浅谈Linux系统的网络安全及其应对策略

李荣芳 辛富国

摘要完善的内置网络功能是Linux优于其他系统的显著特点,但是Linux并不能保证绝对的安全,在实际应用中仍然需要管理员做好网络安全策略,本文就此问题展开讨论。

关键词Linux 网络安全 策略

中图分类号:TP393文献标识码:A

1 引言

Linux操作系统最早是由芬兰的Linus Torvalds 1991年8月在上学时发布的,后经众多世界顶尖的软件工程师的不断修改和完善,Linux在全球普及开来,在服务器领域及个人桌面版得到越来越多的应用,在嵌入式开发方面更是具有其它操作系统无可比拟的优势。与此同时也带来了许多网络安全问题,网络安全成为网络用户关心的一个热点问题,本文就Linux 的网络安全问题展开讨论。

2 Linux系统的网络安全隐患

(1)Linux系统可以使用启动盘来启动计算机,而无需使用root口令即可获得超级用户root所具有的权限。这是一个很严重的安全隐患,因为它使root口令失去了意义。

(2)Linux的弱口令隐患。不少网站的管理员账号密码、ftp账号密码、sql账号密码等都是使用很简单的或是很容易猜测到的字母或数字( 利用现有的 )PIII 机器配合编写恰当的破解软件足以在短时间内轻松破解,一旦口令被破解,网站就意味着被攻破。

(3)SETUID隐患。SETUID是为解决某些普通用户在执行程序时须暂时获得root特权的程序执行问题,这也是一个很大的安全隐患。

(4)缓冲区溢出隐患。当输入数据超出所分配存储空间而系统又没有对此作直接处理时将产生缓冲区溢出问题。

3 Linux系统的网络安全防范策略

作为Linux网络系统的管理员,既要时刻警惕来自外部的黑客攻击,又要加强对内部网络用户的管理和教育,具体可以采用以下的安全策略:

(1)关闭无用的端口。任何网络连接都是通过开放的应用端口来实现的。如果尽可能少的开放断口,就会使网络攻击变成无源之水,从而大大减少了攻击者成功的机会。

(2)口令管理。口令的长度一般不要少于8个字符,口令的组成应以无规则的大小写字母、数字和符号相结合,严格避免用英语单词或词组等设置口令,而且各用户的口令应该定期更换。另外,口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护,必须做到只有系统管理员才能访问这2个文件。安装一个口令过滤工具加npasswd,能帮你检查你的口令是否耐得住攻击。如果你的系统中没有安装口令过滤工具,请马上检查所有用户的口令是否能被穷尽搜索到,即对/ect/passwd文件实施穷尽搜索攻击。

(3)分区管理。一个潜在的攻击首先会尝试缓冲区溢出。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Intemet用户有机会获得一台主机的部分或全部的控制权。为了防止此类攻击,我们从安装系统时就应该注意.如果用root分区记录数据,如log文件,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还建议为/home单独分—个区,这样他们就不能填满分区了,从而可有效避免部分针对Linux分区溢出的恶意攻击。

(4)使用保留IP地址。维护网络安全性最简单的方法是保证网络中的主机不同外界接触。最基本的方法是与公共网络隔离。这时,使用保留IP地址是一种简单可行的方法,它可以让用户访问Intemet同时保证一定的安全性。RFC1918规定了能够用于本地TCP/IP网络使用的IP地址范围,这些lP地址不会在Intemet上路由,因此不必注册这些地址。通过在该范围分配IP地址,可以有效地将网络流量限制在本地网络内。这是一种拒绝外部汁算机访问而允许内部汁算机互联的快速有效的方法。

保留IP地址范围:10.0.0.0 — 10.255.255.255

172.16.0.0 — 172.31.255.255

192.168.0.0 —192.168.255.255

来自保留IP地址的网络交通不会经过Intemet路由器,因此被赋予保留IP地址的任何计算机不能从外部网络访问,,但是,这种方法同时也不允许用户访问外部网络,不过可以利用lP伪装解决这一问题。

(5)不设置缺省路由。在主机中,应该严格禁止设置缺省路由default route。建议为每一个子网或网段设置一个路由.否则其它机器就可能通过一定方式访问该主机。

(6)采用防火墙技术。 防火墙是阻止非授权用户进入、离开、穿过网络或主机系统一种部件或一系列部件,可以采用系统附带的工具和专用的防火墙来实现主机系统或网络安全,通过适当配置可有效地限制、保护系统以及控制局域网范围内的访问。防火墙系统一般提供如下功能:访问控制、审计、抗攻击、其他附属功能。

(7)采用加密技术。 加密技术主要是指数据传输加密和数据存储加密数。数据传输加密技术是对传输中的数据流加密,常用的方法有“数据线路加密”和“端-端加密”两种。前者主要考虑数据在传输线路上的安全,而不考虑(下转第174页)(上接第172页)数据的信源节点与信宿节点;后者则指信息在发送端自动加密,并进入TCP/IP数据包,然后作为不可阅读和不可识别的数据穿过因特网,当这些信息一旦到达目的地,将被自动重组、解密,重新变成为可读数据。数据存储加密技术是防止信息在存储过程中的数据泄密,分为密文存储和存取控制两种。

(8)加强服务器防病毒功能。虽然从理论上说在Linux系统上可以产生一个病毒, 但那是很困难的事情,只有拥有root访问权限才能执行一个能起大破坏的病毒。但是Linux潜在的对病毒的免疫性可以被用来做Linux的防病毒系统。不仅Linux的SAMBA服务器应该扫描被Windows客户机存放的被病毒感染的文件,一个基于Linux的反病毒网关也应该用于为整个网络扫描和保护SMTP 、FTP和Web通信等。

4 结语

由于Linux操作系统使用广泛,又公开源码.因此被广大计算机用户研究得最彻底。而Linux本身的配置又相当的复杂, 对于Linux的系统管理员.头脑中一定要有安全防范意识,定期检查系统,发现漏洞要立即采取措施。

参考文献

[1][美]Aron Hsiao.Linux系统安全基础[M].北京:人民邮电出版社,2002.

[2]潘瑜.基于Linux系统的网络安全策略.计算机基础教程网.