摘 要:Linux系統是一種應用越來越廣泛的網絡操作系統,為確保系統安全穩定的運轉,在實際運用時應該采用適當的安全機制,本文就此提出了切實可行的基於Linux系統的網絡安全策略和保護措施。
關鍵詞:Linux、操作系統、網絡安全、策略
1、引言
隨著Internet/Intranet網絡的日益普及,采用Linux網絡操作系統作為服務器的用戶也越來越多,這一方面是因為Linux是開放源代碼的免費正版軟件,另一方面也是因為較之微軟的Windows NT網絡操作系統而言,Linux系統具有更好的穩定性、效率性和安全性。在Internet/Intranet的大量應用中,網絡本身的安全面臨著重大的挑戰,隨之而來的信息安全問題也日益突出。以美國為例,據美國聯邦調查局(FBI)公布的統計數據,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鐘就發生一起Internet計算機安全侵入事件。一般認為,計算機網絡系統的安全威脅主要來自安全攻擊和計算機病毒2個方面。那麼安全攻擊為什麼能夠經常得逞呢?主要原因是很多人,尤其是很多網絡管理員沒有起碼的網絡安全防范意識,沒有針對所用的網絡操作系統,采取有效的安全策略和安全機制,給安全以可乘之機。在我國,由於網絡安全研究起步較晚,因此網絡安全技術和網絡安全人才還有待整體的提高和發展,本文希望就這一問題進行有益的分析和探討。
我們知道,網絡操作系統是用於管理計算機網絡中的各種軟硬件資源,實現資源共享,並為整個網絡中的用戶提供服務,保證網絡系統正常運行的一種系統軟件。如何確保網絡操作系統的安全,是網絡安全的根本所在。只有網絡操作系統安全可靠,才能保證整個網絡的安全。因此,詳細分析Linux系統的安全機制,找出它可能存在的安全隱患,給出相應的安全策略和保護措施是十分必要的。
2、Linux網絡操作系統的基本安全機制
Linux網絡操作系統提供了用戶帳號、文件系統權限和系統日志文件等基本安全機制,如果這些安全機制配置不當,就會使系統存在一定的安全隱患。因此,網絡系統管理員必須小心地設置這些安全機制。
2.1 Linux系統的用戶帳號
在Linux系統中,用戶帳號是用戶的身份標志,它由用戶名和用戶口令組成。在Linux系統中,系統將輸入的用戶名存放在/etc/passwd文件中,而將輸入的口令以加密的形式存放在/etc/shadow文件中。在正常情況下,這些口令和其他信息由操作系統保護,能夠對其進行訪問的只能是超級用戶(root)和操作系統的一些應用程序。但是如果配置不當或在一些系統運行出錯的情況下,這些信息可以被普通用戶得到。進而,不懷好意的用戶就可以使用一類被稱為“口令破解”的工具去得到加密前的口令。
2.2 Linux的文件系統權限
Linux文件系統的安全主要是通過設置文件的權限來實現的。每一個Linux的文件或目錄,都有3組屬性,分別定義文件或目錄的所有者,用戶組和其他人的使用權限(只讀、可寫、可執行、允許SUID、允許SGID等)。特別注意,權限為SUID和SGID的可執行文件,在程序運行過程中,會給進程賦予所有者的權限,如果被安全發現並利用就會給系統造成危害。
2.3 合理利用Linux的日志文件
Linux的日志文件用來記錄整個操作系統使用狀況。作為一個Linux網絡系統管理員要充分用好以下幾個日志文件。
2.3.1 /var/log/lastlog文件
記錄最後進入系統的用戶的信息,包括登錄的時間、登錄是否成功等信息。這樣用戶登錄後只要用lastlog命令查看一下/var/log/lastlog文件中記錄的所用帳號的最後登錄時間,再與自己的用機記錄對比一下就可以發現該帳號是否被安全盜用。
2.3.2 /var/log/secure文件
記錄系統自開通以來所有用戶的登錄時間和地點,可以給系統管理員提供更多的參考。
2.3.3 /var/log/wtmp文件
記錄當前和歷史上登錄到系統的用戶的登錄時間、地點和注銷時間等信息。可以用last命令查看,若想清除系統登錄信息,只需刪除這個文件,系統會生成新的登錄信息。
3、Linux網絡系統可能受到的攻擊和安全防范策略
Linux操作系統是一種公開源碼的操作系統,因此比較容易受到來自底層的攻擊,系統管理員一定要有安全防范意識,對系統采取一定的安全措施,這樣才能提高Linux系統的安全性。對於系統管理員來講特別是要搞清楚對Linux網絡系統可能的攻擊方法,並采取必要的措施保護自己的系統。
3.1 Linux網絡系統可能受到的攻擊類型
3.1.1 “拒絕服務”攻擊
所謂“拒絕服務”攻擊是指安全采取具有破壞性的方法阻塞目標網絡的資源,使網絡暫時或永久癱瘓,從而使Linux網絡服務器無法為正常的用戶提供服務。例如安全可以利用偽造的源地址或受控的其他地方的多台計算機同時向目標計算機發出大量、連續的TCP/IP請求,從而使目標服務器系統癱瘓。
3.1.2 “口令破解”攻擊
口令安全是保衛自己系統安全的第一道防線。“口令破解”攻擊的目的是為了破解用戶的口令,從而可以取得已經加密的信息資源。例如安全可以利用一台高速計算機,配合一個字典庫,嘗試各種口令組合,直到最終找到能夠進入系統的口令,打開網絡資源。
3.1.3 “欺騙用戶”攻擊
“欺騙用戶”攻擊是指網絡安全偽裝成網絡公司或計算機服務商的工程技術人員,向用戶發出呼叫,並在適當的時候要求用戶輸入口令,這是用戶最難對付的一種攻擊方式,一旦用戶口令失密,安全就可以利用該用戶的帳號進入系統。
3.1.4 “掃描程序和網絡監聽”攻擊
許多網絡入侵是從掃描開始的,利用掃描工具安全能找出目標主機上各種各樣的漏洞,並利用之對系統實施攻擊。
網絡監聽也是安全們常用的一種方法,當成功地登錄到一台網絡上的主機,並取得了這台主機的超級用戶控制權之後,安全可以利用網絡監聽收集敏感數據或者認證信息,以便日後奪取網絡中其他主機的控制權。