构建以Linux服务器为基础的网络安全平台探讨

◆栾志强

(山东公安边防总队烟台机场边防检查站 山东 264000)

构建以Linux服务器为基础的网络安全平台探讨

◆栾志强

(山东公安边防总队烟台机场边防检查站 山东 264000)

网络安全作为一项时下社会领域中一项热点课题，而服务器则为整个网络安全当中最为核心环节，Linux被业界公认为是一个较为安全的 Internet服务器。如何采取有效措施为服务器系统安全提供保障，乃为整个网络安全工作的重要环节。只有网络服务器系统可靠、安全，方能确保整个网络的稳定与安全。

Linux服务器；网络安全；策略

1 服务初试配置的安全策略

1.1 安装策略

对于配置系统安全而言，操作系统安全乃为其首步。由于所配置的乃是防火墙，因此，对于之前的任何系统配置与安装，均不能信任，需要着手于全新安装，只有这样方能为系统安全的完整性提供保障。当系统处在隔离或者单独的网络当中时，不能让没有受到保护的系统与其它网络相连接，也不能连接于互联网，以遭受外界攻击。依据个人经验得知，一个与互联网相连接的新安装系统，可以在短短的15s便能被扫描或入侵，从而取得完全控制权。当把即将当作防火墙的机器放置在处于隔离状态的网络当中时，便可着手下步工作。第一步便是对操作需要需要安装的软件包进行选择。针对Red Hat Linux而言，其安装方法主要有如下几种：Cusotm（定制，缺省选项）、Sevrer（服务器）、Wokrsattion（工作站）等。再次选择“定制”，因为这允许你进行硬盘分区以及选择那些服务器。对于安装策略而言，实际就是在最大化效率得以维持的前提下，实施“最小化”安装。系统当中具有越少的软件，则便会具有越小的潜在性的安全漏洞。无论所选择的安装方式是哪种，HOWTO文档与手册页均需必备。尽管可能会增加一点系统风险，但他们有时确实比较有用。如果在安装方式上选择的是“定制”安装，则此时便会被提示实施硬盘分区。建议为/var专门设置一个独立性的分区。因为如若根分区被划归至电子邮件及系统日志等数据当中，便会发生拒绝服务状况，更甚者还会造成系统出现崩溃状况。此外，可考虑为那些特定的应用或服务建立或者保存独立性的分区，尤其是那些比较敏感的日志记录。如若系统当中存有不能完全被信任的用户，则需要为/home建立一个单独性分区，至此，便可防止那些恶意用户对/根分区所进行的攻击。

当完成系统安装并且已经重启之后，需要进行安全补丁的安装工作。针对Red Hat，可到对应网址当中找寻其全部安全补丁程序。对于安全补丁而言，其对一个安全的防火墙的长久维持十分关键，需保持其长期性更新。从bugtraq@seeurityfoeus.com当中，能够得到最新的安全漏洞信息资源。如若不进行此些补丁的安装，那么系统便容易遭受外界的入侵。因此，建议选用auotprm工具，时刻保持对RPM软件包在补丁上的实时更新。此命令工具经过分析，能够得出那些.rpm需要进行更新，并且还会以自动的方式，从Red Hat网站当中下载并且安装需要进行升级的文件。此工具在日常使用中，简单而又灵活，可让其运行于corn当中，至此，系统便会定期性的、自动化的进行更新升级，另外，还能及时将提醒系统升级的电子邮件，向管理员予以发送。

1.2 关闭不需要的服务与端口

当系统的安装包、补丁完成安装之后，重启，然后便可对操作系统实施安全增强配置。对于安全增强配置而言，主要包含有调整。增加日志及关闭服务等。首先进行关闭服务，在安装服务器操作系统时，此时便会启动一些用处不大的服务，这些服务不仅会占据大量的系统资源，而且还会对系统的安全运行与稳定造成严重威胁。Solaris作为一个能够将许多有用服务予以提供的高性能操作系统，但针对防火墙而言，其中的多数服务并无太大用处，且还可能会由此而产生诸多风险。因此，需先对/ect/sbin/inetd文件进行更改。对于此文件而言，其定义了由/usr/sbin/inerd超级守护进程需监听的服务，下步需对/etc/rc2.d以及/etc/rc3.d目录当中的文件进行修改。在这里，能够找出被init进程执行的相应启动脚本，其中诸多乃是不必要的。在启动过程中，要执行一个脚本，仅需把对应文件名起始处的大写S更改为小写s便可。另外，在Red Hat系统当中，内置有一个工具，能够将服务关闭。只需在命令行当中将/usr/sbin/inerd输入，而后选择“System Services”，然后选择系统启动所需要执行的对应脚本。

1.3 日志与系统调整

全部系统日志均在/var/log目录当中存放，当缺省时，则iLnux便会有较好的日志设置，除了fep。在记录fep日志方面，主要有两种方法，即编辑/etc/shadow 或者是/etc/ftpaccess。通过对/etc/inetd.conf文件进行编辑，便可将全部FTP会话日志均记录下来。对于系统调整额而言，其首要任务便是保证/etc/passwd文件的安全。首先需要将系统所运用的/etc/shadow文件予以确认，将全部用户口令密文的文件保存下来，仅允许 root根用户进行访问，这样便能够对用户口令轻易被访问与破解予以组织，只要将一下命令给予运行，便能把口令系统已一种自动化方式向/etc/shadow进行转换。

如若想要对/etc/ftpusers文件进行访问。无论何种被列入到此文件当中的账号，均无法ftp至本系统，一般情况下，用此对系统账号进行限制，比如bin或root等，禁止此类账号的FTP会话。当缺省时，则iLnux已经建立了此文件，需要保证root根用户被划归到此文件当中，以此禁止root与系统之间的ftp会话。

2 启动与登录的安全策略

2.1 BIOS安全设置

针对BIOS安全设置而言，其乃是计算机系统当中最为底层的设置，同时也是最易造成忽视的缓解，通过进行BIOS设置，且禁止从软盘进行系统启动，此乃对服务器系统最为基本的保护。

2.2 默认账号与用户口令

还比前文所提出的需要禁止全部默认的备操作系统自身启动且无较大用处的账号，以此实现风险的减少。另外，针对合法用户的口令而言，其乃是iLnux安全的一个基本支撑点，许多人所运用的用户口令均比较简单，这就好比为外界侵入敞开了大门，尽管基于理论层级，只要资源与时间充足，便较难将这些用户口令进行破解，但在实际工作中较难选择得到的口令。针对那些比较好的用户口令，均为用户自己容易记忆且便于理解的一串字符，建议定期更换或修改密码。

2.3 限制su命令

如若您不想任何人把su当作root，可通过对/etc/pam.d/su文件进行编辑，将如下内容增加上去：auh teqriuerd/blsceuiry /Pams-ewheel.so gorup=isd。此时，只有isd组的用户能够将su当作root，而后如若需要用户admin可将su当作root，则可运行如下命令：usermod-G10 admin。

2.4 Linux对远程登录失败的处理

针对Unix/Linux操作系统而言，其对远程多次登录失败所采取的措施对策便是断开与对方之间的连接，针对此状况，对于那些正在登录的客户端软件，由于服务方的连接中断，而被迫停止。此安全策略针对那些付穷举密码攻击，效果比较明显。由于在服务方将连接断开后，攻击者在重新连接上锁花费的时间代价是比较大的。现实当中，此安全策略也存有一个比较大的隐患，其要想实现策略，需要结合客户端的软件的合作，方能完成，其要求客户端软件能够在服务方断开连接之后能够终止或者退出，以此达延时之目的。如若客户软件出现不合作状况，未突出来延时，而是以最小延时，进行重新连接，那么服务方将很难达到延时的目的。至此，客户方便能够对服务方的用户密码很容易地进行猜解。

3 结语

总而言之，通畅情况下，大多iLnux网络均由一台甚至多台安装有iLnux的操作系统服务器组成，并将其当作FTP Sevrer或者web Sevrer。本文分别从服务初试配置的安全策略以及启动与登录的安全策略方面展开分析与讨论，希望以此为系统安全与病毒防护提供帮助。

[1]戴帅.基于ARM-Linux的嵌入式HTTPS服务器的研究与实现[D].武汉理工大学, 2010.

[2]鲁和杰.Linux系统教学实验平台构建与比较研究[J].福建电脑, 2008.

[3]沙伯海, 蔡海滨.基于 Linux下网络服务安全可靠性研究[J].计算机工程与设计, 2005.