淺談Linux系統網絡安全

萬為軍 江西旅游商貿職業學院 330100

淺談Linux系統網絡安全

萬為軍 江西旅游商貿職業學院 330100

Linux是唯一開放源代碼的免費正版軟件，其完美的網絡服務功能較微軟操作系統具有更好的靈活性、穩定性和安全性，采用Linux作為Web網絡服務器的中小企業也越來越多。隨著Linux系統在Internet中的廣泛應用，網絡病毒及黑客攻擊成為服務器信息安全的主要威脅。本文通過分析Linux系統的安全機制，指出了可能存在的安全隱患，給出了相應的安全策略和保護措施。

Linux;W服eb務;安全機制;策略

1、Linux系統的基本安全機制

Linux操作系統提供了用戶賬號、文件系統權限和系統日志文件等基本安全機制，因此網絡系統管理員必須細心設置安全策略。

1.1 賬號安全

在Linux系統中，用戶賬號是由用戶名和用戶密碼組成。系統將輸入的用戶名存放在/etc/passwd文件中，而將輸入的密碼以加密的形式存放在/etc/shadow文件中。在正常情況下由操作系統保護，能夠對其進行訪問的只能是根用戶root和操作系統的一些應用程序。如果設置不當或在系統運行出錯的情況下，這些信息可能被普通用戶得到，非法用戶就能使用“口令破解”的工具去得到加密前的口令。

1.2 文件系統權限

Linux文件系統的安全主要是通過設置文件的權限來實現的。文件或目錄，都有3組屬性，分別定義文件或目錄的所有者，用戶組和其他人的使用權限，而權限為SUID和SGID的可執行文件，在程序運行過程中，會給進程賦予所有者的權限，若被黑客發現并利用就會給系統造成危害。

1.3 合理利用Linux的日志文件

Linux的日志文件用來記錄整個操作系統使用狀況。作為一個Linux網絡系統管理員要充分用好以下幾個日志文件。 / var/log/lastlog文件記錄最后進入系統的用戶的信息，包括登錄的時間、登錄是否成功等信息。這樣用戶登錄后只要用lastlog命令查看一下/var/log/lastlog文件中記錄的所用賬號的最后登錄時間，與管理員登陸記錄對比就能發現該賬號是否被非法盜用。/var/log/secure文件記錄系統自開通以來所有用戶的登錄時間和地點，能給系統管理員提供更多的參考。/v a r/l o g/ wtmp文件記錄當前和歷史上登錄到系統的用戶的登錄時間、地點和注銷時間等信息。

2、Linux網絡系統可能受到的攻擊

Linux是公開源碼的操作系統，比較容易受到來自底層的攻擊，管理員要有安全防范意識，對于Linux網絡系統可能的攻擊采取必要的措施保護系統正常運行。

2.1 “拒絕服務”攻擊

所謂“拒絕服務”攻擊是指黑客采取具有破壞性的方法阻塞目標網絡的資源，使網絡暫時或永久癱瘓，從而使Linux網絡服務器無法為正常的用戶提供服務。非法用戶能利用偽造的源地址或受控的其他地方的多臺計算機同時向目標計算機發出大量、連續的TCP/IP 請求，從而使目標服務器系統癱瘓。

2.2 “口令破解”攻擊

口令（即密碼）安全是保衛自己系統安全的第一道防線。“口令破解”攻擊的目的是為了破解用戶的密碼，從而能取得已加密的數據庫等信息資源。黑客通常利用一臺高速計算機，配合一個字典庫，嘗試各種口令組合，直到最終找到能夠進入系統的口令，竊取數據庫及其他信息資源。

本文分析了金融管理中對于金融風險的有效識別，希望可以給我們國家金融行業的發展提供更加有益的幫助，確保我們國家的金融行業在今后的發展中能夠更好地識別所存在的金融風險。

2.3 “欺騙用戶”攻擊

“欺騙用戶”攻擊是指網絡黑客偽裝成網絡公司或計算機服務商的工程技術人員，向用戶發出呼叫，并在適當的時候需求用戶輸入口令，這是用戶最難對付的一種攻擊方式，一旦用戶口令失密，黑客就能獲取的信息輕易進入資源系統。

2.4 “掃描程式和網絡監聽”攻擊

許多網絡入侵是從掃描開始的，利用掃描工具非法用戶能找出目標主機上各種各樣的漏洞，并利用之對系統實施攻擊。

網絡監聽也是黑客攻擊的常用方法，當成功地登錄到一臺網絡上的主機，并取得了這臺主機的根用戶控制權之后，黑客能利用網絡監聽收集敏感數據或認證信息，以便日后奪取網絡中其他主機的控制權。

3、 Linux網絡安全防范策略

作為Linux網絡系統的管理員，在合理規劃網絡結構的同時，應加強對一般用戶權限的管理和設置，通常采用以下的策略。

3.1 限制一般用戶的權限

為了保護Linux網絡系統的資源，在開設用戶賬號時，仔細設置每個用戶的權限，一般應遵循“最小權限”原則，也就是僅給每個用戶授予完成他們特定任務所必需的服務器訪問權限。這樣做會加重系統管理員的工作量，但為了整個網絡系統的安全還是應該堅持這一原則。

3.2 確保用戶口令文件/etc/shadow的安全

對于網絡系統而言，口令是比較容易出問題的地方，系統管理員要保護好/ etc/passwd和/etc/shadow這兩個文件的安全，非法用戶利用John等程序對/etc/ passwd和/etc/shadow文件進行字典攻擊也無法獲取用戶口令。同樣管理員也要定期用John等程序對本系統的/etc/passwd和/etc/shadow文件進行模擬字典攻擊，發現有不安全的用戶口令要即時修改。

3.3 加強對系統運行的監視和記錄

Linux網絡系統管理員，應對整個網絡系統的運行狀況進行監視和記錄，通過分析記錄數據，能發現可疑的網絡活動，并采取措施預先阻止今后可能發生的入侵行為。

3.4 定期安全檢查

Linux網絡系統的運轉是動態變化的，因此安全管理也是變化的，系統管理員應定期對系統進行安全檢查，并嘗試對自己管理的服務器進行攻擊，如果發現安全機制中的漏洞應即時采取措施補救。

3.5 適當的數據備份

Linux系統管理員，必須為系統制定適當的數據備份，充分利用磁帶機、光盤刻錄機、雙機熱備份等技術手段為系統備份重要數據，在系統一旦遭到病毒破壞或黑客攻擊癱瘓時，迅速恢復工作，盡可能減少損失。

4、加強對Linux網絡服務器的管理

4.1 利用工具，記錄對Linux系統的訪問

Linux系統管理員應利用前面所述的文件和記錄工具記錄事件，定期查看或掃描系統運行的所有信息。及時發現異常并采取相應措施。

4.2 慎用Telnet等服務

在Linux下，用Telnet進行遠程登錄時，用戶名和用戶密碼是明文傳輸的，這有可能被在網上監聽的其他用戶截獲，因此不是特別需要，不開放Telnet服務。

4.3 設置服務器安全

為Linux的Apache、MySql定期更新補丁包，完善老版本的缺陷和漏洞。

4.3.1 Apache安全設置

4.3.2 MySql數據庫的安全配置

MySql是用數據庫名在數據目錄建立建立一個數據庫目錄，各數據庫表分別以數據庫表名作為文件名，擴展名分別為MYD、MYI、frm的三個文件放到數據庫目錄中。合理設置MySql所在目錄和文件的權限防止攻擊者訪問竊取的數據庫信息，MySql默認只允許本機才能連接數據庫，缺省根用戶root口令是空，設置該用戶口令防止非法用戶通過外部機器連接數據庫從而確保外部網絡安全。

10.3969/j.issn.1001-8972.2011.11.060

萬為軍 (1971-)，男，江西南昌人，碩士，江西旅游商貿職業學院 講師 主要從事計算機教學。