摘要: Linux系統是一種應用越來越廣泛的網絡操作系統,為確保系統安全穩定的運轉,在實際運用時應該采用適當的安全機制,本文就此提出了切實可行的基於Linux系統的網絡安全策略和保護措施。
關鍵詞: Linux、操作系統、網絡安全、策略
1 引言
隨著Internet/Intranet網絡的日益普及,采用Linux網絡操作系統作為服務器的用戶也越來越多,這一方面是因為Linux是開放源代碼的免費正版軟件,另一方面也是因為較之微軟的Windows NT網絡操作系統而言,Linux系統具有更好的穩定性、效率性和安全性。在Internet/Intranet的大量應用中,網絡本身的安全面臨著重大的挑戰,隨之而來的信息安全問題也日益突出。以美國為例,據美國聯邦調查局(FBI)公布的統計數據,美國每年因網絡安全問題所造成的經濟損失高達75億美元,而全球平均每20秒鐘就發生一起Internet計算機黑客侵入事件。一般認為,計算機網絡系統的安全威脅主要來自黑客攻擊和計算機病毒2個方面。那麼黑客攻擊為什麼能夠經常得逞呢?主要原因是很多人,尤其是很多網絡管理員沒有起碼的網絡安全防范意識,沒有針對所用的網絡操作系統,采取有效的安全策略和安全機制,給黑客以可乘之機。在我國,由於網絡安全研究起步較晚,因此網絡安全技術和網絡安全人才還有待整體的提高和發展,本文希望就這一問題進行有益的分析和探討。
我們知道,網絡操作系統是用於管理計算機網絡中的各種軟硬件資源,實現資源共享,並為整個網絡中的用戶提供服務,保證網絡系統正常運行的一種系統軟件。如何確保網絡操作系統的安全,是網絡安全的根本所在。只有網絡操作系統安全可靠,才能保證整個網絡的安全。因此,詳細分析Linux系統的安全機制,找出它可能存在的安全隱患,給出相應的安全策略和保護措施是十分必要的。
2 Linux網絡操作系統的基本安全機制
Linux網絡操作系統提供了用戶帳號、文件系統權限和系統日志文件等基本安全機制,如果這些安全機制配置不當,就會使系統存在一定的安全隱患。因此,網絡系統管理員必須小心地設置這些安全機制。
2.1 Linux系統的用戶帳號
在Linux系統中,用戶帳號是用戶的身份標志,它由用戶名和用戶口令組成。在Linux系統中,系統將輸入的用戶名存放在/etc/passwd文件中,而將輸入的口令以加密的形式存放在/etc/shadow文件中。在正常情況下,這些口令和其他信息由操作系統保護,能夠對其進行訪問的只能是超級用戶(root)和操作系統的一些應用程序。但是如果配置不當或在一些系統運行出錯的情況下,這些信息可以被普通用戶得到。進而,不懷好意的用戶就可以使用一類被稱為“口令破解”的工具去得到加密前的口令。
2.2 Linux的文件系統權限
Linux文件系統的安全主要是通過設置文件的權限來實現的。每一個Linux的文件或目錄,都有3組屬性,分別定義文件或目錄的所有者,用戶組和其他人的使用權限(只讀、可寫、可執行、允許SUID、允許SGID等)。特別注意,權限為SUID和SGID的可執行文件,在程序運行過程中,會給進程賦予所有者的權限,如果被黑客發現並利用就會給系統造成危害。
2.3 合理利用Linux的日志文件
Linux的日志文件用來記錄整個操作系統使用狀況。作為一個Linux網絡系統管理員要充分用好以下幾個日志文件。
2.3.1 /var/log/lastlog文件
記錄最後進入系統的用戶的信息,包括登錄的時間、登錄是否成功等信息。這樣用戶登錄後只要用lastlog命令查看一下/var/log/lastlog文件中記錄的所用帳號的最後登錄時間,再與自己的用機記錄對比一下就可以發現該帳號是否被黑客盜用。
2.3.2 /var/log/secure文件
記錄系統自開通以來所有用戶的登錄時間和地點,可以給系統管理員提供更多的參考。
2.3.3 /var/log/wtmp文件
記錄當前和歷史上登錄到系統的用戶的登錄時間、地點和注銷時間等信息。可以用last命令查看,若想清除系統登錄信息,只需刪除這個文件,系統會生成新的登錄信息。
3 Linux網絡系統可能受到的攻擊和安全防范策略
Linux操作系統是一種公開源碼的操作系統,因此比較容易受到來自底層的攻擊,系統管理員一定要有安全防范意識,對系統采取一定的安全措施,這樣才能提高Linux系統的安全性。對於系統管理員來講特別是要搞清楚對Linux網絡系統可能的攻擊方法,並采取必要的措施保護自己的系統。
3.1 Linux網絡系統可能受到的攻擊類型
3.1.1 “拒絕服務”攻擊
所謂“拒絕服務”攻擊是指黑客采取具有破壞性的方法阻塞目標網絡的資源,使網絡暫時或永久癱瘓,從而使Linux網絡服務器無法為正常的用戶提供服務。例如黑客可以利用偽造的源地址或受控的其他地方的多台計算機同時向目標計算機發出大量、連續的TCP/IP請求,從而使目標服務器系統癱瘓。
3.1.2 “口令破解”攻擊
口令安全是保衛自己系統安全的第一道防線。“口令破解”攻擊的目的是為了破解用戶的口令,從而可以取得已經加密的信息資源。例如黑客可以利用一台高速計算機,配合一個字典庫,嘗試各種口令組合,直到最終找到能夠進入系統的口令,打開網絡資源。
3.1.3 “欺騙用戶”攻擊
“欺騙用戶”攻擊是指網絡黑客偽裝成網絡公司或計算機服務商的工程技術人員,向用戶發出呼叫,並在適當的時候要求用戶輸入口令,這是用戶最難對付的一種攻擊方式,一旦用戶口令失密,黑客就可以利用該用戶的帳號進入系統。
3.1.4 “掃描程序和網絡監聽”攻擊
許多網絡入侵是從掃描開始的,利用掃描工具黑客能找出目標主機上各種各樣的漏洞,並利用之對系統實施攻擊。
網絡監聽也是黑客們常用的一種方法,當成功地登錄到一台網絡上的主機,並取得了這台主機的超級用戶控制權之後,黑客可以利用網絡監聽收集敏感數據或者認證信息,以便日後奪取網絡中其他主機的控制權。
3.2 Linux網絡安全防范策略
縱觀網絡的發展歷史,可以看出,對網絡的攻擊可能來自非法用戶,也可能來自合法的用戶。因此作為Linux網絡系統的管理員,既要時刻警惕來自外部的黑客攻擊,又要加強對內部網絡用戶的管理和教育,具體可以采用以下的安全策略。
3.2.1 仔細設置每個內部用戶的權限
為了保護Linux網絡系統的資源,在給內部網絡用戶開設帳號時,要仔細設置每個內部用戶的權限,一般應遵循“最小權限”原則,也就是僅給每個用戶授予完成他們特定任務所必須的服務器訪問權限。這樣做會大大加重系統管理員的管理工作量,但為了整個網絡系統的安全還是應該堅持這個原則。
確保用戶口令文件/etc/shadow的安全
對於網絡系統而言,口令是比較容易出問題的地方,作為系統管理員應告訴用戶在設置口令時要使用安全口令(在口令序列中使用非字母,非數字等特殊字符)並適當增加口令的長度(大於6個字符)。系統管理員要保護好/etc/passwd和/etc/shadow這兩個文件的安全,不讓無關的人員獲得這兩個文件,這樣黑客利用John等程序對/etc/passwd和/etc/shadow文件進行了字典攻擊獲取用戶口令的企圖就無法進行。系統管理員要定期用John等程序對本系統的/etc/passwd和/etc/shadow文件進行模擬字典攻擊,一旦發現有不安全的用戶口令,要強制用戶立即修改。
3.2.3 加強對系統運行的監控和記錄
Linux網絡系統管理員,應對整個網絡系統的運行狀況進行監控和記錄,這樣通過分析記錄數據,可以發現可疑的網絡活動,並采取措施預先阻止今後可能發生的入侵行為。如果進攻行為已經實施,則可以利用記錄數據跟蹤和識別侵入系統的黑客。
3.2.4 合理劃分子網和設置防火牆
如果內部網絡要進入Internet,必須在內部網絡與外部網絡的接口處設置防火牆,以確保內部網絡中的數據安全。對於內部網絡本身,為了便於管理,合理分配IP地址資源,應該將內部網絡劃分為多個子網,這樣做也可以阻止或延緩黑客對整個內部網絡的入侵。
3.2.5 定期對Linux網絡進行安全檢查
Linux網絡系統的運轉是動態變化的,因此對它的安全管理也是變化的,沒有固定的模式,作為Linux網絡系統的管理員,在為系統設置了安全防范策略後,應定期對系統進行安全檢查,並嘗試對自己管理的服務器進行攻擊,如果發現安全機制中的漏洞應立即采取措施補救,不給黑客以可乘之機。
3.2.6 制定適當的數據備份計劃確保系統萬無一失
沒有一種操作系統的運轉是百分之百可靠的,也沒有一種安全策略是萬無一失的,因此作為Linux系統管理員,必須為系統制定適當的數據備份計劃,充分利用磁帶機、光盤刻錄機、雙機熱備份等技術手段為系統保存數據備份,使系統一旦遭到破壞或黑客攻擊而發生癱瘓時,能迅速恢復工作,把損失減少到最小。
4 加強對Linux網絡服務器的管理,合理使用各種工具
4.1 利用記錄工具,記錄對Linux系統的訪問
Linux系統管理員可以利用前面所述的記錄文件和記錄工具記錄事件,可以每天查看或掃描記錄文件,這些文件記錄了系統運行的所有信息。如果需要,還可以把高優先級的事件提取出來傳送給相關人員處理,如果發現異常可以立即采取措施。
4.2 慎用Telnet服務
在Linux下,用Telnet進行遠程登錄時,用戶名和用戶密碼是明文傳輸的,這就有可能被在網上監聽的其他用戶截
4 加強對Linux網絡服務器的管理,合理使用各種工具
4.1 利用記錄工具,記錄對Linux系統的訪問
Linux系統管理員可以利用前面所述的記錄文件和記錄工具記錄事件,可以每天查看或掃描記錄文件,這些文件記錄了系統運行的所有信息。如果需要,還可以把高優先級的事件提取出來傳送給相關人員處理,如果發現異常可以立即采取措施。
4.2 慎用Telnet服務
在Linux下,用Telnet進行遠程登錄時,用戶名和用戶密碼是明文傳輸的,這就有可能被在網上監聽的其他用戶截