王承毅

摘 要：Linux系統(tǒng)的研發(fā)與應(yīng)用，為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)展帶來(lái)新的機(jī)遇與挑戰(zhàn)。Linux系統(tǒng)內(nèi)部開源型、自由型的運(yùn)營(yíng)模式為計(jì)算機(jī)設(shè)備與網(wǎng)絡(luò)系統(tǒng)搭建對(duì)接平臺(tái)，以保證操作人員可通過(guò)系統(tǒng)來(lái)對(duì)網(wǎng)絡(luò)資源進(jìn)行定向搜查。但從網(wǎng)絡(luò)運(yùn)營(yíng)體系來(lái)講，安全風(fēng)險(xiǎn)問(wèn)題一直是技術(shù)人員的攻克難點(diǎn)，網(wǎng)絡(luò)信息的動(dòng)態(tài)化運(yùn)行將嚴(yán)重增加網(wǎng)絡(luò)安全體系的防控負(fù)擔(dān)，令計(jì)算機(jī)使用者面臨數(shù)據(jù)信息泄漏的風(fēng)險(xiǎn)?；诖?，本文以Linux系統(tǒng)為出發(fā)點(diǎn)，指出計(jì)算機(jī)網(wǎng)絡(luò)安全管理中存在的問(wèn)題，并對(duì)網(wǎng)絡(luò)體系下的攻防對(duì)策進(jìn)行深度分析。

關(guān)鍵詞：Linux系統(tǒng);計(jì)算機(jī)網(wǎng)絡(luò);安全管理;攻防對(duì)策

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1003-5168（2019）29-0032-03

Computer Network Security Management and Attack and

Defense Countermeasures Based on Linux System

WANG Chengyi

（School of Science， Jiangsu University of Science and Technology，Zhenjiang Jiangsu 212003）

Abstract： The development and application of Linux system brings new opportunities and challenges for the development of computer network system. The open source and free operation mode of Linux system establishes a docking platform for computer equipment and network system， so as to ensure that operators can conduct directional search on network resources through the system. However， from the perspective of network operation system， security risk has always been a difficult problem for technicians to overcome， the dynamic operation of network information will seriously increase the prevention and control burden of the network security system， causing computer users to face the risk of data information leakage. Based on this， this paper took Linux system as the starting point， pointed out the problems existing in the computer network security management， and made an in-depth analysis of the attack and defense countermeasures under the network system.

Keywords： Linux system;computer networks;safety management;offensive and defensive strategies

Linux作為一種開放式、免費(fèi)式的操作系統(tǒng)，依托于系統(tǒng)內(nèi)的穩(wěn)定性、安全性、荷載性和資源利用性等，在行業(yè)市場(chǎng)中占據(jù)較大的份額[1，2]。在Linux系統(tǒng)的實(shí)際應(yīng)用過(guò)程中，用戶可在網(wǎng)絡(luò)上查找到系統(tǒng)自身的運(yùn)行程序、數(shù)字化工具等，如halt、shutdown、init和reboot等指令。此等共享資源為用戶對(duì)Linux系統(tǒng)的操控提供一定的便利，但同時(shí)也為黑客提供攻擊渠道。黑客通過(guò)服務(wù)響應(yīng)攻擊、密碼破解攻擊、溢出攻擊、IP地址隱藏攻擊等，可對(duì)Linux系統(tǒng)進(jìn)行大范圍攻擊，對(duì)用戶的數(shù)據(jù)信息資源造成嚴(yán)重威脅。為此，技術(shù)人員應(yīng)積極研發(fā)有效的防控技術(shù)，為用戶本身提供信息安全保障。

1 Linux系統(tǒng)特性論述

Linux作為Unix操作系統(tǒng)的運(yùn)行平臺(tái)，其內(nèi)控中心為宏內(nèi)核，對(duì)于當(dāng)前主流操控系統(tǒng)的混合內(nèi)核來(lái)講，宏內(nèi)核框架以其簡(jiǎn)化式信息處理形式維系市場(chǎng)上的受眾比。在發(fā)展過(guò)程中，Linux系統(tǒng)依托Unix操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、GNU計(jì)劃等來(lái)實(shí)現(xiàn)運(yùn)營(yíng)。在運(yùn)行過(guò)程中，操作系統(tǒng)內(nèi)控程序之間的響應(yīng)時(shí)間以毫秒為單位，在高速處理模塊的支持下，可令系統(tǒng)完成任務(wù)調(diào)度、抽象化管理等。Linux系統(tǒng)支持32位、64位的硬件，在數(shù)據(jù)信息化的影響，Linux系統(tǒng)也對(duì)自身的結(jié)構(gòu)框架進(jìn)行優(yōu)化，以確保系統(tǒng)可對(duì)數(shù)據(jù)信息進(jìn)行高效率處理，令依托于數(shù)據(jù)信息運(yùn)營(yíng)的內(nèi)控系統(tǒng)不會(huì)出現(xiàn)崩潰現(xiàn)象。Linux系統(tǒng)經(jīng)過(guò)1.0、2.0、2.4、2.6的換代升級(jí)，具備更優(yōu)質(zhì)的操控服務(wù)，在網(wǎng)絡(luò)用戶優(yōu)化的條件下，系統(tǒng)流暢度、操控度得到極大的提升，內(nèi)核式系統(tǒng)迎來(lái)更多的用戶。

Linux系統(tǒng)在運(yùn)行過(guò)程中可支持多用戶端操控，其內(nèi)部模塊化處理形式令各用戶之間的操控行為不會(huì)受到影響[3-5]。同時(shí)，系統(tǒng)內(nèi)部的個(gè)性化設(shè)置模塊可令用戶通過(guò)參數(shù)設(shè)定來(lái)滿足自身閱讀需求，在多線程網(wǎng)絡(luò)計(jì)算模式下，可精準(zhǔn)地執(zhí)行用戶指令，以提升問(wèn)題的解決效率。

Linux系統(tǒng)具備很高的穩(wěn)定性和安全性，其系統(tǒng)內(nèi)部的用戶賬號(hào)信息是以數(shù)據(jù)節(jié)點(diǎn)形式進(jìn)行存儲(chǔ)的，為用戶信息提供安全防護(hù)體系。在Linux系統(tǒng)中，用戶與密碼是分開存儲(chǔ)的，用戶名在passwd文件中，而密碼則是在shadow文件中。shadow文件是由操控系統(tǒng)直接保護(hù)的，在非計(jì)算機(jī)用戶進(jìn)行讀取時(shí)，如果密碼指令輸入不正確，將無(wú)法令shadow文件進(jìn)行響應(yīng)。此外，Linux系統(tǒng)內(nèi)的文件權(quán)限一般分為三個(gè)階段，即用戶組、定義文件、使用權(quán)限，通過(guò)對(duì)計(jì)算機(jī)用戶信息進(jìn)行多維度分析，當(dāng)系統(tǒng)身份認(rèn)證成功后，系統(tǒng)才可正確執(zhí)行用戶指令操控。

2 Linux系統(tǒng)下的計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題

2.1 服務(wù)響應(yīng)攻擊

服務(wù)響應(yīng)攻擊是黑客慣用的一種攻擊形式，其通過(guò)破壞用戶獲取信息資源的對(duì)接通道，令網(wǎng)絡(luò)服務(wù)體系處于無(wú)法運(yùn)行狀態(tài)，令Linux系統(tǒng)無(wú)法對(duì)用戶的指令行為進(jìn)行反饋與操作，進(jìn)而使用戶無(wú)法接受到系統(tǒng)給予的服務(wù)[6]。例如，黑客在進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，可通過(guò)源地址的偽造、控制多臺(tái)計(jì)算機(jī)等形式，對(duì)目標(biāo)用戶傳輸大量的數(shù)據(jù)指令請(qǐng)求，當(dāng)請(qǐng)求協(xié)議超出系統(tǒng)自身的運(yùn)行能力時(shí)，服務(wù)器將無(wú)法運(yùn)行。從服務(wù)響應(yīng)攻擊手段來(lái)看，其一般分為簡(jiǎn)單型、DNS型、FTP型等攻擊模式，此類攻擊是由網(wǎng)絡(luò)協(xié)議傳輸為出發(fā)點(diǎn)進(jìn)行網(wǎng)絡(luò)干擾的，其可對(duì)網(wǎng)絡(luò)體系中的協(xié)議層進(jìn)行多角度攻擊，但從安全系數(shù)來(lái)看，服務(wù)響應(yīng)攻擊屬于低級(jí)攻擊范圍。

2.2 密碼破解攻擊

密碼破解攻擊是指對(duì)用戶操控系統(tǒng)的密碼進(jìn)行破解，再以用戶的身份登錄電腦，以獲取系統(tǒng)內(nèi)的加密資源。計(jì)算機(jī)系統(tǒng)的密碼設(shè)定是用戶個(gè)人信息的基礎(chǔ)保障體系，用戶通過(guò)設(shè)定相應(yīng)的登錄密碼來(lái)與系統(tǒng)建立對(duì)接操控途徑，密碼設(shè)置分為三個(gè)安全等級(jí)，低級(jí)密碼為簡(jiǎn)單的數(shù)字組合，中級(jí)密碼為數(shù)字、字母組合，而高級(jí)密碼則為符號(hào)、數(shù)字、密碼組合。大部分用戶設(shè)定密碼時(shí)，一般以簡(jiǎn)單的數(shù)字組合為主，且電腦用戶登錄界面設(shè)定一般為記住密碼形式。黑客在對(duì)用戶密碼進(jìn)行破解時(shí)則以密碼中蘊(yùn)含的字節(jié)為主，通過(guò)界定攻擊形式、混合攻擊形式、字典攻擊形式等，對(duì)用戶密碼進(jìn)行逐層破譯。黑客在利用程序攻擊時(shí)主要對(duì)各類密碼組合與用戶登錄程序點(diǎn)進(jìn)行單項(xiàng)連接，以此來(lái)對(duì)密碼進(jìn)行驗(yàn)證。

2.3 溢出攻擊

溢出攻擊形式是在網(wǎng)絡(luò)信息傳輸?shù)木彌_區(qū)對(duì)字節(jié)進(jìn)行攻擊，在數(shù)據(jù)信息運(yùn)行過(guò)程中，字符串內(nèi)的毗鄰單元將形成單元存儲(chǔ)空間，如攻擊者對(duì)某一字符段進(jìn)行覆蓋，則嚴(yán)重降低系統(tǒng)的容錯(cuò)性，導(dǎo)致系統(tǒng)對(duì)覆蓋區(qū)域的字節(jié)無(wú)法進(jìn)行識(shí)別，令系統(tǒng)面臨著死機(jī)的風(fēng)險(xiǎn)。

2.4 IP地址隱藏攻擊

IP地址隱藏攻擊是以傳輸協(xié)議的不可逆工作機(jī)理為漏洞，利用偽造的IP地址對(duì)協(xié)議進(jìn)行存儲(chǔ)。黑客在攻擊過(guò)程中通過(guò)同等計(jì)算機(jī)設(shè)備的覆蓋功能，利用已有的計(jì)算機(jī)替代另一臺(tái)計(jì)算機(jī)設(shè)備，在IP地址的定向偽造下，令協(xié)議傳輸通過(guò)相應(yīng)的數(shù)據(jù)查詢，以此來(lái)令計(jì)算機(jī)設(shè)備實(shí)現(xiàn)同步處理。在此類攻擊模式下，可對(duì)原有計(jì)算機(jī)設(shè)備上的密碼指令進(jìn)行復(fù)制，并通過(guò)另一臺(tái)計(jì)算機(jī)設(shè)備進(jìn)行遠(yuǎn)程操控，當(dāng)原有密碼指令被破解后，遠(yuǎn)程操控的計(jì)算機(jī)在登錄界面時(shí)無(wú)需經(jīng)過(guò)密碼驗(yàn)證。

2.5 監(jiān)聽攻擊

監(jiān)聽攻擊是指黑客對(duì)局域網(wǎng)絡(luò)體系下的計(jì)算機(jī)設(shè)備進(jìn)行登錄，取得該計(jì)算機(jī)設(shè)備的各項(xiàng)用戶權(quán)益，然后控制計(jì)算機(jī)設(shè)備施行監(jiān)聽形式，以對(duì)各類敏感信息資源進(jìn)行盜取。

2.6 誘導(dǎo)式攻擊

誘導(dǎo)式攻擊是指通過(guò)認(rèn)證界面來(lái)對(duì)用戶進(jìn)行信息指令傳輸。黑客將攻擊行為偽裝成公司、服務(wù)商、技術(shù)類客服等，向計(jì)算機(jī)設(shè)備發(fā)出呼叫，如用戶接受呼叫時(shí)，則黑客通過(guò)言語(yǔ)引導(dǎo)，令用戶填寫密碼。除此之外，用戶還會(huì)通過(guò)郵件的形式向用戶索取密碼，如用戶不具備辨識(shí)能力，對(duì)自身系統(tǒng)的指令密碼進(jìn)行填寫，在黑客獲取密碼時(shí)，將自動(dòng)切斷用戶與系統(tǒng)之間的聯(lián)系，然后進(jìn)入計(jì)算機(jī)設(shè)備中對(duì)信息資源進(jìn)行盜取。

3 Linux系統(tǒng)下的計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施

3.1 用戶安全防護(hù)體系

為進(jìn)一步加強(qiáng)Linux系統(tǒng)的安全性能，用戶體系應(yīng)作為首要防護(hù)任務(wù)。在對(duì)自身系統(tǒng)進(jìn)行密碼設(shè)定時(shí)，用戶應(yīng)對(duì)Linux系統(tǒng)內(nèi)的root權(quán)限進(jìn)行合理設(shè)定，由于root本身是超級(jí)用戶的一種，其每一項(xiàng)管理行為均代表著程序執(zhí)行的必然性。為此，在設(shè)定root權(quán)限指令時(shí)，應(yīng)嚴(yán)格按照相應(yīng)的指令進(jìn)行設(shè)定，此外，用戶應(yīng)避免在不同計(jì)算機(jī)下登錄自身特有的服務(wù)器。

Linux系統(tǒng)對(duì)用戶進(jìn)行定義時(shí)，同一系統(tǒng)內(nèi)的不同用戶建立網(wǎng)絡(luò)地址，系統(tǒng)管理員應(yīng)對(duì)該類用戶進(jìn)行模塊設(shè)定，對(duì)此類用戶開放相應(yīng)的權(quán)限功能，并依據(jù)用戶的功能來(lái)正確劃分組項(xiàng)。在設(shè)定權(quán)限時(shí)，應(yīng)賦予用戶ftp權(quán)限，以此來(lái)將賬號(hào)登錄設(shè)定進(jìn)行隔離，并將系統(tǒng)內(nèi)的文件信息查詢記錄轉(zhuǎn)移到系統(tǒng)的secure文件中，管理人員將定期查詢文件內(nèi)的數(shù)據(jù)信息，如發(fā)現(xiàn)可疑文件，應(yīng)及時(shí)處理。在對(duì)密碼進(jìn)行存儲(chǔ)設(shè)置時(shí)，計(jì)算機(jī)用戶應(yīng)適當(dāng)增加密碼難度，可采用數(shù)字、字母、符號(hào)組合的形式對(duì)密碼進(jìn)行設(shè)定。與此同時(shí)，系統(tǒng)管理員應(yīng)對(duì)用戶名文件夾passwd、密碼文件夾shadow進(jìn)行權(quán)限設(shè)定，禁止無(wú)關(guān)人員對(duì)此類文件進(jìn)行查探。此種方法的設(shè)定可對(duì)用戶密碼口令進(jìn)行隱藏，令黑客找不到相應(yīng)的攻擊切入點(diǎn)。此外，系統(tǒng)管理人員應(yīng)不定期模仿黑客的攻擊手段，對(duì)passwd、shadow文件進(jìn)行定向攻擊，如發(fā)現(xiàn)攻擊難度降低，應(yīng)及時(shí)對(duì)密碼進(jìn)行修改。

3.2 文件安全防護(hù)體系

建立文件安全防護(hù)體系主要是對(duì)系統(tǒng)中的重要文件進(jìn)行加密與權(quán)限設(shè)定。在加密過(guò)程中，通過(guò)key程序產(chǎn)生密鑰，然后將文件所對(duì)應(yīng)的公鑰定向傳輸?shù)较到y(tǒng)用戶端手中，當(dāng)用戶下載完指定類文件時(shí)，系統(tǒng)將依據(jù)反饋指令信息來(lái)進(jìn)行私鑰解密，以此來(lái)防止黑客利用字節(jié)進(jìn)行覆蓋式攻擊。在權(quán)限設(shè)定過(guò)程中，利用chgrp指令對(duì)文件的閱讀模式進(jìn)行設(shè)定，當(dāng)文件傳輸?shù)接脩舳藭r(shí)，用戶依據(jù)文件權(quán)限參數(shù)的設(shè)定，對(duì)其中某一部分內(nèi)容進(jìn)行瀏覽，以增強(qiáng)文件讀取的安全性。

3.3 系統(tǒng)安全防護(hù)體系

系統(tǒng)安全防護(hù)體系的設(shè)定一般以內(nèi)部服務(wù)漏洞、網(wǎng)絡(luò)協(xié)議傳輸、日志文件等為主，以此來(lái)為L(zhǎng)inux系統(tǒng)建立合理的安全保障機(jī)制。

3.3.1 系統(tǒng)防火墻設(shè)定。在Linux系統(tǒng)運(yùn)行的過(guò)程中，其開源式的工作機(jī)理增加網(wǎng)絡(luò)協(xié)議傳輸?shù)耐该餍裕瑸榇耍阑饓Φ脑O(shè)定則是對(duì)網(wǎng)絡(luò)安全體系進(jìn)行安全防護(hù)，令數(shù)據(jù)信息的傳輸點(diǎn)進(jìn)行隱蔽，以防止非授權(quán)訪問(wèn)對(duì)系統(tǒng)帶來(lái)的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)防火墻的設(shè)定可作為L(zhǎng)inux系統(tǒng)的第一道安全屏障，其內(nèi)部協(xié)議的定向阻斷模式可對(duì)軟件中存在的運(yùn)行漏洞進(jìn)行填補(bǔ)，為用戶的各項(xiàng)操作行為提供安全保障。

3.3.2 服務(wù)簡(jiǎn)化。在Linux系統(tǒng)安裝初期，內(nèi)部自設(shè)定程序包含較多的網(wǎng)絡(luò)服務(wù)，服務(wù)端口過(guò)多，將增加信息泄露的風(fēng)險(xiǎn)。為此，用戶在對(duì)Linux系統(tǒng)進(jìn)行清理時(shí)，應(yīng)查看系統(tǒng)內(nèi)的inetd文件夾，并將文件夾中含有的各類信息與系統(tǒng)運(yùn)行模式進(jìn)行比對(duì)。當(dāng)文件夾內(nèi)的程序處于閑置狀態(tài)時(shí)，應(yīng)對(duì)此類服務(wù)內(nèi)容進(jìn)行刪除處理，以便簡(jiǎn)化系統(tǒng)，提升系統(tǒng)運(yùn)營(yíng)質(zhì)量。

3.3.3 利用日志文件對(duì)系統(tǒng)進(jìn)行清查。在Linux系統(tǒng)運(yùn)行的過(guò)程中，管理人員應(yīng)對(duì)系統(tǒng)內(nèi)產(chǎn)生的日志文件進(jìn)行記錄與分析，例如，對(duì)文件產(chǎn)生的時(shí)間進(jìn)行維度定位，并對(duì)歷史登錄信息、注銷時(shí)間等進(jìn)行聯(lián)動(dòng)確認(rèn)，然后依據(jù)文件的參數(shù)基準(zhǔn)對(duì)各項(xiàng)信息行為進(jìn)行驗(yàn)證，以此來(lái)提高Linux系統(tǒng)的運(yùn)行質(zhì)量。

4 結(jié)語(yǔ)

本文論述了Linux系統(tǒng)特性，指出Linux系統(tǒng)下的計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全問(wèn)題，并給予解決策略。通過(guò)用戶安全防護(hù)體系、文件安全防護(hù)體系、系統(tǒng)安全防護(hù)體系的建設(shè)，人們可以為L(zhǎng)inux系統(tǒng)建立多維化防控體系，以最大限度地規(guī)避安全風(fēng)險(xiǎn)。在未來(lái)的發(fā)展過(guò)程中，技術(shù)研發(fā)人員可制定出智能化、自動(dòng)化的網(wǎng)絡(luò)監(jiān)管技術(shù)，以此來(lái)凈化網(wǎng)絡(luò)空間，為用戶數(shù)據(jù)信息的安全提供基礎(chǔ)保障。

參考文獻(xiàn)：

[1]孫泉，姚連瑞.基于計(jì)算機(jī)網(wǎng)絡(luò)信息安全中虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用研究[J].計(jì)算機(jī)產(chǎn)品與流通，2019（10）：71.

[2]李雙林.局域網(wǎng)環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（10）：7-8.

[3]于曉飛.新環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防火墻技術(shù)應(yīng)用研究[J].職業(yè)，2019（28）：122-123.

[4]呂志軍.淺析計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略[J].計(jì)算機(jī)產(chǎn)品與流通，2019（8）：59.

[5]李球真.計(jì)算機(jī)網(wǎng)絡(luò)信息安全中虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用研究[J].科技資訊，2019（23）：13.

[6]余韜.大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)信息安全問(wèn)題及對(duì)策研究[J].現(xiàn)代經(jīng)濟(jì)信息，2019（14）：361.