基于linux操作系統的網絡服務器安全管理

摘 要:作為一個優秀的網絡操作系統，linux在網絡服務器市場占據了重要的地位，保證其網絡安全是許多網絡管理者的重要任務。為保證服務器的正常使用，我們進行系統安全管理，最大限度的保證系統安全。

關鍵詞:linux操作系統 網絡安全管理 網絡服務器

中圖分類號:TP309文獻標識碼:Ａ文章編號:1674-098X(2011)04(a)-0017-01

Linux是一種可以運行在PC機上的免費的類UNIX操作系統。最早是由計算機愛好者Linus Torvalds在1991年開發出來的，自Linux問世以來，一直受到世界程序愛好者的青睞，影響力極高。目前，Linux在高端的服務器市場占有很大的份額， 與價格昂貴的unix和windows系列網絡操作系統相比，linux具有無可比擬的優勢。

1 Linux操作系統的特點

Linux作為類Unix操作系統，師承Unix，且性能更優，其主要特點為:

1.1 兼容各種Unix標準

Linux是一個兼容各種Unix標準的多用戶、多任務、具有復雜內核的操作系統，而windows操作系統直到NT才開始支持搶占調度的多任務。Linux能運行主要的Unix工具軟件、應用軟件和網絡協議，既能在價格昂貴的高性能工作站上運行，也能在廉價的PC機上運行。

1.2 良好的開發性

是一個免費操作系統，整個系統核心、所有的驅動程序、開發工具包和應用軟件源代碼都是公開的，使用者都可以從網絡上下載獲得，進行開發拓展。

1.3 平臺適應性強

可以運行在目前主要的各種類型的處理器芯片上，具有很強的平臺適應性。

1.4 內核可修改

系統內核可完全按照用戶的需求，對其功能模塊重新設計配置，打造屬于自己的網絡操作系統。

1.5 穩定性好

全32位操作系統，穩定性好。不需重新啟動便可以打開或關閉系統功能，而windows系統則稍有變化需要重新啟動系統。

2 Linux系統的網絡及服務安全技術

作為一個網絡操作系統，Linux提供了眾多的網絡信息服務，為保證服務信息不被破壞和泄露，L系統提供了各種內嵌的安全技術服務，如網絡安全技術、服務安全技術等。

2.1 Linux系統的網絡安全技術

2.1.1 主機安全

為保證主機安全，使用TCP_WRAPPERS阻止和限制入侵者從特定的機器入侵系統，來保護服務器的安全，使其免受外部的攻擊。通過配置hosts.deny和hosts.allow文件實現。默認情況下，Linux允許所有的服務請求。在hosts.deny文件中加入“ALL:ALL@ALL，PARANOID”以禁止所有計算機訪問配置的服務器，然后在hosts.allow文件中逐個加入允許訪問服務器的計算機。

2.1.2 防火墻

通過防火墻提供的訪問控制、審計、抗攻擊及其他附屬功能，可阻止非授權用戶進入、離開、穿過網絡或主機系統，采用系統附帶的安全工具和專用的硬件防火墻來實現主機系統及網絡安全，通過適當配置可有效地限制、保護系統以及控制局域網范圍內的訪問。

2.1.3 端口檢測

網絡連接是通過開放應用端口來實現的，若減少開放的端口，攻擊者成功的機會就會大大降低。采用端口檢測程序或專門的入侵檢測系統來檢測掃描并阻止入侵者，關閉無用的端口。

2.2 Linux操作系統的服務安全技術

在Linux系統中對不同的服務有不同的安全認證方式，采用了一種全新的認證方式，即:可插式認證模塊。它通過提供一些動態鏈接庫及統一的API程序，將系統提供的服務和服務的認證方式分開，使系統管理員可以靈活地根據需要為不同的服務配置不同的認證方式，且無需更改服務程序，也便于向系統中添加新的認證手段。系統管理員通過PAM配置文件指定什么服務具體采用何種認證方法，同時取消不使用的服務，限制一般用戶添加或刪除服務的權限，對安全性低的服務進行重點監控。

3 Linux系統服務器的安全管理

Linux系統本身是穩定和安全的，可以說，它是最安全的系統之一。利用一定的安全措施，我們可以使Linux服務器免受來自外部網絡及內部網絡的雙重攻擊。

3.1 給BIOS設定引導口令

修改主機的CMOS設置，禁止從軟盤啟動，并且給BIOS加上密碼，來提高系統的安全性。禁止從軟盤啟動，可以阻止別人用特殊的系統啟動軟盤啟動你的計算機，保證系統安全;而給BIOS加上密碼，可以防止有人改變BIOS的參數，使入侵者不能從軟盤啟動或不用輸入口令就可以引導計算機。

3.2 確保用戶口令文件/etc/shadow的安全

對網絡操作系統而言，口令是比較容易出問題的地方，作為linux系統管理員應告訴用戶在設置口令時要使用安全口令，比如數字、字母、字符結合起來，并適當增加口令的長度，定期更改口令。系統管理員要保護好shadow文件的安全，不讓無關的人員獲得這個文件。安裝完Linux系統之后默認的最小口令長度為5，通過編輯shadow文件，把最小口令長度由5改成8強制用戶使用8個字符以上的口令。因破解口令比較耗費時間和資源，所以讓口令文件難于破解，這樣即使黑客獲取口令文件也不能輕易破解。

3.2 確保root賬號的安全

root賬號是Linux系統中享有特權的賬號，具有管理員的權限。Root賬號是不受任何限制和制約的，可能會因為敲錯了一個命令，導致重要的系統文件被刪除。因此，使用root賬號的時候，要非常小心，以免造成誤操作。通常情況下不要使用root賬號登錄，系統管理員千萬不要在別人的計算機上用root登錄自己的服務器。

3.4 禁止系統對ping命令的反應

禁止Linux系統對ping請求做出反應，可將計算機的網絡安全風險降到最小，因為沒人能夠ping你的服務器并得到任何反應。TCP協議本身有很多的弱點，黑客可以利用一些技術，把傳輸正常數據包的通道用來偷偷地傳送數據。將系統設置對ping請求沒有反應，就很好的避免黑客利用其漏洞來攻擊你的機器。

4 結語

只要系統一旦接入因特網，就會存在遭受各種攻擊的威脅，盡管Linux被認為是一個安全的系統，它仍然存在許多漏洞，作為一個系統管理員，必須熟練的掌握其下安全防范工具，吸收先進的網絡安全技術，才能真正構建棄個安全的網絡平臺。另外，由于其具有的開放性，使得新的漏洞和攻擊方法會不斷出現，新的內核程序和補丁出現的速度也較快，經常更新和升級系統也是實現網絡安全的重要措施。

參考文獻

[1]中國高等職業教育技術教育研究會. Linux操作系統[M].高等教育出版社.

[2]姜中華.Red Hat Linux 9系統管理員完全學習手冊[M].科學出版社.

[3]洪英 ．Linux中帳號的安全管理方法 [J]．科技創新導報，2008，4:12．

[4]劉興亮，李秀華．嵌入式Linux操作系統實時性的分析與研究 [J]．科技創新導報，2008，4:17．