Linux服務器安全問題的分析與研究

胡冠宇　楊明

摘 要：Linux系統作為主流的網絡服務器平臺，正面臨著日益嚴峻的安全問題，各種攻擊和漏洞給企業帶來了巨大的損失。本文針對Linux服務器的安全問題，分析并總結了Linux服務器存在的安全隱患，研究了在Linux系統上的常見的攻擊手段。最后，本文結合實際經驗提出了一些有效的防護措施。

關鍵詞：Linux服務器；安全隱患；攻擊；防護措施

中圖分類號：TP393.0 文獻標識碼：A

Abstract：Linux system as a mainstream network server is facing increasingly serious security problems，various attacks and vulnerabilities impose devastating losses on businesses.In this paper，we analyze and summarize the security risks of the Linux server according to the safety problem，and researching the familiar attack methods in Linux system.Finally，we represent some effective protective measures combining with the practical experience.

Keywords：Linux server；security risks；attack；protective measures

1 引言（Introduction）

隨著信息技術的廣泛應用，承載企業重要資料和信息的服務器扮演著極為重要的角色，很多企業和單位都搭建了服務器，一旦服務器受到破壞或發生故障，將會給企業帶來巨大的經濟損失，所以服務器的安全是十分重要的。

目前，由于很多具有攻擊性的程序，如病毒、木馬等大多是針對Windows系統開發，故Linux系統一直被認為是安全穩定的，很多大型的網站和公司都傾向于使用Linux操作系統作為服務器平臺。但是安全總是相對的，目前針對Linux系統的入侵和攻擊手段愈來愈多，Linux服務器本身的漏洞也愈來愈多，Linux服務器的安全風險正在日益增長，如何應對千變萬化的攻擊并保證Linux服務器的安全，已成為至關重要的課題。

本文將詳細分析常見的Linux服務器安全隱患和攻擊手段，并提出一些具體的防護措施。

2 Linux服務器的安全隱患（The security risks of

Linux server）

我們將Linux服務器的安全隱患總結為以下三點：

（1）Linux系統自身的安全漏洞；

（2）Linux服務的安全隱患；

（3）Linux的網絡安全隱患。

下面詳細分析這三點隱患。

2.1 Linux系統自身的安全漏洞

任何系統都不是絕對完美的，Linux系統也是如此，隨著Linux應用的復雜化和開源化，Linux操作系統自身的漏洞也逐漸增多，我們將其分為以下幾點：

（1）Linux賬號漏洞

Linux賬號漏洞也可以稱為權限提升漏洞，這類漏洞一般都是來自系統自身或程序的缺陷，使得攻擊者可以在遠程登錄時獲得root管理員權限。以RedHat系統為例，其某個版本曾經存在賬號漏洞，使得黑客入侵系統時通過執行特定的腳本可以輕松獲得root級別的權限。此外，如果普通用戶在重啟系統后通過單用戶模式進入Linux系統，通過修改Passwd賬號文件，也可以獲取root權限。

（2）Linux文件系統漏洞

Linux文件系統的安全保障是靠設置文件權限來實現的。Linux的文件權限包括三個屬性，分別是所有者，用戶組和其他人的權限，權限包括讀、寫、執行、允許SUID、允許SGID等。黑客會利用SUID和SGID獲得某些程序的運行權限。另外黑客還可能修改一些可執行文件的腳本，讓用戶在登錄時執行從而達到破壞系統的目的。

（3）Linux內核漏洞

系統內核出現漏洞往往是很危險的，Linux的內核短小精悍、穩定性和擴展性好，但是其內核的漏洞卻不少。例如2003年9月份被發現的do_brk（）邊界檢查不充分漏洞可以使攻擊者可以繞過系統安全防護，直接對內核區域進行操作。再比如Linux內核中的整數溢出漏洞會導致內核中的數據被破壞，從而使得系統崩潰。

2.2 Linux服務的安全隱患

Linux系統上的服務種類繁多，其中網絡服務最為重要，網絡服務主要用來搭建各種服務器，下面我們就針對不同的網絡服務探討Linux系統的安全隱患。

（1）Apache服務的安全隱患

Apache是最為常見的開源WEB網站服務器程序，如果Apache服務出現漏洞將會對網站造成極大的威脅。目前Apache服務漏洞主要包括拒絕服務攻擊、文件描述符泄露、日志記錄失敗等問題。

一些Apache服務的模塊也可能存在漏洞，例如Apache的線程多處理模塊（MPM）和Apache mod_cache模塊中的cache_util.c可以引發服務器系統的崩潰。

（2）BIND域名服務的安全隱患

很多Linux域名服務器都采用BIND（Berkeley Internet Name Domain）軟件包，據統計互聯網上的DNS服務器有一半以上用的是有漏洞的BIND版本。常見的BIND漏洞有：solinger bug，黑客可以利用其讓BIND服務產生間隔為120秒以上的暫停；fdmax bug，可以造成DNS服務器的崩潰；nxt bug，允許黑客以運行DNS服務的身份（默認為root）進入系統。endprint

（3）SNMP服務的安全隱患

SNMP的全稱是簡單網絡管理協議，Linux中SNMP服務的作用是管理監控整個核心網絡，黑客利用SNMP的漏洞可以控制整片區域的網絡。常見的SNMP漏洞有：Net-SNMP安全漏洞，黑客通過發送畸形的SNMP報文使服務器程序發生溢出，而導致系統崩潰[1]；SNMP口令漏洞，SNMPv1版本使用明文口令，默認情況下系統自動開啟并使用默認口令public，這是很多管理者經常忽略的問題[2]。

2.3 Linux的網絡安全隱患

Linux作為網絡操作系統，要頻繁的與網絡交互數據包，很多數據包經過偽裝進入系統內部，會給系統帶來破壞。較為常見的Linux網絡安全隱患有：

（1）口令隱患

口令是操作系統的首道屏障，黑客入侵服務器的第一步往往就是破解口令。Linux操作系統的口令以文件的形式保存在系統中，例如RedHat版本中口令保存在/etc/passwd中。如果文件中存在不設口令或者弱口令的賬號，就很容易被黑客破解。

（2）TCP/IP隱患

TCP/IP協議棧是網絡操作系統內核中的重要模塊，從應用層產生的網絡數據都要經過TCP/IP協議的逐層封裝才能發送到網絡中去。當協議棧收到一些特殊的網絡數據時就會發生異常。例如TCP模塊收到SYN報文后，會回復一個ACK報文并稍帶自己的SYN序號，這時如果黑客再回復一個RST報文，服務器就會重置TCP信息，這樣黑客就可以在不暴露自己信息情況下對服務器進行端口掃描。

還有一些黑客給服務器的某個端口發送大量的SYN報文，而自己不回復確認，這樣就會消耗服務器的資源而造成其癱瘓[3]。

3 針對Linux服務器的攻擊手段（The means of

attack to Linux server）

在信息安全領域，攻擊是指在未經授權的情況下進入信息系統，對系統進行更改、破壞或者竊取信息等行為的總稱。在Linux服務器中，攻擊行為主要可以概括為：

（1）口令入侵：對于一些采用弱口令的賬戶，黑客可以很輕松的通過暴力破解窮舉口令以獲得賬戶的權限。目前有很多口令破解的工具，例如字典破解工具將常見的口令和有意義的詞組錄入到字典庫中，破解的時候優先選擇這些常見的口令，可以大大的減少窮舉的時間。另外，隨著計算機處理能力的發展，口令破解對于普通人來說已經不是難事，如果口令長度不長，組合不復雜，破解時間都在可以接受的范圍內。

（2）木馬病毒：木馬病毒是指植入到計算機系統中可以破壞或竊據機密信息的隱藏程序，木馬一般常見于客戶端主機，但也可能潛伏在Linux服務器中，例如Linux.Plupii.C木馬可以通過系統漏洞傳播，打開服務器的UDP端口27015以允許黑客遠程控制服務器。

（3）端口掃描：端口掃描是黑客入侵服務器的第一步，通過端口掃描，黑客可以獲知服務器的相關信息。端口是應用層網絡進程的標識，入侵計算機系統的實質是入侵系統中的進程，所以獲知端口是否開啟后才能實施真正的攻擊。端口掃描的原理是利用系統的網絡漏洞，繞過防火墻并獲得服務器的回復，例如常見的S掃描就是利用TCP建立連接時三次握手的漏洞，在最后一次握手時發給服務器重置命令，在獲得服務器端口信息后讓服務器刪除和自己相關的連接信息。

（4）拒絕服務攻擊：拒絕服務攻擊是指通過某種手段使得服務器無法向客戶端提供服務，拒絕服務攻擊可能是最不容易防護的攻擊手段，因為對于服務器而言向外提供服務的形式是開放的，我們很難判斷請求服務的主機是否為入侵者，當大量的主機發送請求時，服務器就會因為資源耗光而陷入癱瘓。

（5）緩沖區溢出：緩沖區溢出是指經過精心設計的程序將系統內執行程序的緩沖區占滿而發生溢出，溢出的數據可能會使系統跳轉執行其他非法程序或造成系統崩潰。緩沖區溢出的原因是程序員編寫程序時沒有檢查數據長度造成的。

（6）僵尸網絡：僵尸網絡是指受黑客控制的大量主機，這些主機可以同時對一個服務器發起攻擊，而自身卻不知情。這種攻擊手段是很隱秘的，很難查到攻擊者的真實身份。

（7）網絡監聽：網絡監聽是指通過某種手段截獲主機之間的通信數據以獲得口令等重要信息。一些常見網絡監聽工具可以解析網段內的所有數據，此時如果主機之間的通信是明文傳輸的，黑客就可輕而易舉地讀取包括口令在內的所有信息資料。

（8）網絡欺騙：網絡欺騙包括IP地址欺騙、WWW欺騙、DNS欺騙、ARP欺騙等一系列欺騙方法。其主要目的是通過虛假的網絡信息欺騙目的主機，已達到擾亂通信的目的。

4 Linux服務器的防護措施（The protective

measures of Linux server）

針對以上漏洞和攻擊，Linux服務器的防護措施主要可以分為系統安全防護和網絡安全防護兩類，下面逐一介紹：

4.1 Linux系統安全防護措施

（1）系統賬號及口令安全：對于網絡服務器而言，很多賬戶都是不必要的，賬號越多，系統就越易受攻擊。所以應該最大限度的刪除多余賬戶，并對用戶賬號設置安全級別，以保證每個賬號的權限都被限制在被允許的范圍內。

另外還要確保每個已有賬戶都設置了復雜度高的口令，口令的復雜度設置可以通過修改/etc/login.defs文件來實現，其中的PASS_MAX_DAYS表示密碼最長的過期天數，PASS_MIN_DAYS用來設置密碼最小的過期天數，PASS_MIN_LEN表示密碼最小的長度，PASS_WARN_AGE表示密碼過期后的警告天數。

口令文件的安全性也至關重要，我們可以通過chattr命令給口令文件加入只讀屬性：chattr+i/etc/passwd，這樣口令文件就不能隨意被修改了。endprint

（2）文件安全設置：Linux的文件系統提供了訪問控制的功能，訪問控制的客體是文件和目錄，主體是用戶，包括文件或目錄的所有者，用戶所在組及其他組。訪問控制的操作包括讀（r）、寫（w）和執行（x），管理員根據不同的權限設置關于主體的能力表以及關于客體的訪問控制列表。

（3）系統日志：Linux服務器的系統日志也是應該被關注的設置，因為日志文件詳細的記錄了系統發生的各類事件，例如系統的錯誤記錄，每次用戶登錄系統記錄，各種服務的運行記錄以及網絡用戶的訪問記錄等等。如果服務器遭受到攻擊，管理員可以通過日志追蹤到黑客留下的痕跡，另外，當涉及到法律糾紛時，系統日志經過專業人員提取還可以作為電子證據。

（4）服務安全：Linux服務器中往往開啟了很多服務，首先應該確定的是哪些服務是不必要的，可以通過chkconfig命令關閉系統自啟動的服務。接下來要在必須啟動的服務中找到存在的風險，例如apache服務的目錄瀏覽功能會使訪問者進入網站的根目錄，并能瀏覽其中的所有文件。

（5）安全工具：Linux服務器中帶有很多安全工具方便管理員的使用，例如SSH可以加密傳輸數據，Tcpdump可以用來檢查網絡通訊的原始數據。

4.2 Linux網絡安全防護措施

Linux網絡服務器也采用了傳統的網絡安全防護手段，即防火墻與入侵檢測系統。防火墻是保護內網的屏障，它過濾并分析網絡數據包，阻止有威脅的數據進入；入侵檢測是內網和系統內部的監控器，它分析異常數據并作出報警，有些入侵檢測還會與防火墻聯動，一同保護服務器的安全。Linux系統中的Iptables和Snort是比較成熟的防火墻和入侵檢測系統，下面我們逐一介紹：

（1）防火墻：Iptables，目前使用的最新版本是Linux 2.4內核中的Netfilter/Iptables包過濾機制[4]。Iptables包括三個功能表，分別完成數據包過濾、網絡地址轉換和數據拆分的任務。每個表中有若干規則連：這五個位置也被稱為五個鉤子函數（hook functions），也叫五個規則鏈：PREROUTING（路由前）、INPUT（數據包流入鏈）、FORWARD（轉發鏈）、OUTPUT（數據包出口鏈）、POSTROUTING（路由后），不同的鏈用于不同位置的數據，每個鏈中又可以包含若干條規則[5]。

（2）入侵檢測：Snort是一個免費的輕量級網絡入侵檢測系統。它能兼容多個不同的操作系統平臺，可以用于監視小型網絡或者服務器系統內部的服務，在進行網絡監控時Snort可以將網絡數據與入侵檢測規則做模式匹配，從而檢測出可能的入侵數據，同時Snort也可以使用統計學的方法對網絡數據進行異常檢測[6]。

5 結論（Conclusion）

針對Linux的攻擊手段日益增多，Linux服務器的安全隱患也隨之增大，對于企業而言，總結出一整套有效且規范的防護措施是極為必要的。本文結合實際工作經驗，分析并總結了Linux服務器存在的安全隱患和常見的攻擊手段，提出了一些措施與方法。

參考文獻（References）

[1] 思科系統公司.網絡互聯故障排除手冊[R].北京：電子工業出版社，2002：120-125.

[2] 胡冠宇，陳滿林，王維.SNMP網絡管理安全性研究與應用[J].哈爾濱師范大學自然科學學報，2010，26（3）：95-98.

[3] 劉曉萍.Linux2.4內核TCP/IP協議棧安全性研究[D].中國人民解放軍信息工程大學，2004：10-11.

[4] 董劍安，王永剛，吳秋峰.iptables防火墻的研究與實現[J].計算機工程與應用，2003，39（17）：161-163.

[5] 王波.Linux網絡技術[M].北京：機械工業出版社，2007.

[6] 郭兆豐，徐興元，刑靜宇.Snort在入侵檢測系統中的應用[J].大眾科技，2007（2）：69-71.

作者簡介：

胡冠宇（1982-），男，碩士，講師.研究領域：網絡安全.

楊 明（1980-），男，碩士，講師.研究領域：網絡安全.endprint