構建以Linux服務器為基礎的網絡安全平臺探討

◆欒志強

(山東公安邊防總隊煙臺機場邊防檢查站 山東 264000)

構建以Linux服務器為基礎的網絡安全平臺探討

◆欒志強

(山東公安邊防總隊煙臺機場邊防檢查站 山東 264000)

網絡安全作為一項時下社會領域中一項熱點課題，而服務器則為整個網絡安全當中最為核心環節，Linux被業界公認為是一個較為安全的 Internet服務器。如何采取有效措施為服務器系統安全提供保障，乃為整個網絡安全工作的重要環節。只有網絡服務器系統可靠、安全，方能確保整個網絡的穩定與安全。

Linux服務器；網絡安全；策略

1 服務初試配置的安全策略

1.1 安裝策略

對于配置系統安全而言，操作系統安全乃為其首步。由于所配置的乃是防火墻，因此，對于之前的任何系統配置與安裝，均不能信任，需要著手于全新安裝，只有這樣方能為系統安全的完整性提供保障。當系統處在隔離或者單獨的網絡當中時，不能讓沒有受到保護的系統與其它網絡相連接，也不能連接于互聯網，以遭受外界攻擊。依據個人經驗得知，一個與互聯網相連接的新安裝系統，可以在短短的15s便能被掃描或入侵，從而取得完全控制權。當把即將當作防火墻的機器放置在處于隔離狀態的網絡當中時，便可著手下步工作。第一步便是對操作需要需要安裝的軟件包進行選擇。針對Red Hat Linux而言，其安裝方法主要有如下幾種：Cusotm（定制，缺省選項）、Sevrer（服務器）、Wokrsattion（工作站）等。再次選擇“定制”，因為這允許你進行硬盤分區以及選擇那些服務器。對于安裝策略而言，實際就是在最大化效率得以維持的前提下，實施“最小化”安裝。系統當中具有越少的軟件，則便會具有越小的潛在性的安全漏洞。無論所選擇的安裝方式是哪種，HOWTO文檔與手冊頁均需必備。盡管可能會增加一點系統風險，但他們有時確實比較有用。如果在安裝方式上選擇的是“定制”安裝，則此時便會被提示實施硬盤分區。建議為/var專門設置一個獨立性的分區。因為如若根分區被劃歸至電子郵件及系統日志等數據當中，便會發生拒絕服務狀況，更甚者還會造成系統出現崩潰狀況。此外，可考慮為那些特定的應用或服務建立或者保存獨立性的分區，尤其是那些比較敏感的日志記錄。如若系統當中存有不能完全被信任的用戶，則需要為/home建立一個單獨性分區，至此，便可防止那些惡意用戶對/根分區所進行的攻擊。

當完成系統安裝并且已經重啟之后，需要進行安全補丁的安裝工作。針對Red Hat，可到對應網址當中找尋其全部安全補丁程序。對于安全補丁而言，其對一個安全的防火墻的長久維持十分關鍵，需保持其長期性更新。從bugtraq@seeurityfoeus.com當中，能夠得到最新的安全漏洞信息資源。如若不進行此些補丁的安裝，那么系統便容易遭受外界的入侵。因此，建議選用auotprm工具，時刻保持對RPM軟件包在補丁上的實時更新。此命令工具經過分析，能夠得出那些.rpm需要進行更新，并且還會以自動的方式，從Red Hat網站當中下載并且安裝需要進行升級的文件。此工具在日常使用中，簡單而又靈活，可讓其運行于corn當中，至此，系統便會定期性的、自動化的進行更新升級，另外，還能及時將提醒系統升級的電子郵件，向管理員予以發送。

1.2 關閉不需要的服務與端口

當系統的安裝包、補丁完成安裝之后，重啟，然后便可對操作系統實施安全增強配置。對于安全增強配置而言，主要包含有調整。增加日志及關閉服務等。首先進行關閉服務，在安裝服務器操作系統時，此時便會啟動一些用處不大的服務，這些服務不僅會占據大量的系統資源，而且還會對系統的安全運行與穩定造成嚴重威脅。Solaris作為一個能夠將許多有用服務予以提供的高性能操作系統，但針對防火墻而言，其中的多數服務并無太大用處，且還可能會由此而產生諸多風險。因此，需先對/ect/sbin/inetd文件進行更改。對于此文件而言，其定義了由/usr/sbin/inerd超級守護進程需監聽的服務，下步需對/etc/rc2.d以及/etc/rc3.d目錄當中的文件進行修改。在這里，能夠找出被init進程執行的相應啟動腳本，其中諸多乃是不必要的。在啟動過程中，要執行一個腳本，僅需把對應文件名起始處的大寫S更改為小寫s便可。另外，在Red Hat系統當中，內置有一個工具，能夠將服務關閉。只需在命令行當中將/usr/sbin/inerd輸入，而后選擇“System Services”，然后選擇系統啟動所需要執行的對應腳本。

1.3 日志與系統調整

全部系統日志均在/var/log目錄當中存放，當缺省時，則iLnux便會有較好的日志設置，除了fep。在記錄fep日志方面，主要有兩種方法，即編輯/etc/shadow 或者是/etc/ftpaccess。通過對/etc/inetd.conf文件進行編輯，便可將全部FTP會話日志均記錄下來。對于系統調整額而言，其首要任務便是保證/etc/passwd文件的安全。首先需要將系統所運用的/etc/shadow文件予以確認，將全部用戶口令密文的文件保存下來，僅允許 root根用戶進行訪問，這樣便能夠對用戶口令輕易被訪問與破解予以組織，只要將一下命令給予運行，便能把口令系統已一種自動化方式向/etc/shadow進行轉換。

如若想要對/etc/ftpusers文件進行訪問。無論何種被列入到此文件當中的賬號，均無法ftp至本系統，一般情況下，用此對系統賬號進行限制，比如bin或root等，禁止此類賬號的FTP會話。當缺省時，則iLnux已經建立了此文件，需要保證root根用戶被劃歸到此文件當中，以此禁止root與系統之間的ftp會話。

2 啟動與登錄的安全策略

2.1 BIOS安全設置

針對BIOS安全設置而言，其乃是計算機系統當中最為底層的設置，同時也是最易造成忽視的緩解，通過進行BIOS設置，且禁止從軟盤進行系統啟動，此乃對服務器系統最為基本的保護。

2.2 默認賬號與用戶口令

還比前文所提出的需要禁止全部默認的備操作系統自身啟動且無較大用處的賬號，以此實現風險的減少。另外，針對合法用戶的口令而言，其乃是iLnux安全的一個基本支撐點，許多人所運用的用戶口令均比較簡單，這就好比為外界侵入敞開了大門，盡管基于理論層級，只要資源與時間充足，便較難將這些用戶口令進行破解，但在實際工作中較難選擇得到的口令。針對那些比較好的用戶口令，均為用戶自己容易記憶且便于理解的一串字符，建議定期更換或修改密碼。

2.3 限制su命令

如若您不想任何人把su當作root，可通過對/etc/pam.d/su文件進行編輯，將如下內容增加上去：auh teqriuerd/blsceuiry /Pams-ewheel.so gorup=isd。此時，只有isd組的用戶能夠將su當作root，而后如若需要用戶admin可將su當作root，則可運行如下命令：usermod-G10 admin。

2.4 Linux對遠程登錄失敗的處理

針對Unix/Linux操作系統而言，其對遠程多次登錄失敗所采取的措施對策便是斷開與對方之間的連接，針對此狀況，對于那些正在登錄的客戶端軟件，由于服務方的連接中斷，而被迫停止。此安全策略針對那些付窮舉密碼攻擊，效果比較明顯。由于在服務方將連接斷開后，攻擊者在重新連接上鎖花費的時間代價是比較大的?，F實當中，此安全策略也存有一個比較大的隱患，其要想實現策略，需要結合客戶端的軟件的合作，方能完成，其要求客戶端軟件能夠在服務方斷開連接之后能夠終止或者退出，以此達延時之目的。如若客戶軟件出現不合作狀況，未突出來延時，而是以最小延時，進行重新連接，那么服務方將很難達到延時的目的。至此，客戶方便能夠對服務方的用戶密碼很容易地進行猜解。

3 結語

總而言之，通暢情況下，大多iLnux網絡均由一臺甚至多臺安裝有iLnux的操作系統服務器組成，并將其當作FTP Sevrer或者web Sevrer。本文分別從服務初試配置的安全策略以及啟動與登錄的安全策略方面展開分析與討論，希望以此為系統安全與病毒防護提供幫助。

[1]戴帥.基于ARM-Linux的嵌入式HTTPS服務器的研究與實現[D].武漢理工大學, 2010.

[2]魯和杰.Linux系統教學實驗平臺構建與比較研究[J].福建電腦, 2008.

[3]沙伯海, 蔡海濱.基于 Linux下網絡服務安全可靠性研究[J].計算機工程與設計, 2005.