基于Linux系统的网络安全策略研究

罗彩君

（陕西职业技术学院 计算机科学系，陕西 西安 710100）

Linux是一种开放源代码的免费正版操作系统，基于它的自由性、开放性、安全性、稳定性、网络负载力强、占用硬件资源少等特点，目前采用Linux网络操作系统作为服务器的用户日益增多，同时Linux也被广泛应用于嵌入式开发、个人工作站和商业开发等各个领域，已发展为当今世界的主流操作系统之一。随着Internet的快速发展，网络本身的安全面临着重大的挑战，Linux与其它网络操作系统一样，也面临着更多的安全隐患，其系统的安全问题也受到人们的日益关注。分析Linux系统的安全机制，找出它可能存在的安全隐患，采取相应的安全策略、措施是十分必要的。

1 Linux系统网络安全概述

Linux是一套自由软件、用户可以无偿得到它及其源代码和大量的相关应用程序，而且可以按照自己的意图和需求进行修改和补充，无偿使用，无限制地传播。Linux不仅具备功能强大、性能稳定的UNIX网络操作系统的全部优点，而且还提供了丰富的应用软件[1]。Linux的网络功能、安全性、稳定性和应用绝不次于任何商业化的操作系统，现在已有众多的用户用它来构建安全、稳健的站点，提供各种关键业务的网络服务。

Linux网络操作系统提供了用户账号、文件系统权限和系统日志文件等基本安全机制[2]，如果这些安全机制配置不当，就会使系统存在一定的安全隐患。

1）Linux系统的用户账号

在Linux系统中，用户账号是用户的身份标志，它由用户名和用户口令组成。系统将输入的用户名存放在/etc/passwd文件中，而将输入的口令以加密的形式存放在/etc/shadow文件中[3]。在正常情况下，这些口令和其他信息由操作系统保护，能够对其进行访问的只能是超级用户（root）和操作系统的一些应用程序。

2）Linux的文件系统权限

Linux文件系统的安全主要是通过设置文件的权限来实现。每一个Linux的文件或目录，都有3组属性，分别定义文件或目录的所有者，用户组和其他人的使用权限[4]。

3）Linux的日志文件

Linux的日志文件用来记录整个操作系统使用状况，作为一个Linux网络系统管理员要充分使用好/var/log/lastlog、/var/log/secure、/var/log/wtmp几个日志文件。

2 Linux系统的网络安全问题分析

随着Linux操作系统在全世界范围内的广泛应用，其安全隐患也日益突出。目前，针对Linux网络系统的攻击越来越多，主要攻击方式有拒绝服务攻击、口令破解攻击、缓冲区溢出攻击、IP欺骗攻击、网络监听攻击、欺骗用户攻击、端口扫描攻击等[5]，其攻击范围可以从服务拒绝直至完全危害和破坏Linux服务器。

1）拒绝服务攻击

拒绝服务（DoS）攻击是指黑客采取具有破坏性的方法阻塞目标网络的资源，使网络暂时或永久瘫痪，从而使Linux网络服务器无法为正常的用户提供服务[6]。例如，黑客可以利用伪造的源地址或受控的其他地方的多台计算机同时向目标计算机发出大量、连续的TCP/IP请求，从而使目标服务器系统瘫痪。大多数拒绝服务攻击导致相对低级的危险，即便是那些可能导致系统重启的攻击也仅仅是暂时性的问题。

拒绝服务攻击包括简单拒绝服务攻击、分布式拒绝服务攻击、DNS分布拒绝服务攻击和FTP攻击[7]。由于拒绝服务攻击工具的泛滥，及所针对的协议层的缺陷短时无法改变，拒绝服务也就成为了流传最广、最难防范的攻击方式。

2）口令破解攻击

口令破解攻击的目的是为了破解用户的口令，从而可以取得已经加密的信息资源。口令安全是保卫自己系统安全的第一道防线，但在实际应用过程中，用户常常忽略他们的密码，密码政策很难得到实施。黑客有多种工具可以击败技术和社会所保护的密码，主要包括字典攻击（Dictionary attack）、混合攻击（Hybrid attack）、蛮力攻击（Brute force attack）[8]。例如，黑客可以利用一台高速计算机，配合一个字典库，尝试各种密码组合，直到最终找到能够进入系统的密码，打开网络资源。

3）缓冲区溢出攻击

缓冲区溢出攻击是指攻击者向一个有限空间的缓冲区拷贝过长的字符串，覆盖相邻的存储单元，这种覆盖往往会导致程序运行的失败，甚至是死机或是系统的重启。缓冲区溢出漏洞广泛存在于应用软件和操作系统中，其危害是非常巨大的。

4）IP欺骗攻击

IP欺骗攻击是利用TCP/IP协议中不检查返回地址的这个安全漏洞，从而达到攻击网络的目的。IP欺骗，就是指伪造他人的IP地址，其实质就是让一台计算机来扮演另一台计算机。IP欺骗是利用主机之间正常信任关系来发动的，所谓信任关系就是网络上的两台计算机P1和P2，P2可以利用远程登录工具，无需口令验证就可以登录到P1主机上，假如攻击者能冒充P2的IP地址，就可以利用远程登录工具登录P1，而不需要任何口令的验证。

5）网络监听攻击

网络监听也是黑客们常用的一种方法，当成功地登录到一台网络上的主机，并取得了这台主机的超级用户控制权之后，黑客就可以利用网络监听收集敏感数据或者认证信息，以便日后夺取网络中其他主机的控制权。

6）欺骗用户攻击

欺骗用户攻击是指网络黑客伪装成网络公司或计算机服务商的工程技术人员，向用户发出呼叫，并在适当的时候要求用户输入口令，有时黑客会向用户发送邮件，要求用户给他系统升级的口令。这是用户较难对付的一种攻击方式，一旦用户口令失密，黑客就可以利用该用户的账号进入系统。

7）端口扫描攻击

端口扫描是通过发送特定类型的TCP/UDP报文给所要扫描的目标主机的全部或特定端口，诱发目标主机回复响应报文，分析返回的响应报文来推断目标主机端口的状态等信息[9]。利用端口扫描工具黑客能找出目标主机上各种各样的漏洞，并利用这些漏洞对系统实施攻击。

3 Linux系统的安全策略

Linux是一种公开源码的操作系统，要想在技术日益发展、纷繁芜杂的网络环境中保证Linux系统的网络安全性，系统管理员一定要有安全防范意识，对系统采取一定的安全措施，这样才能提高Linux系统的网络安全性。下面主要从Linux系统的用户管理、文件管理、预防攻击、数据备份等方面给出Linux系统的网络安全解决策略。

3.1 用户管理

1）确保root账号的安全

root账号是Linux系统中享有特权的账号，具有管理员的权限。root账号是不受任何限制和制约的，因此，使用root账号的时候，要非常小心，以免造成误操作。通常情况下，不要使用root账号登录，系统管理员轻易不要在别人的计算机上用root登录自己的服务器。

2）设置用户账号的安全等级

在Linux系统上每个账号可以被赋予不同的权限，在建立一个新用户ID时，系统管理员应该根据需要赋予该账号不同的权限，并且归并到不同的用户组中。?除了一些重要的用户外，建议屏蔽掉其他用户的telnet权限，只给ftp权限，这样可以防止一些人利用其他账号登录到系统上。此外，Linux系统会自动把允许进入或不允许进入的结果记录到/rar/log/secure文件中，系统管理员可以据此查出可疑的进入记录。

3）确保用户口令的安全

对于网络系统而言，口令是比较容易出问题的，作为系统管理员应告诉用户在设置口令时要使用安全口令，并适当增加口令的长度。系统管理员要保护好/etc/passwd和/etc/shadow这两个文件的安全，不让无关人员获得这两个文件，这样黑客利用John等程序对/etc/passwd和/etc/shadow文件进行字典攻击获取用户口令的企图就无法进行[10]。系统管理员要定期对本系统的/etc/passwd和/etc/shadow文件进行模拟字典攻击，一旦发现有不安全的用户口令，要强制用户立即修改。

4）删除不必要的账号和组号

Linux提供了许多默认账号，账号越多，系统就越容易受到攻击。可以用以下命令来删除sync、shutdown、halt、news、games、adm、lp、mail、operator、uucp等不必要的账号。

#userdel用户名

用以下命令删除adm、lp、mail、news、games、dip等不必要的组号。

#groupdel用户名

3.2 文件管理

1）加密重要的文件

在Linux系统中，将重要的文件进行加密。使用#gPg—gen—key产生密钥对，将公钥发布，以便其他用户下载该公钥加密发回文件，收到加密文件后，用配对的私钥解密为明文。

2）设置文件系统的访问权限

Linux文件系统的安全主要是通过设置文件的权限来实现。使用chown或chgrp命令正确设置文件的所有权或用户组关系[11]。使得文件的不同用户（文件主、组用户和其它用户）只能对必需的文件具有必须的访问权限（读、写和可执行），提高文件访问的安全性。

3.3 预防攻击

1）设置防火墙

防火墙的主要功能是实现两个或多个网络间透明访问，阻止非授权用户进人系统。同时，防火墙也能使被保护网的入口点尽可能少的暴露出来，从而有效地减少外部网对被保护网的非授权访问和恶意攻击，并保护系统。因此，防火墙在主机安全中有非常重要的作用，一个配置适当的防火墙不仅是系统有效应对外部攻击的第一道防线，也是最重要的一道防线，它可以弥补由于设置不当或软件存在漏洞而引发的安全问题。在Linux系统中，常采用系统自带的Iptables完成防火墙的配置，利用防火墙能有效的防御IP地址欺骗、特洛伊木马攻击、口令探寻攻击、Internet蠕虫、邮件攻击等。

2）关闭不必要的服务

Linux系统在安装时包含了较多网络服务，有时会出现严重的安全问题，用户应当关闭不需要的服务。Linux中的大部分网络服务都是在/etc/inetd.conf文件中设定，它保存了系统提供Internet服务的数据库，通过这个文件，可以关闭系统中不需要的某项服务，使它们更为安全的运行。

3）禁止系统对ping命令的反应

TCP协议本身有很多的弱点，黑客可以利用一些技术把传输正常数据包的通道用来偷偷地传送数据，将系统设置为对ping请求没有反应，能很好的避免黑客利用其漏洞攻击用户，可将计算机的网络安全风险降到最低。

4）禁止提供finger服务

在Linux系统下，使用finger命令，可以显示本地或远程系统中目前已登录用户的详细信息，黑客可以利用这些信息，增大侵入系统的机会。为了系统的安全，建议禁止提供finger服务，即从/usr/bin下删除finger命令[12]。

5）合理利用Linux的日志文件

Linux的日志文件用来记录整个操作系统使用状况，作为一个Linux系统管理员要充分用好日志文件。/var/log/secu re文件记录登入系统存取数据的文件，/var/log/wtmp文件记录当前和历史上登录到系统的用户的登录时间、地点和注销时间等信息，/var/log/messages文件记录系统发生的所有错误信息（或重要信息）。

6）定期对Linux网络进行安全检查

Linux网络系统的运转是动态变化的，因此，对它的安全管理也是变化的。作为Linux网络系统的管理员，在为系统设置了安全防范策略后，应定期对系统进行安全检查，并尝试对自己管理的服务器进行攻击，如果发现安全机制中的漏洞应立即采取措施补救，不给黑客以可乘之机。

7）预防病毒入侵

虽然目前在Linux系统上并未出现广泛传播的病毒，但随着Linux的广泛应用，各种针对它的病毒也纷至沓来。系统管理员应及时了解病毒预告及预防病毒的技术和发展，以防止系统受到病毒的攻击。

3.4 数据备份

为了防止不能预料的系统故障，或用户不小心的非法操作，必须对系统进行安全备份。除了应对全系统进行每月一次的备份外，还应该对修改过的数据进行每周一次的备份。同时应该将修改过的重要的系统文件存放在不同的服务器上，以便在系统万一崩溃时，可以及时将系统恢复到最佳状态。

4 结束语

采用以上的网络安全策略，虽然可以使Linux系统的网络安全性大大提高，但不能完全杜绝黑客入侵。随着Linux系统的发展，对Linux系统的攻击方式也在不断改变，因此Linux网络安全工作需要跟随技术和管理的发展而更新，应随时关注安全技术的发展，不断提高安全意识与安全防范技能，制定合理有效的安全策略，定期对系统进行安全检查，发现漏洞要立即采取措施，保证Linux系统的安全性。

[1]胡耀民，厉伟.Linux系统及网络管理[M].北京：人民邮电出版社，2012.

[2]陈勇勋.Linux网络安全技术与实现[M].北京：清华大学出版社，2012.

[3]李洋.浅析Linux安全管理技巧[J].职业技术，2012（2）：118.LI Yang.Analysis of security management skills based on Linux[J].Vocational Technology，2012（2）：118.

[4]易著梁，邓志龙.Linux网络管理[M].北京：人民邮电出版社，2010.

[5]曾斯.Linux操作系统下的安全性研究[J].福建电脑，2010（11）：78－79.ZENG Si.Security research based on Linux operating system[J].Fujian Computer，2010（11）：78－79.

[6]万为军.浅谈Linux系统网络安全[J].中国科技信息，2011（11）：107.WAN Wei-jun.Analysis of network security based on Linux System[J].China Science and Technology Information，2011（11）：107.

[7]阎映炳，刘雪洁.Linux系统与网络管理教程[M].北京：电子工业出版社，2010.

[8]范鲁娜.基于Linux操作系统的网络服务器安全管理[J].科技创新导报，2011（10）：17.FAN Lu-na.Security management of network server based on Linux operating system[J].Science and Technology Innovation Herald，2011（10）：17.

[9]李洋.Linux安全技术内幕[M].北京：清华大学出版社，2010.

[10]李文风.浅析Linux操作系统的安全策略[J].信息与电脑，2011（4）：8－10.LI Wen-feng.Analysis of security policies based on Linux operating system[J].China Computer&Communication，2011（4）：8－10.

[11]韩晓红.浅析Linux操作系统的网络安全及防范策略[J].电脑知识与技术，2011，13（7）：3014－3016.HAN Xiao-hong.Analysis of network security and prevention strategies based on Linux operating system[J].Computer Knowledge and Technology，2011，13（7）：3014－3016.

[12]杨牧.基于Linux网络操作系统的安全策略[J].网络安全技术与应用，2010（2）：19－20.YANG Mu.Security policies based on Linux network operating system[J]. Network Security Technology &Application，2010（2）：19－20.