基于Linux系統的計算機網絡安全管理與攻防對策

王承毅

摘 要：Linux系統的研發與應用，為計算機網絡系統發展帶來新的機遇與挑戰。Linux系統內部開源型、自由型的運營模式為計算機設備與網絡系統搭建對接平臺，以保證操作人員可通過系統來對網絡資源進行定向搜查。但從網絡運營體系來講，安全風險問題一直是技術人員的攻克難點，網絡信息的動態化運行將嚴重增加網絡安全體系的防控負擔，令計算機使用者面臨數據信息泄漏的風險。基于此，本文以Linux系統為出發點，指出計算機網絡安全管理中存在的問題，并對網絡體系下的攻防對策進行深度分析。

關鍵詞：Linux系統;計算機網絡;安全管理;攻防對策

中圖分類號：TP393.08文獻標識碼：A文章編號：1003-5168（2019）29-0032-03

Computer Network Security Management and Attack and

Defense Countermeasures Based on Linux System

WANG Chengyi

（School of Science， Jiangsu University of Science and Technology，Zhenjiang Jiangsu 212003）

Abstract： The development and application of Linux system brings new opportunities and challenges for the development of computer network system. The open source and free operation mode of Linux system establishes a docking platform for computer equipment and network system， so as to ensure that operators can conduct directional search on network resources through the system. However， from the perspective of network operation system， security risk has always been a difficult problem for technicians to overcome， the dynamic operation of network information will seriously increase the prevention and control burden of the network security system， causing computer users to face the risk of data information leakage. Based on this， this paper took Linux system as the starting point， pointed out the problems existing in the computer network security management， and made an in-depth analysis of the attack and defense countermeasures under the network system.

Keywords： Linux system;computer networks;safety management;offensive and defensive strategies

Linux作為一種開放式、免費式的操作系統，依托于系統內的穩定性、安全性、荷載性和資源利用性等，在行業市場中占據較大的份額[1，2]。在Linux系統的實際應用過程中，用戶可在網絡上查找到系統自身的運行程序、數字化工具等，如halt、shutdown、init和reboot等指令。此等共享資源為用戶對Linux系統的操控提供一定的便利，但同時也為黑客提供攻擊渠道。黑客通過服務響應攻擊、密碼破解攻擊、溢出攻擊、IP地址隱藏攻擊等，可對Linux系統進行大范圍攻擊，對用戶的數據信息資源造成嚴重威脅。為此，技術人員應積極研發有效的防控技術，為用戶本身提供信息安全保障。

1 Linux系統特性論述

Linux作為Unix操作系統的運行平臺，其內控中心為宏內核，對于當前主流操控系統的混合內核來講，宏內核框架以其簡化式信息處理形式維系市場上的受眾比。在發展過程中，Linux系統依托Unix操作系統、網絡系統、GNU計劃等來實現運營。在運行過程中，操作系統內控程序之間的響應時間以毫秒為單位，在高速處理模塊的支持下，可令系統完成任務調度、抽象化管理等。Linux系統支持32位、64位的硬件，在數據信息化的影響，Linux系統也對自身的結構框架進行優化，以確保系統可對數據信息進行高效率處理，令依托于數據信息運營的內控系統不會出現崩潰現象。Linux系統經過1.0、2.0、2.4、2.6的換代升級，具備更優質的操控服務，在網絡用戶優化的條件下，系統流暢度、操控度得到極大的提升，內核式系統迎來更多的用戶。

Linux系統在運行過程中可支持多用戶端操控，其內部模塊化處理形式令各用戶之間的操控行為不會受到影響[3-5]。同時，系統內部的個性化設置模塊可令用戶通過參數設定來滿足自身閱讀需求，在多線程網絡計算模式下，可精準地執行用戶指令，以提升問題的解決效率。

Linux系統具備很高的穩定性和安全性，其系統內部的用戶賬號信息是以數據節點形式進行存儲的，為用戶信息提供安全防護體系。在Linux系統中，用戶與密碼是分開存儲的，用戶名在passwd文件中，而密碼則是在shadow文件中。shadow文件是由操控系統直接保護的，在非計算機用戶進行讀取時，如果密碼指令輸入不正確，將無法令shadow文件進行響應。此外，Linux系統內的文件權限一般分為三個階段，即用戶組、定義文件、使用權限，通過對計算機用戶信息進行多維度分析，當系統身份認證成功后，系統才可正確執行用戶指令操控。

2 Linux系統下的計算機網絡安全問題

2.1 服務響應攻擊

服務響應攻擊是黑客慣用的一種攻擊形式，其通過破壞用戶獲取信息資源的對接通道，令網絡服務體系處于無法運行狀態，令Linux系統無法對用戶的指令行為進行反饋與操作，進而使用戶無法接受到系統給予的服務[6]。例如，黑客在進行網絡攻擊時，可通過源地址的偽造、控制多臺計算機等形式，對目標用戶傳輸大量的數據指令請求，當請求協議超出系統自身的運行能力時，服務器將無法運行。從服務響應攻擊手段來看，其一般分為簡單型、DNS型、FTP型等攻擊模式，此類攻擊是由網絡協議傳輸為出發點進行網絡干擾的，其可對網絡體系中的協議層進行多角度攻擊，但從安全系數來看，服務響應攻擊屬于低級攻擊范圍。

2.2 密碼破解攻擊

密碼破解攻擊是指對用戶操控系統的密碼進行破解，再以用戶的身份登錄電腦，以獲取系統內的加密資源。計算機系統的密碼設定是用戶個人信息的基礎保障體系，用戶通過設定相應的登錄密碼來與系統建立對接操控途徑，密碼設置分為三個安全等級，低級密碼為簡單的數字組合，中級密碼為數字、字母組合，而高級密碼則為符號、數字、密碼組合。大部分用戶設定密碼時，一般以簡單的數字組合為主，且電腦用戶登錄界面設定一般為記住密碼形式。黑客在對用戶密碼進行破解時則以密碼中蘊含的字節為主，通過界定攻擊形式、混合攻擊形式、字典攻擊形式等，對用戶密碼進行逐層破譯。黑客在利用程序攻擊時主要對各類密碼組合與用戶登錄程序點進行單項連接，以此來對密碼進行驗證。

2.3 溢出攻擊

溢出攻擊形式是在網絡信息傳輸的緩沖區對字節進行攻擊，在數據信息運行過程中，字符串內的毗鄰單元將形成單元存儲空間，如攻擊者對某一字符段進行覆蓋，則嚴重降低系統的容錯性，導致系統對覆蓋區域的字節無法進行識別，令系統面臨著死機的風險。

2.4 IP地址隱藏攻擊

IP地址隱藏攻擊是以傳輸協議的不可逆工作機理為漏洞，利用偽造的IP地址對協議進行存儲。黑客在攻擊過程中通過同等計算機設備的覆蓋功能，利用已有的計算機替代另一臺計算機設備，在IP地址的定向偽造下，令協議傳輸通過相應的數據查詢，以此來令計算機設備實現同步處理。在此類攻擊模式下，可對原有計算機設備上的密碼指令進行復制，并通過另一臺計算機設備進行遠程操控，當原有密碼指令被破解后，遠程操控的計算機在登錄界面時無需經過密碼驗證。

2.5 監聽攻擊

監聽攻擊是指黑客對局域網絡體系下的計算機設備進行登錄，取得該計算機設備的各項用戶權益，然后控制計算機設備施行監聽形式，以對各類敏感信息資源進行盜取。

2.6 誘導式攻擊

誘導式攻擊是指通過認證界面來對用戶進行信息指令傳輸。黑客將攻擊行為偽裝成公司、服務商、技術類客服等，向計算機設備發出呼叫，如用戶接受呼叫時，則黑客通過言語引導，令用戶填寫密碼。除此之外，用戶還會通過郵件的形式向用戶索取密碼，如用戶不具備辨識能力，對自身系統的指令密碼進行填寫，在黑客獲取密碼時，將自動切斷用戶與系統之間的聯系，然后進入計算機設備中對信息資源進行盜取。

3 Linux系統下的計算機網絡安全防范措施

3.1 用戶安全防護體系

為進一步加強Linux系統的安全性能，用戶體系應作為首要防護任務。在對自身系統進行密碼設定時，用戶應對Linux系統內的root權限進行合理設定，由于root本身是超級用戶的一種，其每一項管理行為均代表著程序執行的必然性。為此，在設定root權限指令時，應嚴格按照相應的指令進行設定，此外，用戶應避免在不同計算機下登錄自身特有的服務器。

Linux系統對用戶進行定義時，同一系統內的不同用戶建立網絡地址，系統管理員應對該類用戶進行模塊設定，對此類用戶開放相應的權限功能，并依據用戶的功能來正確劃分組項。在設定權限時，應賦予用戶ftp權限，以此來將賬號登錄設定進行隔離，并將系統內的文件信息查詢記錄轉移到系統的secure文件中，管理人員將定期查詢文件內的數據信息，如發現可疑文件，應及時處理。在對密碼進行存儲設置時，計算機用戶應適當增加密碼難度，可采用數字、字母、符號組合的形式對密碼進行設定。與此同時，系統管理員應對用戶名文件夾passwd、密碼文件夾shadow進行權限設定，禁止無關人員對此類文件進行查探。此種方法的設定可對用戶密碼口令進行隱藏，令黑客找不到相應的攻擊切入點。此外，系統管理人員應不定期模仿黑客的攻擊手段，對passwd、shadow文件進行定向攻擊，如發現攻擊難度降低，應及時對密碼進行修改。

3.2 文件安全防護體系

建立文件安全防護體系主要是對系統中的重要文件進行加密與權限設定。在加密過程中，通過key程序產生密鑰，然后將文件所對應的公鑰定向傳輸到系統用戶端手中，當用戶下載完指定類文件時，系統將依據反饋指令信息來進行私鑰解密，以此來防止黑客利用字節進行覆蓋式攻擊。在權限設定過程中，利用chgrp指令對文件的閱讀模式進行設定，當文件傳輸到用戶端時，用戶依據文件權限參數的設定，對其中某一部分內容進行瀏覽，以增強文件讀取的安全性。

3.3 系統安全防護體系

系統安全防護體系的設定一般以內部服務漏洞、網絡協議傳輸、日志文件等為主，以此來為Linux系統建立合理的安全保障機制。

3.3.1 系統防火墻設定。在Linux系統運行的過程中，其開源式的工作機理增加網絡協議傳輸的透明性，為此，防火墻的設定則是對網絡安全體系進行安全防護，令數據信息的傳輸點進行隱蔽，以防止非授權訪問對系統帶來的安全風險。網絡防火墻的設定可作為Linux系統的第一道安全屏障，其內部協議的定向阻斷模式可對軟件中存在的運行漏洞進行填補，為用戶的各項操作行為提供安全保障。

3.3.2 服務簡化。在Linux系統安裝初期，內部自設定程序包含較多的網絡服務，服務端口過多，將增加信息泄露的風險。為此，用戶在對Linux系統進行清理時，應查看系統內的inetd文件夾，并將文件夾中含有的各類信息與系統運行模式進行比對。當文件夾內的程序處于閑置狀態時，應對此類服務內容進行刪除處理，以便簡化系統，提升系統運營質量。

3.3.3 利用日志文件對系統進行清查。在Linux系統運行的過程中，管理人員應對系統內產生的日志文件進行記錄與分析，例如，對文件產生的時間進行維度定位，并對歷史登錄信息、注銷時間等進行聯動確認，然后依據文件的參數基準對各項信息行為進行驗證，以此來提高Linux系統的運行質量。

4 結語

本文論述了Linux系統特性，指出Linux系統下的計算機網絡面臨的安全問題，并給予解決策略。通過用戶安全防護體系、文件安全防護體系、系統安全防護體系的建設，人們可以為Linux系統建立多維化防控體系，以最大限度地規避安全風險。在未來的發展過程中，技術研發人員可制定出智能化、自動化的網絡監管技術，以此來凈化網絡空間，為用戶數據信息的安全提供基礎保障。

參考文獻：

[1]孫泉，姚連瑞.基于計算機網絡信息安全中虛擬專用網絡技術應用研究[J].計算機產品與流通，2019（10）：71.

[2]李雙林.局域網環境下計算機網絡安全防護技術應用研究[J].網絡安全技術與應用，2019（10）：7-8.

[3]于曉飛.新環境下的計算機網絡信息安全及防火墻技術應用研究[J].職業，2019（28）：122-123.

[4]呂志軍.淺析計算機網絡技術的計算機網絡信息安全及其防護策略[J].計算機產品與流通，2019（8）：59.

[5]李球真.計算機網絡信息安全中虛擬專用網絡技術應用研究[J].科技資訊，2019（23）：13.

[6]余韜.大數據背景下計算機網絡信息安全問題及對策研究[J].現代經濟信息，2019（14）：361.