淺談Linux系統的網絡安全及其應對策略

摘要完善的內置網絡功能是Linux優于其他系統的顯著特點，但是Linux并不能保證絕對的安全，在實際應用中仍然需要管理員做好網絡安全策略，本文就此問題展開討論。

關鍵詞Linux 網絡安全 策略

中圖分類號:TP393文獻標識碼:A

1 引言

Linux操作系統最早是由芬蘭的Linus Torvalds 1991年8月在上學時發布的，后經眾多世界頂尖的軟件工程師的不斷修改和完善，Linux在全球普及開來，在服務器領域及個人桌面版得到越來越多的應用，在嵌入式開發方面更是具有其它操作系統無可比擬的優勢。與此同時也帶來了許多網絡安全問題，網絡安全成為網絡用戶關心的一個熱點問題，本文就Linux 的網絡安全問題展開討論。

2 Linux系統的網絡安全隱患

(1)Linux系統可以使用啟動盤來啟動計算機，而無需使用root口令即可獲得超級用戶root所具有的權限。這是一個很嚴重的安全隱患，因為它使root口令失去了意義。

(2)Linux的弱口令隱患。不少網站的管理員賬號密碼、ftp賬號密碼、sql賬號密碼等都是使用很簡單的或是很容易猜測到的字母或數字( 利用現有的 )PIII 機器配合編寫恰當的破解軟件足以在短時間內輕松破解，一旦口令被破解，網站就意味著被攻破。

(3)SETUID隱患。SETUID是為解決某些普通用戶在執行程序時須暫時獲得root特權的程序執行問題，這也是一個很大的安全隱患。

(4)緩沖區溢出隱患。當輸入數據超出所分配存儲空間而系統又沒有對此作直接處理時將產生緩沖區溢出問題。

3 Linux系統的網絡安全防范策略

作為Linux網絡系統的管理員，既要時刻警惕來自外部的黑客攻擊，又要加強對內部網絡用戶的管理和教育，具體可以采用以下的安全策略:

(1)關閉無用的端口。任何網絡連接都是通過開放的應用端口來實現的。如果盡可能少的開放斷口，就會使網絡攻擊變成無源之水，從而大大減少了攻擊者成功的機會。

(2)口令管理?？诹畹拈L度一般不要少于8個字符，口令的組成應以無規則的大小寫字母、數字和符號相結合，嚴格避免用英語單詞或詞組等設置口令，而且各用戶的口令應該定期更換。另外，口令的保護還涉及到對/etc/passwd和/etc/shadow文件的保護，必須做到只有系統管理員才能訪問這2個文件。安裝一個口令過濾工具加npasswd，能幫你檢查你的口令是否耐得住攻擊。如果你的系統中沒有安裝口令過濾工具，請馬上檢查所有用戶的口令是否能被窮盡搜索到，即對/ect/passwd文件實施窮盡搜索攻擊。

(3)分區管理。一個潛在的攻擊首先會嘗試緩沖區溢出。更為嚴重的是，緩沖區溢出漏洞占了遠程網絡攻擊的絕大多數，這種攻擊可以輕易使得一個匿名的Intemet用戶有機會獲得一臺主機的部分或全部的控制權。為了防止此類攻擊，我們從安裝系統時就應該注意.如果用root分區記錄數據，如log文件，就可能因為拒絕服務產生大量日志或垃圾郵件，從而導致系統崩潰。所以建議為/var開辟單獨的分區，用來存放日志和郵件，以避免root分區被溢出。最好為特殊的應用程序單獨開一個分區，特別是可以產生大量日志的程序，還建議為/home單獨分—個區，這樣他們就不能填滿分區了，從而可有效避免部分針對Linux分區溢出的惡意攻擊。

(4)使用保留IP地址。維護網絡安全性最簡單的方法是保證網絡中的主機不同外界接觸。最基本的方法是與公共網絡隔離。這時，使用保留IP地址是一種簡單可行的方法，它可以讓用戶訪問Intemet同時保證一定的安全性。RFC1918規定了能夠用于本地TCP/IP網絡使用的IP地址范圍，這些lP地址不會在Intemet上路由，因此不必注冊這些地址。通過在該范圍分配IP地址，可以有效地將網絡流量限制在本地網絡內。這是一種拒絕外部汁算機訪問而允許內部汁算機互聯的快速有效的方法。

保留IP地址范圍:10.0.0.0 — 10.255.255.255

172.16.0.0 — 172.31.255.255

192.168.0.0 —192.168.255.255

來自保留IP地址的網絡交通不會經過Intemet路由器，因此被賦予保留IP地址的任何計算機不能從外部網絡訪問，，但是，這種方法同時也不允許用戶訪問外部網絡，不過可以利用lP偽裝解決這一問題。

(5)不設置缺省路由。在主機中，應該嚴格禁止設置缺省路由default route。建議為每一個子網或網段設置一個路由.否則其它機器就可能通過一定方式訪問該主機。

(6)采用防火墻技術。 防火墻是阻止非授權用戶進入、離開、穿過網絡或主機系統一種部件或一系列部件，可以采用系統附帶的工具和專用的防火墻來實現主機系統或網絡安全，通過適當配置可有效地限制、保護系統以及控制局域網范圍內的訪問。防火墻系統一般提供如下功能:訪問控制、審計、抗攻擊、其他附屬功能。

(7)采用加密技術。 加密技術主要是指數據傳輸加密和數據存儲加密數。數據傳輸加密技術是對傳輸中的數據流加密，常用的方法有“數據線路加密”和“端-端加密”兩種。前者主要考慮數據在傳輸線路上的安全，而不考慮(下轉第174頁)(上接第172頁)數據的信源節點與信宿節點;后者則指信息在發送端自動加密，并進入TCP/IP數據包，然后作為不可閱讀和不可識別的數據穿過因特網，當這些信息一旦到達目的地，將被自動重組、解密，重新變成為可讀數據。數據存儲加密技術是防止信息在存儲過程中的數據泄密，分為密文存儲和存取控制兩種。

(8)加強服務器防病毒功能。雖然從理論上說在Linux系統上可以產生一個病毒， 但那是很困難的事情，只有擁有root訪問權限才能執行一個能起大破壞的病毒。但是Linux潛在的對病毒的免疫性可以被用來做Linux的防病毒系統。不僅Linux的SAMBA服務器應該掃描被Windows客戶機存放的被病毒感染的文件，一個基于Linux的反病毒網關也應該用于為整個網絡掃描和保護SMTP 、FTP和Web通信等。

4 結語

由于Linux操作系統使用廣泛，又公開源碼.因此被廣大計算機用戶研究得最徹底。而Linux本身的配置又相當的復雜， 對于Linux的系統管理員.頭腦中一定要有安全防范意識，定期檢查系統，發現漏洞要立即采取措施。

參考文獻

[1][美]Aron Hsiao.Linux系統安全基礎[M].北京:人民郵電出版社，2002.

[2]潘瑜.基于Linux系統的網絡安全策略.計算機基礎教程網.