tǒng)日志等數(shù)據(jù)當(dāng)中，便會發(fā)生拒絕服務(wù)狀況，更甚者還會造成系統(tǒng)出現(xiàn)崩潰狀況。此外，可考慮為那些特定的應(yīng)用或服務(wù)建立或者保存獨立性的分區(qū)，尤其是那些比較敏感的日志記錄。如若系統(tǒng)當(dāng)中存有不能完全被信任的用戶，則需要為/home建立一個單獨性分區(qū)，至此，便可防止那些惡意用戶對/根分區(qū)所進行的攻擊。

當(dāng)完成系統(tǒng)安裝并且已經(jīng)重啟之后，需要進行安全補丁的安裝工作。針對Red Hat，可到對應(yīng)網(wǎng)址當(dāng)中找尋其全部安全補丁程序。對于安全補丁而言，其對一個安全的防火墻的長久維持十分關(guān)鍵，需保持其長期性更新。從bugtraq@seeurityfoeus.com當(dāng)中，能夠得到最新的安全漏洞信息資源。如若不進行此些補丁的安裝，那么系統(tǒng)便容易遭受外界的入侵。因此，建議選用auotprm工具，時刻保持對RPM軟件包在補丁上的實時更新。此命令工具經(jīng)過分析，能夠得出那些.rpm需要進行更新，并且還會以自動的方式，從Red Hat網(wǎng)站當(dāng)中下載并且安裝需要進行升級的文件。此工具在日常使用中，簡單而又靈活，可讓其運行于corn當(dāng)中，至此，系統(tǒng)便會定期性的、自動化的進行更新升級，另外，還能及時將提醒系統(tǒng)升級的電子郵件，向管理員予以發(fā)送。

1.2 關(guān)閉不需要的服務(wù)與端口

當(dāng)系統(tǒng)的安裝包、補丁完成安裝之后，重啟，然后便可對操作系統(tǒng)實施安全增強配置。對于安全增強配置而言，主要包含有調(diào)整。增加日志及關(guān)閉服務(wù)等。首先進行關(guān)閉服務(wù)，在安裝服務(wù)器操作系統(tǒng)時，此時便會啟動一些用處不大的服務(wù)，這些服務(wù)不僅會占據(jù)大量的系統(tǒng)資源，而且還會對系統(tǒng)的安全運行與穩(wěn)定造成嚴(yán)重威脅。Solaris作為一個能夠?qū)⒃S多有用服務(wù)予以提供的高性能操作系統(tǒng)，但針對防火墻而言，其中的多數(shù)服務(wù)并無太大用處，且還可能會由此而產(chǎn)生諸多風(fēng)險。因此，需先對/ect/sbin/inetd文件進行更改。對于此文件而言，其定義了由/usr/sbin/inerd超級守護進程需監(jiān)聽的服務(wù)，下步需對/etc/rc2.d以及/etc/rc3.d目錄當(dāng)中的文件進行修改。在這里，能夠找出被init進程執(zhí)行的相應(yīng)啟動腳本，其中諸多乃是不必要的。在啟動過程中，要執(zhí)行一個腳本，僅需把對應(yīng)文件名起始處的大寫S更改為小寫s便可。另外，在Red Hat系統(tǒng)當(dāng)中，內(nèi)置有一個工具，能夠?qū)⒎?wù)關(guān)閉。只需在命令行當(dāng)中將/usr/sbin/inerd輸入，而后選擇“System Services”，然后選擇系統(tǒng)啟動所需要執(zhí)行的對應(yīng)腳本。

1.3 日志與系統(tǒng)調(diào)整

全部系統(tǒng)日志均在/var/log目錄當(dāng)中存放，當(dāng)缺省時，則iLnux便會有較好的日志設(shè)置，除了fep。在記錄fep日志方面，主要有兩種方法，即編輯/etc/shadow 或者是/etc/ftpaccess。通過對/etc/inetd.conf文件進行編輯，便可將全部FTP會話日志均記錄下來。對于系統(tǒng)調(diào)整額而言，其首要任務(wù)便是保證/etc/passwd文件的安全。首先需要將系統(tǒng)所運用的/etc/shadow文件予以確認(rèn)，將全部用戶口令密文的文件保存下來，僅允許 root根用戶進行訪問，這樣便能夠?qū)τ脩艨诹钶p易被訪問與破解予以組織，只要將一下命令給予運行，便能把口令系統(tǒng)已一種自動化方式向/etc/shadow進行轉(zhuǎn)換。

如若想要對/etc/ftpusers文件進行訪問。無論何種被列入到此文件當(dāng)中的賬號，均無法ftp至本系統(tǒng)，一般情況下，用此對系統(tǒng)賬號進行限制，比如bin或root等，禁止此類賬號的FTP會話。當(dāng)缺省時，則iLnux已經(jīng)建立了此文件，需要保證root根用戶被劃歸到此文件當(dāng)中，以此禁止root與系統(tǒng)之間的ftp會話。

2 啟動與登錄的安全策略

2.1 BIOS安全設(shè)置

針對BIOS安全設(shè)置而言，其乃是計算機系統(tǒng)當(dāng)中最為底層的設(shè)置，同時也是最易造成忽視的緩解，通過進行BIOS設(shè)置，且禁止從軟盤進行系統(tǒng)啟動，此乃對服務(wù)器系統(tǒng)最為基本的保護。

2.2 默認(rèn)賬號與用戶口令

還比前文所提出的需要禁止全部默認(rèn)的備操作系統(tǒng)自身啟動且無較大用處的賬號，以此實現(xiàn)風(fēng)險的減少。另外，針對合法用戶的口令而言，其乃是iLnux安全的一個基本支撐點，許多人所運用的用戶口令均比較簡單，這就好比為外界侵入敞開了大門，盡管基于理論層級，只要資源與時間充足，便較難將這些用戶口令進行破解，但在實際工作中較難選擇得到的口令。針對那些比較好的用戶口令，均為用戶自己容易記憶且便于理解的一串字符，建議定期更換或修改密碼。

2.3 限制su命令

如若您不想任何人把su當(dāng)作root，可通過對/etc/pam.d/su文件進行編輯，將如下內(nèi)容增加上去：auh teqriuerd/blsceuiry /Pams-ewheel.so gorup=isd。此時，只有isd組的用戶能夠?qū)u當(dāng)作root，而后如若需要用戶admin可將su當(dāng)作root，則可運行如下命令：usermod-G10 admin。

2.4 Linux對遠(yuǎn)程登錄失敗的處理

針對Unix/Linux操作系統(tǒng)而言，其對遠(yuǎn)程多次登錄失敗所采取的措施對策便是斷開與對方之間的連接，針對此狀況，對于那些正在登錄的客戶端軟件，由于服務(wù)方的連接中斷，而被迫停止。此安全策略針對那些付窮舉密碼攻擊，效果比較明顯。由于在服務(wù)方將連接斷開后，攻擊者在重新連接上鎖花費的時間代價是比較大的?，F(xiàn)實當(dāng)中，此安全策略也存有一個比較大的隱患，其要想實現(xiàn)策略，需要結(jié)合客戶端的軟件的合作，方能完成，其要求客戶端軟件能夠在服務(wù)方斷開連接之后能夠終止或者退出，以此達延時之目的。如若客戶軟件出現(xiàn)不合作狀況，未突出來延時，而是以最小延時，進行重新連接，那么服務(wù)方將很難達到延時的目的。至此，客戶方便能夠?qū)Ψ?wù)方的用戶密碼很容易地進行猜解。

3 結(jié)語

總而言之，通暢情況下，大多iLnux網(wǎng)絡(luò)均由一臺甚至多臺安裝有iLnux的操作系統(tǒng)服務(wù)器組成，并將其當(dāng)作FTP Sevrer或者web Sevrer。本文分別從服務(wù)初試配置的安全策略以及啟動與登錄的安全策略方面展開分析與討論，希望以此為系統(tǒng)安全與病毒防護提供幫助。

[1]戴帥.基于ARM-Linux的嵌入式HTTPS服務(wù)器的研究與實現(xiàn)[D].武漢理工大學(xué), 2010.

[2]魯和杰.Linux系統(tǒng)教學(xué)實驗平臺構(gòu)建與比較研究[J].福建電腦, 2008.

[3]沙伯海, 蔡海濱.基于 Linux下網(wǎng)絡(luò)服務(wù)安全可靠性研究[J].計算機工程與設(shè)計, 2005.