基于Linux系统服务器网络安全机制

李硕 车宇

（中国核动力研究设计院 四川省成都市 610041）

互联网时代下，网站服务器的访问量不断增加，网站需要面对的安全风险问题也不断增大，人们对网络服务安全性重视程度随之提高。Linux 系统服务器的兴起，为安全操作系统提出了一条全新的途径，不仅能够满足安全运转的基本需求，也能够成为电子商务共享平台。因此，需要加强对其的进行一步的研究。

1 网络安全的发展现状

在计算机网络系统正常运行的过程中，非常容易遭受到一些攻击，导致系统被破坏、信息被更改、资源被泄露。尤其是在互联网时代下，保证网络具备安全性、保密性、可用性、完整性、可审查性等内容。Linux 系统服务器作为目前应用较为广泛的网络操作系统，保证其网络安全性非常重要。登录认证是现阶段的重要环节，是保证网络安全的关键屏障，但从实际上看，也是网络安全性能最低的部分。文件系统是操作系统中至关重要的软件结构，负责文件的管理和存储，也是最常被木马和黑客所利用的区域。除此之外，Linux 系统服务器网络安全中经常会出现漏洞和后门，这也是主要的攻击目标。只有基于搭建完成的系统落实安全策略、完善安全机制，才能够真正保证服务器安全。因此，本文针对Linux 系统服务器的网络安全机制展开分析，构建一个具有较高应用性能和安全可靠性的操作系统[1]。

2 Linux系统服务器网络安全防范的策略方式

Linux 系统服务器是近几年来出现的一个全新的开放源代码，想要全面保证网络安全，抵抗黑客等外部攻击，就要全面落实安全防范。常见的安全防范对策包括以下几种：

（1）详细设置内部用户权限。资源是Linux 系统服务器中的核心关键，在开设内部用户账号时，要仔细设置用户的权限。按照“最小权限”原则，给予每一个用户特定的访问权限，虽然会在一定程度上加重系统管理人员的管理工作，但也要坚持。

（2）确保用户口令文件安全。对于Linux 系统服务器而言，口令是最为危险的地方，因此，确保用户口令文件安全是极为重要的。除了基本的安全口令之外，要适当增加口令的长度和复杂程度，最大程度降低口令危险。不仅如此，如果用户口令出现问题，要立即要求客户进行修改[2]。

（3）加强系统运行监督控制。Linux 系统服务器在实际运行过程中，会产生大量的信息，对这些网络系统运行状况进行监控，收集运行记录数据，可以更好的掌握网络运行状况。比如：对过往记录的运行数据进行分析，能够可以发现网络活动，从而有针对性的采取措施，在入侵的第一时间识别危险，避免同类型安全事故再次发生。

（4）合理划分子网及防火墙。防火墙是网络安全机制中最为最基础的内容，在Linux 系统服务器中也要合理划分子网、设置防火墙，为后续的安全管理奠定基础。根据应用效果上看，这一方式可以有效延缓，甚至阻止黑客入侵。

（5）定期展开网络安全检查。Linux 系统服务器是动态化运转的，相应的网络安全管理也应该实现实时变化。Linux 系统运维人员在完成了相应的安全机制设计后，要定期对系统展开安全检查，并且有针对性的考察系统能力，发现系统中的漏洞，从而展开补救。

（6）全面落实数据备份工作。除了上述几个方面之外，还可以全面落实数据备份工作，最大程度降低数据丢失带来的危害。任何一个系统都无法做到完全安全，Linux 系统服务器也不例外，可以利用磁带机、光盘刻录机、双机热备份等技术进行数据备份。即使系统遭受破坏，也能够通过备份的数据信息在短时间内恢复正常工作，将损失降到最低。

3 Linux系统服务器网络安全机制的具体内容

在Linux 系统服务器网络安全机制中主要可以分为三个部分，分别为：登录认证、文件系统、操作系统。

3.1 登录认证

对于Linux 系统服务器而言，其在实际应用中，用户名、密码面临着被暴力破解、泄露、丢失等方面的问题。在登录认证的过程中，只有账户和账户组被真正用于服务器管理阶段，才能降低安全性风险。现如今，绝大部分Linux 系统中拥有多种不同的账户和账户组。这就需要在实际应用过程中，重新建立账户和账户组，删除不必要的账户和账户组。还需要注意的是，默认账户和账户组非常容易被黑客利用想要提高系统安全性，如：adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers 等。在Linux 系统服务器在进行运维远程工作时，还可以采用密码认证方式、密钥认证的方式，最大程度保证系统安全。综合对比了两种登录方式的效果，最终采用了密钥认证方式，此种方式不仅节省了工时，也让Linux系统服务器更加安全。除此之外，在实际应用过程中，要对服务器进行全面的分析，包括具体调度策略。常见的调度策略有四种，分别为：轮转调度、加权轮转调度算法、最小连接调度、加权最小连接算法。比如：Linux 系统服务器实现了三层负载均衡技术，最大程度保证所有调度工作可以在操作系统核心空间内部完成，降低调度开销的同时，切实提高文件的安全性[3]。

3.2 文件系统

文件系统的网络安全机制可以分为两个方面，分别为：文件系统安全性以及文件权限检查和修改。对于Linux 系统服务器而言，运维人员可以利用chattr 命令改变文件或者目录属性，以此提高操作系统整体的安全性。比如：在升级软件的过程中，可能会出现一些都无法取消的文件或者目录，可以在软件安装、升级的过程中，使用chattr 命令改变文件或目录属性，以此保证日志轮换操作正常进行。但需要注意的是，在实际应用的过程中，需要结合Linux 系统服务器实际情况，建立切实可行的文件和目录属性。从实际应用效果上看，chattr 命令在Linux 系统服务器中可以提高文件安全性，但是该技术在实际操作过程中并不能全部适用，一些目录无法被这一命令保护。比如：根目录在实际应用过程中，不能够具有不可修改属性，否则会对整个系统造成影响。因此，在Linux 系统服务器应用安全性设置的过程中，要辩证的选择重要性的文件进行保护，一些无法适用的文件目录则通过其他方式进行保护。在Linux 系统服务器中保存着大量的文件，这些文件的权限直接影响着服务器的安全性，必须要情况下，要对文件的权限进行适当修正，以此保证服务器安全。比如：服务器运维人员先要了解具有写权限的文件和目录，同时确定含有“s”位程序，此类型可执行文件对服务器安全具有一定的负面影响，必须要提前进行确认。而后还要进一步检查服务器中的SUID 和SGID，确定特殊权限具体的文件访问控制列表，借此提高服务器安全性。

3.3 操作系统

操作系统中非常容易出现后门、漏洞，一旦被木马和黑客利用，就会对操作系统的安全运行带来极大威胁，因此，必须要及时对后门和漏洞进行修补。对于正版操作系统而言，软件厂商会定期对后门和漏洞提供补丁程序，完成修补。因此，作为Linux 系统服务器的运维人员只需要在实际发展过程中对服务器的系统进行修补，保证操作系统的安装。

4 Linux系统服务器网络安全机制的辅助内容

在完成Linux 系统服务器网络安全机制的基础设置后，还需要进一步完善相应辅助内容，全方位保护操作系统安全。

4.1 服务器监督控制

监督控制的主要作用在于实现对服务器的动态化管理，确保工作人员可以在第一时间了解服务器的工作状态。现如今，市面上很多开源软件和付费软件都提供了最基本的服务器监控功能，借助软件可以对在服务器的运行软件实现智能化分析，如：服务器报表、曲线图、报警等。在设计Linux 系统服务器网络安全机制的过程中，可以结合软件的实际情况，有针对性的选择监控软件。以Cockpit管理软件为例，作为一款基于Web 的服务器监控管理工具。在实际应用过程中，可以以峰值图的方式给运维人员展现出当前的运行状况，并且保存相应的日志信息、服务信息、账户信息，为后续的研究奠定基础。此外，在Linux系统服务器中也拥有很多监控服务器，最常见的命令包括：命令top 和vmstat，前者可以监控CPU 运行状态，后者则可以的获取服务器的内存、进程、内存分页等信息。综合来看，在开展服务器监督控制的过程中。可以将外部监控软件和内部操作系统命令进行充分融合使用，可以及时处理服务器运行过程中可能出现的故障和安全事故。

4.2 服务器远程维护

一般情况下，服务器都会被存放在专用机房中，因此日常运维都会采用远程方式实现。在运维过程中，考虑到网络安全性，并不对外网进行远程维护，在进行内网维护的过程中，可以随机选择一台内网PC 机作为维护用机，展开服务器维护工作。比如：可以采用从外网对内网进行维护的方式，以此将服务器和外网隔离开来，从最大程度保证服务器网络安全。TeamViewer 作为一种远程控制软件，可以用于外网连通内网维护使用。确定安全策略后，还要选择远程登录方式。Telnet 是早前较为常见的远程登录方式，但是在登陆时用明文传输口令和数据，安全性较低，非常容易被黑客利用，攻击服务器。目前，保密性、安全性较高的登录方式中，SSH 服务方式较为常见，对于Linux 系统服务器而言，会采用SecureCRT、putty、Xshell 等工具软件，这些软件的密钥认证方式都是基于SSH服务方式实现的。根据前文分析可知，防火墙是目前最为常见的安全屏障，是服务器的第一道关卡，可以有效防止非法访问的侵入。比如：美国国家安全局就是利用SELinux 实现的强制访问控制，这也是Linux 系统服务器中最为接触的安全子系统。综合SELinux 和防火墙这两种功能，可以有效阻止恶意攻击，能够保护服务器不受攻击和破坏，继而保证服务器安全。除了上述内容之外，Linux 系统服务器网络安全机制中，合理使用SU、SUDO 命令也是较为常见的一种措施。其中，SUDO 命令需要进行授权认证，因此，对于超级用户而言，root 较为安全。

5 Linux系统服务器网络安全机制的配置实例

通过前文分析，对Linux 系统服务器网络安全机制有了全面的了解，在此基础上，通过具体案例，进一步介绍安全机制的配置情况。

某网站的文件中包含了一个名为/popgame 的目录，且该目录开放给网络文件系统的每一个客户机，目录中的文件可以被下载共享。已知，该Linux 系统服务器IP 地址为：202.168.10.8。那么想要保证该Linux 系统服务器的网络安全，就要对其进行配置，具体的配置流程如下：

最为主要的任务就是，编写服务器端的/etc/exports 文件。该目录最大的权限只有共享、下载这两个方面，不具备创建目录、修改文件等功能，如果在编写过程中，提供了这些功能，可能会出现极大的安全隐患。因此，在编写时不能对原文件上已经有的内容进行修改，只需要将保护性、安全性内容加入其中。避免在完成安全性配置的同时对其他系统配置造成负面影响，导致文件系统的安全性不增反降。最终编写完成的内容为：

202.168.10 .8:/popgame /mnt/game nfs ro 0 0

借助这一编码，客户机用户就可以通过访问本地目录的方式，来共享原目录中的文件。与此同时，还需要进一步完成后续配置工作，确保每一台客户机上都具备Linux 系统服务器网络安全配置。需要注意的是，如果想要在客户机上挂接Linux 系统服务器网络安全系统，需要先关闭客户机上的防火墙，在完成安全操作系统的安装后，就能够放心的使用网络资源[4]。

6 总结

综上所述，在研究Linux 系统服务器以及网络文件的安全性问题时，需要从实际出发，科学的完成安全性配置。从网络发展现状来看，网络中的安全问题始终存在，而文件的安全性保障是重中之重。相比较传统操作系统而言，Linux 系统安全性和整体性都相对较高，基于此进一步构建安全操作系统可以让网络资源得到真正保护。