您的当前位置:首页正文

LINUX网络系统的安全防范与服务器配置

2024-03-26 来源:易榕旅网
维普资讯 http://www.cqvip.com 2007年第11期 福建电脑 145 LINUX网络系统的安全防范与服务器配置 谢少群 (广东商学院广东省电子商务市场应用技术重点实验室广东广州510320) 【摘要】:随着计算机信息技术与网络技术的迅猛发展,信息与网络的安全形势也日趋严峻和复杂化。本文主要就 Linux系统的网络攻击进行了分析,然后指出如何从系统、数据、网络和日常维护方面采取防范措施,以保证Hnux网络系统 的安全:同时,本文针对防范措施对怎样配置安全的服务器进行了探讨,这对于架构Linux网络有着十分重要的意义。 【关键词】:Linux系统 网络安全 网络攻击 防火墙安全策略 现代社会随着计算机和网络技术的快速发展.电子信息化 地或远程关机、网络访问、文件目录的读、写、备份、设备驱动程 时代正在到来。计算机技术引导了现代生活的新潮流。在这样的 序装卸、进程优先级变更、用户或计算机能否被信赖的权限设置 一个信息社会中.人们越来越注意到信息安全的重要性:非法的 以及域中工作站的增删、服务增删等应严格区分用户的不同而 计算机入侵、网络入侵、窃取、篡改、毁坏重要的数据资料,给社 给予合适的权限 会造成了难以估量的损失。电子商务、电子办公以及其他的信息 1.1.3启用安全日志审计技术 电子化领域都对电子信息的安全性提出了较高的要求。 启用系统日志审计功能以便记录系统发生的安全事件.对 近几年来,在开放源代码操作系统中.有一颗闪亮的新星, 各种系统日志文件,包括一般信息日志、网络连接日志、文件传 那就是基于GPL协议发行的Hnux。Linux的兴起与传播为我们 输日志及用户登录日志等进行审核.可发现各种潜在的安全问 设计自己的安全的操作系统提供了一条捷径。开放的源代码.规 题。 范的注释与文档,世界范围的爱好者和开发者.这一切都使Lin. 1.2数据安全防范 UX一步步的趋向完善。Linux系统是一种应用越来越广泛的网 由于协议在最初设计时候的不成熟.没有考虑到网络发展 络操作系统.为确保系统安全稳定的运转,在实际运用时应该采 到今天会存在如此严重的安全问题,所以诸如FrP、Telnet等服 用适当的安全防范机制 务都是采用明文传输口令和数据.所以要尽可能地利用现在的 1.Linux网络系统的安全防范 安全技术。对传输的数据进行加密。 Linux的Open Source策略使它成为网络中常用的一种服务 1.3网络安全防范 器操作系统.尽管Linux系统是稳健的.但并不说它是绝对安全 在Linux系统中.有一个自带的Netfdter/iptables防火墙框 的.因此要保证Linux网络系统的安全就要采用一定的防范攻 架。通过合理地配置也能起到主机防火墙的功效。从而使网络更 击的措施。Linux网络系统中被攻击的方式主要有拒绝服务、中 加安全。 间人、IP欺骗、网络监听等。拒绝服务的攻击方式是企图使网络 对于入侵检测系统来说.它通过对计算机网络或计算机系 过载,当攻击成功时,可能会导致整个系统瘫痪。这种攻击经常 统中的若干关键点收集信息并对其进行分析.从中发现网络或 同时采用IP欺骗方式.以隐藏攻击的地点:中间人攻击是通过 系统中是否有违反安全策略的行为和被攻击的迹象 按照技术 路由器来完成,先控制一台路由器,再窃取IP包,将其解开后, 以及功能来划分.入侵检测系统可以分为基于主机的入侵检测 重定向或替换 IP欺骗是利用TCP/IP协议中不检查返回地址这 系统、基于网络的入侵检测系统、分布式入侵检测系统等几类能 个安全漏洞,来达到攻击网络的目的。攻击者利用这一点能够改 够同时分析来自主机系统审计日志和网络数据流的入侵 变IP地址来掩盖发出攻击的地址 网络监听也是黑客们常用的 检测系统。在Linux系统中也有相应的轻量级的Snort。使用 方法.当成功地登录到~台网络上的主机.并取得了这台主机的 它可以快速、高效地进行防护。 超级用户控制权之后.黑客就可以利用网络监听收集敏感数据 在大多数的应用情境下。需要综合使用这两项技术.因为防 或者认证信息,以便日后夺取网络中其他主机的控制权。根据在 火墙相当于安全防护的第一层.它仅仅通过简单地比较IP地址, Linux网络系统中受到攻击的目标和范围。我们从系统、数据、网 端口对来过滤网络流量.而入侵检测系统更加具体.它需要通过 络和日常维护几个方面采取相应的防范措施 具体的数据包(部分或者全部)来过滤网络流量,是安全防护的 1.1系统安全防范 第二层。综合使用它们,能够做到互补,并且发挥各自的优势。 1.1.1帐户与口令管理 1.4日常维护安全防范 在进入Linux系统之前,所有用户都需要登录.也就是说, 1.4.1对系统及时备份 用户需要输入用户账号和密码,只有通过系统验证之后.用户才 为了防止系统在使用的过程中发生意外情况而难以正常运 能进入系统。建议大家在设定密码的过程中。应尽量使用非字典 行.应该对L UX完好的系统进行备份,良好的备份策略可以在 中出现的组合字符。并且采用数字与字符相结合、大小写相结合 系统文件已经被破坏的情况下.用系统备份来恢复到正常的状 的密码设置方式。增加密码被黑客破解的难度。而且。也可以使 态 定期将系统与光盘内容进行比较也可以验证系统的完整性 用定期修改密码、使密码定期作废的方式。来保护自己的登录密 是否遭到破坏。 码。 1.4.2发现入侵及时处理 1.1.2对象访问的安全性 一旦发现了一个用户正从未知的机器登录.且该用户在系 Linux系统对文件、目录、进程等对象的访问采用强制访问 统中没有相应的账号.表明此时系统正在受到攻击。为防止系统 控制(MAC)来实现.不同的用户只能访问到与其有关的、指定范 的安全被进一步破坏。应该马上锁定该机器,如果攻击者已经登 围的对象信息。用户不同.对这些对象的授权也应不同。对于本 录到系统.应该马上断开主机与网络的物理连接。 维普资讯 http://www.cqvip.com

146 1.4.3预防病毒 福建电脑 2007年第11期 统受到攻击:同时。用户需要定期地对上述/ere&inetd.d目录中的 目前.受益于L/nUX的Open sotu ̄e策略.在 nux上并未出 服务描述文件进行查看,检查是否存在由于使用中的各种原因. 现广泛传播的病毒.但作为LinUX系统管理员应及时了解新的 而使某些不应该开启的服务非正常地开启了。 技术和发展.以防病毒侵害时能及时保护系统。 2.Hnux服务器安全配置 2.4定期检查系统安全 当安装了必要的安全防护工具和防火墙之后.Linux操作系 根据以上Linux操作系统的安全防范措施.我们从设置安 统的安全性将得到很大提高.但是却并不能保证完全可防止网 全的服务器帐号和密码、加装安全防护工具、取消不必要的网络 络黑客的入侵。在平时,网络管理人员要经常提高警惕.随时注 服务、定期检查系统安全四个方面来谈服务器的安全配置攻略。 意各种可疑状况.并且按时检查各种系统日志文件.包括一般信 2.1设置安全的服务器帐号和密码 息日志、网络连接日志、文件传输日志以及用户登录日志等。在 禁止所有默认的被操作系统本身启动的不必要的账号. 检查这些日志时,要注意是否有不合常理的时问记载。同时、要 Linux提供了很多默认帐号.而帐号越多.系统就越容易受到攻 经常更新防毒软件.使病毒可以及时清除,从而不影响服务器的 击。我们使用的方法:只设置一个超级管理员给服务器管理员使 正常运行。 用.密码要复杂不容易破解,其它的用户只用简单的操作帐户。 3.结束语 同时.在Unux操作系统上的tcoa中.我们要设定允许上机和不 对于系统和网络攻击的防范.任何一种单一的安全措施及 允许上机人员的名单。其中.允许上机人员名单在/etc/hosts.a1. 其防范能力都是有限的。为了保证Unux网络系统的安全性必 1ow中设置.不允许上机人员名单在/etc/hosts.deny中设置 设置 须采取多种安全措施.多管齐下。一个优秀的系统管理员还要不 完成之后,我们需要重新启动inetd程序才会生效。此外。Unux 断学习新的管理工具软件,不断了解 ux的最新动态信息,在 将自动把允许进入或不允许进入的结果记录在/rar/log/secui'e文 实践中提高自己防范网络攻击的技术水平。假如一个 ux网 件中.系统管理员可以据此查出可疑的进入记录。 2.2加装安全防护工具 络系统采取了以上述各种安全措施.那么要想侵入你的系统.攻 击者将不得不绕过防火墙、避开入侵检测系统、跳过陷阱程序、 SsH是安全SheH的简称,它可以安全地被用来取代rlogin、 通过系统过滤器、逃过你的日志监视器、修改文件系统属性、破 rsh和rcD等公用程序的一套程序组。SSH采用公开密钥技术对 坏安全登录服务器等等。才能最终达到目的。由于其中任何一个 网络上两台主机之问的通信信息加密.并且用其密钥充当身份 环节都可能激发报警.因此入侵者要想侵入这样的系统而又不 验证的工具。由于SSH将网络上的信息加密。因此它可以用来 被发现几乎是不可能的 安全地登录到远程主机上.并且在两台主机之间安全地传送信 息。实际上,SSH不仅可以保障unux主机之间的安全通信。 参考文献:  ̄]HaisenLinux安全基础【M】.北京:人民邮电出版社,2002.34 ̄37. Windows用户也可以通过SsH安全地连接到Linux服务器上。 1.[M】.北京:清华大学出版社, 同时.我们要为服务器安装防毒软件和防火墙,并且保证防毒软 2.张小斌,严望佳.黑客分析与防范技术【件可以正常更新病毒库,防火墙已安全配置好。 2.3取消不必要的网络服务 1999. 3.张文波,王成,于三明.浅析Linux系统的网络安全策略和措施o】吉林 师范大学学报(自然科学版),2003,(02). 学报(自然科学版),2002,(03). 需要对外提供FrP、Http.Telnet等服务的用户.除了开放所 4.陈旭,温阳东.LINLrx系统网络安全问题分析及对策o】舍肥工业大学 需提供服务之外。一定要关闭系统默认打开的网络服务。而且。 对于FrP、HttD等服务需要仔细配置,为来访的用户提供比较严 格的身份验证机制.防止不法用户滥用服务。强烈建议不要提供 6.Vicki Stanfield、Rodefick W.Smith.Linux系统管理指南IMI.电子工业 Telnet服务。该服务非常危险。很容易被黑客利用而使用户的系 出版社.2001. (上接第148页) 3Fur1%3Dhttp%3A%2F%2Fmail.21en.eom%2Fhuodong%2FD610%2Fspam%2Findex. ank%27%3E21CN%B5%DA%CB%C4%B4%FA%D6% htm1%27 ̄target%3D%27b[__5.吴绍炜.Linux系统管理fM].人民邮电出版社.2002. 4.结语 本文在WinPcap函数库的基础上.设计并实现了一个W.m. 该系统 C8%AB%C3%E6%C9%CF%CF%DF%3C%2Fa%3E%3Cbr%3E%3C%2Float% doWs环境下的对web外发信息进行监控和审计的系统.3E&send.year---&sendrnonth--&sendday=&sendhour=&Interval--&Repeat--& ̄o6- 能对企业员工使用web页面向外发送的信息进行捕获、复原和 ty=3&Signature= 保存。利用本系统。企业可以了解通过web页面外发的所有信 对上面这个 post请求消息原文的关键内容翻译如 息.包括向外发送的附件。同时企业还可以看到使用web页面向 下: 外发送信息时.来自web服务器的反馈信息。这样.企业可以完 网址:http'.//Webmail.21cn.com/uudfreegreen/gb/std/wxg100/ 全了解员工通过web页面向外泄露的资料情况.同时系统记录 yv061 24dtksgpieknqmywvfymhpujhr/eomposehtm1.gen 的这些信息可以作为惩罚、控告相关员工的证据。 C7%C4%DC%B7%B4%C0%AC%BB%F8%D3%CA%CF%EA%CF%B5%CD%B3% .___HTrP body的长度:1016字节 AttaehHleName=CADoeuments and Settings ̄a1\桌面、产品 参考文献: 1.The WinPcap Team.WinPcap Documentation 4.0 t ̄As/oU.http:// WWV ̄.winpcap.org/docs/docs40/html/main.hurd,2006. _资料.doe(附件的文件名) AttaehFileSize=55808(附件大小为55808字节) MTo=wxgl00@tom.corn(邮件收件人为wxglOOC ̄om.COrn) MSubjeet=技术资料(邮件标题为”技术资料”) MText=(下面为邮件的内容) 张总经理: 现将我公司产品资料发送给你。请查收并阅读附件。 小刘 21CN第四代智能反垃圾邮箱系统全面上线 Pfiofi ̄=3(邮件的优先级) 2.徐键,王涛.H订P/1.1的分析Ⅱ】.西南师范大学学报(自然科学版), 2004,29(2):315—320. 3.谭思亮.监听与隐藏网络侦听揭密与教据保护a- ̄IM].北京:人民邮 电出版社.2002. 4.谢希仁.计算机网络【M1.北京:电子工业出版社,2000. 5.Fielding R.Hypertext Transfer Protocol:HTTP/1.1【S】.1 ̄FC2616, 1999. 

因篇幅问题不能全部显示,请点此查看更多更全内容