Linux网络安全策略及防护措施
1、基于linux的网络安全策略及防护措施随着Internet / Intranet网络的普及,Linux网络操作系统作为服务器的用户也越来越多,这是因为Linux是开源和免费软件,另一方面也是因为Windows NT网络操作系统是微软,Linux系统具有更好的稳定性、效率和安全性。互联网/内联网的大量应用,网络本身的安全面临着巨大的挑战,而信息安全问题,越来越突出。以美国为例,根据联邦调查局公布的统计数据,在美国则高达75亿美元的网络安全问题造成的经济损失每年,一般的互联网黑客入侵平均每20秒发生一次,一般认为计算机网络系统的安全威胁主要来自黑客攻击和计算机病毒2个方面,因此黑客往往能够成功。主要的原因是很多人,尤其是很多网络管理员至少没有网络安全意识,不为网络操作系统的应用,有效的安全策略和安全机制,给黑客攻击的机会。在中国,由于网络安全研究起步较晚,网络安全技术和网络安全人才的需要进一步完善和发展。
我们知道,网络操作系统是一种系统软件用来管理所有的硬件和软件在计算机网络资源,实现资源共享,为整个网络中的用户提供服务,保证网络系统的正常运行,如何保证网络操作系统安全性的网络安全的根本。只有网络操作系统安全可靠,以保证整个网络的安全。因此,它分析了Linux系统的安全机制是非常必要的,找出潜在的安全隐患,并提出相应的安全策略和保护措施。
2、linux网络操作系统的基本安全机制
Linux网络操作系统提供基本的安全机制,如用户帐户、文件系统权限和系统日志文件。如果这些安全机制配置不当,就会造成一定的安全隐患的系统。因此,网络系统管理员必须设置这些安全机制仔细。
2.1 Linux系统用户帐户
在Linux系统中,用户帐号是用户的身份标志,它由一个用户名和密码。在Linux系统中,该系统的用户的名称存储在/等/ passwd文件,并输入密码存储在/ etc /影子在加密表格文件。正常情况下,这些密码和其他信息都被操作系统保护。他们只能访问超级用户(root)和操作系统中的一些应用。但如果配置在一些系统运行错误的情况下是不合适的,这些信息可以由普通用户获得的。反过来,意想不到的用户可以使用类的工具,称为密码破解之前;加密得到密码的工具。
2.2 Linux文件系统权限
Linux的文件系统的安全主要是通过设置文件的权限来实现。每一个Linux的文件或目录有3套属性,定义主文件或目录的权限分开,用户组和其他人的(读,写,可执行,允许SUID SGID,允许,等)。特别注意的是可执行文件的SUID和SGID权限。在程序运行期间,所有者的权限被授予进程。如果黑客被黑客发现并使用,就会对系统造成危害。
2.3合理使用linux日志文件
Linux的日志文件用于记录整个操作系统的使用情况。作为Linux网络管理员,应该充分使用以下日志文件。
2.3.1 / / / var日志lastlog文件
记录,最后进入系统的信息,包括登录时间,登录成功的,等等。如果用户登录,查看最后登录时间的帐户记录在/ var /日志/ lastlog用lastlog命令文件,然后用自己的机记录相比较,我们可以看到无论是账号被盗黑客。
2.3.2 / / / var日志文件安全
记录系统开放后,所有用户的登录时间和位置可以为系统管理员提供更多的参考。
2.3.3 / / / var wtmp文件日志
记录当前和历史上登录到系统的用户的登录时间、位置和注销时间,您可以使用最后一个命令查看它。如果要清除系统登录信息,只需删除该文件,系统将生成新的登录信息。
3,Linux网络系统可能受到攻击和安全防范措施。
Linux操作系统是一个开放源代码的操作系统,因此更容易受到来自底层的攻击,系统管理员必须有安全感,对系统的安全性采取一定的安全,需要一周inux胧芴系统。系统管理员,它了解Linux网络系统可能受到的攻击和采取必要的措施来保护自己的系统是特别重要的。
3.1 Linux网络系统可能遭受的攻击类型
3.1.1 服务拒绝攻击;
所谓拒绝服务攻击是指黑客;采取破坏性的方式来阻止目标网络的资源,从而使网络暂时或永久瘫痪,使Linux网络服务器不能提供正常的用户。例如,黑客可以使用在其他地方伪造源地址或多计算机在同一时间发送大量的TCP / IP连续请求到目标计算机,使目标服务器系统瘫痪。
3.1.2 破解密码攻击;
密码安全是国防保卫自己的系统安全的第一道防线。密码破解攻击的目的是破坏用户的密码,这样加密的信息资源可以得到。例如,黑客可以利用高速计算机和字典库合作,尝试密码的各种组合,直到最终找到密码可以进入系统、开放的网络资源。
3.1.3 欺骗用户攻击
是指欺骗用户;攻击黑客伪装成工程师或计算机网络公司的服务提供商,发布给用户,并要求用户在适当的时候输入密码,这是一种攻击用户最难处理的,一旦密码被泄露,黑客可以使用用户输入账号系统。
3.1.4 扫描和网络监控攻击
许多网络入侵始于扫描。黑客可以通过扫描工具找到目标主机上的各种漏洞,并利用它们攻击系统。
一种常见的网络监控方法和黑客技术,当成功地登录到网络主机上,实现了主机控制的超级用户时,黑客可以通过网络监控收集敏感数据或身份验证信息,从而在对网络中的其他主机进行抢占控制之后。
3.2 Linux网络安全防范策略
从网络的历史来看,网络攻击可能来自非法用户,也可能来自合法用户,因此,作为Linux网络系统的管理员,我们应该时刻警惕外界的黑客攻击,加强对内部网络用户的管理和教育。可以采用以下安全策略。
3.2.1精心为每个内部用户设置权限
为了保护Linux网络资源在内部网络用户开户,仔细设置每个内部用户的权限,一般应遵循最小权限原则;,是只授予每个用户必须完成他们的任务的特定服务器的访问。这将大大增加了系统管理员的工作量,但应遵守这一原则,为整个网络系统的安全性。
3.2.2保证用户密码文件 / /阴影等的安全
对于网络系统,密码容易出问题的地方,作为系统管理员应该告诉用户使用安全的密码设置密码(非数字和其他特殊字符的密码序列中使用非字母)和增加密码的长度(超过6个字符),系统管理员维护 / / /密码等,等/阴影的两个文件的安全,不让无关人员获得的两个文件,这样黑客们使用约翰程序获取用户的密码字典攻击 / / /密码等等 /阴影文件。系统管理员应定期使用约翰和其他程序来模拟 / / /密码等,等日 /阴影文件字典攻击E系统。一旦发现了不安全的用户密码,就必须强制用户立即修改。
3.2.3加强监测和记录系统运行
Linux网络管理员应该监控和记录整个网络系统的运行状态。通过分析和记录数据,可以发现可疑的网络活动,并采取措施防止未来可能发生的入侵,如果攻击已经实现,它可以使用记录数据跟踪和识别入侵系统的黑客。
3.2.4合理划分子网和设置防火墙
如果内部网络要进入互联网,防火墙必须在内部网络和外部网络之间的接口设置,以保证内部网络数据的安全性。对于内部网络本身,为方便管理和IP地址资源合理配置的缘故,我们应该把内部网络分成多个子网,也可以预防或延迟到整个内部网络的黑客入侵。
3.2.5定期检查Linux网络安全
Linux网络系统是动态的,因此,安全管理也不断变化,没有固定的模式,Linux网络作为一个系统管理员,对系统安全策略的设置,应定期安全检查制度,并试图攻击他们自己管理服务器,如果发现安全漏洞的机制立即采取补救措施,而不是黑客。
3.2.6进行适当的数据备份计划,以确保系统完全丧失
没有一个操作系统的操作是百分之一百可靠的,也没有一个安全策略是万无一失作为Linux系统管理员,因此,必须制定适合该系统的数据备份计划,充分利用磁带机、光盘机、热备份技术来保存数据备份系统,使系统一旦被破坏或黑客攻击瘫痪,能迅速恢复工作,把损失减少到最小。
4。加强linux网络服务器的管理,使用各种工具
4.1使用记录工具记录对Linux系统的访问。
Linux系统管理员可以记录事件的记录文件和记录的工具,前面提到的,可以读取或扫描记录每一天,记录所有的系统上运行的信息。如果平迅身畔花园箍拍口袋书:通过鹰喙的霓虹灯燃烧起来,如果他的咳嗽厝北中飞悦,床扇长枝
4.2小心地使用Telnet服务
在Linux,当使用Telnet远程登录,用户名和用户密码是以明文传送的,可被其他用户在互联网上。另一个危险是,黑客可以使用telnet登录到该系统,如果他得到超级用户密码,对系统的破坏将是灾难性的。因此,不如果不是特别必要打开Telnet服务。如果我们要打开telnet服务,我们应该让用户远程登录与专用工具和软件,这样我们可以发送加密的用户密码在互联网上以免被黑客截获传输过程。
4.3合理设置NFS服务和NIS服务
NFS(网络文件系统)服务允许一个工作站共享一个文件系统,输出由一个或多个服务器通过网络。但低配置NFS服务器,用户可以读取或更改存储在NFS服务器的文件,无需登录,使得NFS服务器受到攻击。如果你必须提供NFS服务,确保,Linux NFS服务器支持安全的基于RPC(远程过程调用DES(数据安全),为了使用加密标准)加密算法和密钥交换指数(指数密钥交换)技术来验证用户身份的每个NFS请。
NIS(网络信息系统)服务是一个分布式的数据处理系统,使网络中的计算机共享passwd文件组的文件,通过网络表文件和其他主机共享系统资源。通过NIS服务和NFS服务,在整个网络上不同的工作站在网络数据的操作,就像操作在一个单一的计算机系统资源的使用,这个操作过程对用户是透明的。然而,在NIS服务的漏洞。在NIS系统,恶意用户可以使用自己的程序模拟ypbind Linux系统中请求的响应,National Intelligence Service,截获用户的密码。因此,NIS用户必须使用ypbind安全选项和不接受National Intelligence Service响应的端口号小于1024(非特权端口)。
4.4仔细配置FTP服务
FTP服务是如前所述的Telnet服务一样,和用户名和用户密码是以明文传送的,因此,对系统的安全性、配置的 / /和表等文件必须被禁止,根,通过仓,守护进程,ADM等特殊用户的远程访问FTP服务器,一些无法通过 / / ftphosts等设置连接到FTP服务器,如果系统是开放的、匿名的FTP服务,任何人都可以下载文件(有时你可以上传文件),因此,除非特殊需要,一般应禁止匿名FTP服务。
4.5合理设置电子邮件服务,如pop-3 Sendmail
一般pop-3服务,电子邮件用户的密码是以明文形式发送到网络。黑客可以很容易截获用户名和用户密码。为了解决这个问题,我们必须安装一个pop-3服务器支持加密密码,即支持验证的POP命令,以便用户可以对密码进行加密之前,发送密码到网络。
在sendmail邮件服务器程序的旧版本的安全风险。为了保证邮件服务器的安全,我们应该安装Sendmail服务器软件,消除了安全隐患的最新版本。
4.6加强www服务器的管理,提供安全的www服务
当一个Linux系统是基于网站的建立,通过Web服务器对绝大多数用户来说,访问一个使用WWW浏览器的网络,所以要特别注意对Web服务器的安全性,基于HTTP协议的Web服务器软件,特别注意CGI脚本(公共网关接口),CGI脚本是可执行的,该Web服务器的cgi-bin目录下的通用存储、Web服务器的配置,以确保CGI可执行脚本只存储在cgi-bin目录,这样可以保证脚本不会影响其他安全目录。
4.7最好禁止提供手指服务。
在Linux系统下,使用手指命令可以显示当前登录的用户在本地或远程系统的详细信息,黑客可以利用这些信息来增加机会入侵系统,系统的安全性,最好是禁止指服务,这是规定,从 / usr / bin.if手指指服务删除命令是要保留的,应该是指文件重命名,或者权限的修改只允许根用户执行命令的手指。
5、结束语
由于Linux操作系统的广泛使用,开源的,所以是广大计算机用户的操作系统,以及Linux配置本身是非常复杂的,根据安全策略和保护的前置机制,将风险最小化,但不可能完全消除安全隐患,为Linux系统管理员,头脑必须有安全感,对系统定期进行安全检查,发现漏洞,及时采取措施,不给黑客。文中所述的安全措施已在红旗Linux 1和蓝点Linux验证,并应用到我们的图书馆计算机集成管理系统,其中确保安全稳定运行计算机集成管理系统在我馆的应用。