羅彩君

（陜西職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)科學(xué)系，陜西 西安 710100）

Linux是一種開放源代碼的免費(fèi)正版操作系統(tǒng)，基于它的自由性、開放性、安全性、穩(wěn)定性、網(wǎng)絡(luò)負(fù)載力強(qiáng)、占用硬件資源少等特點(diǎn)，目前采用Linux網(wǎng)絡(luò)操作系統(tǒng)作為服務(wù)器的用戶日益增多，同時(shí)Linux也被廣泛應(yīng)用于嵌入式開發(fā)、個(gè)人工作站和商業(yè)開發(fā)等各個(gè)領(lǐng)域，已發(fā)展為當(dāng)今世界的主流操作系統(tǒng)之一。隨著Internet的快速發(fā)展，網(wǎng)絡(luò)本身的安全面臨著重大的挑戰(zhàn)，Linux與其它網(wǎng)絡(luò)操作系統(tǒng)一樣，也面臨著更多的安全隱患，其系統(tǒng)的安全問題也受到人們的日益關(guān)注。分析Linux系統(tǒng)的安全機(jī)制，找出它可能存在的安全隱患，采取相應(yīng)的安全策略、措施是十分必要的。

1 Linux系統(tǒng)網(wǎng)絡(luò)安全概述

Linux是一套自由軟件、用戶可以無償?shù)玫剿捌湓创a和大量的相關(guān)應(yīng)用程序，而且可以按照自己的意圖和需求進(jìn)行修改和補(bǔ)充，無償使用，無限制地傳播。Linux不僅具備功能強(qiáng)大、性能穩(wěn)定的UNIX網(wǎng)絡(luò)操作系統(tǒng)的全部優(yōu)點(diǎn)，而且還提供了豐富的應(yīng)用軟件[1]。Linux的網(wǎng)絡(luò)功能、安全性、穩(wěn)定性和應(yīng)用絕不次于任何商業(yè)化的操作系統(tǒng)，現(xiàn)在已有眾多的用戶用它來構(gòu)建安全、穩(wěn)健的站點(diǎn)，提供各種關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)。

Linux網(wǎng)絡(luò)操作系統(tǒng)提供了用戶賬號(hào)、文件系統(tǒng)權(quán)限和系統(tǒng)日志文件等基本安全機(jī)制[2]，如果這些安全機(jī)制配置不當(dāng)，就會(huì)使系統(tǒng)存在一定的安全隱患。

1）Linux系統(tǒng)的用戶賬號(hào)

在Linux系統(tǒng)中，用戶賬號(hào)是用戶的身份標(biāo)志，它由用戶名和用戶口令組成。系統(tǒng)將輸入的用戶名存放在/etc/passwd文件中，而將輸入的口令以加密的形式存放在/etc/shadow文件中[3]。在正常情況下，這些口令和其他信息由操作系統(tǒng)保護(hù)，能夠?qū)ζ溥M(jìn)行訪問的只能是超級(jí)用戶（root）和操作系統(tǒng)的一些應(yīng)用程序。

2）Linux的文件系統(tǒng)權(quán)限

Linux文件系統(tǒng)的安全主要是通過設(shè)置文件的權(quán)限來實(shí)現(xiàn)。每一個(gè)Linux的文件或目錄，都有3組屬性，分別定義文件或目錄的所有者，用戶組和其他人的使用權(quán)限[4]。

3）Linux的日志文件

Linux的日志文件用來記錄整個(gè)操作系統(tǒng)使用狀況，作為一個(gè)Linux網(wǎng)絡(luò)系統(tǒng)管理員要充分使用好/var/log/lastlog、/var/log/secure、/var/log/wtmp幾個(gè)日志文件。

2 Linux系統(tǒng)的網(wǎng)絡(luò)安全問題分析

隨著Linux操作系統(tǒng)在全世界范圍內(nèi)的廣泛應(yīng)用，其安全隱患也日益突出。目前，針對(duì)Linux網(wǎng)絡(luò)系統(tǒng)的攻擊越來越多，主要攻擊方式有拒絕服務(wù)攻擊、口令破解攻擊、緩沖區(qū)溢出攻擊、IP欺騙攻擊、網(wǎng)絡(luò)監(jiān)聽攻擊、欺騙用戶攻擊、端口掃描攻擊等[5]，其攻擊范圍可以從服務(wù)拒絕直至完全危害和破壞Linux服務(wù)器。

1）拒絕服務(wù)攻擊

拒絕服務(wù)（DoS）攻擊是指黑客采取具有破壞性的方法阻塞目標(biāo)網(wǎng)絡(luò)的資源，使網(wǎng)絡(luò)暫時(shí)或永久癱瘓，從而使Linux網(wǎng)絡(luò)服務(wù)器無法為正常的用戶提供服務(wù)[6]。例如，黑客可以利用偽造的源地址或受控的其他地方的多臺(tái)計(jì)算機(jī)同時(shí)向目標(biāo)計(jì)算機(jī)發(fā)出大量、連續(xù)的TCP/IP請(qǐng)求，從而使目標(biāo)服務(wù)器系統(tǒng)癱瘓。大多數(shù)拒絕服務(wù)攻擊導(dǎo)致相對(duì)低級(jí)的危險(xiǎn)，即便是那些可能導(dǎo)致系統(tǒng)重啟的攻擊也僅僅是暫時(shí)性的問題。

拒絕服務(wù)攻擊包括簡單拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊、DNS分布拒絕服務(wù)攻擊和FTP攻擊[7]。由于拒絕服務(wù)攻擊工具的泛濫，及所針對(duì)的協(xié)議層的缺陷短時(shí)無法改變，拒絕服務(wù)也就成為了流傳最廣、最難防范的攻擊方式。

2）口令破解攻擊

口令破解攻擊的目的是為了破解用戶的口令，從而可以取得已經(jīng)加密的信息資源。口令安全是保衛(wèi)自己系統(tǒng)安全的第一道防線，但在實(shí)際應(yīng)用過程中，用戶常常忽略他們的密碼，密碼政策很難得到實(shí)施。黑客有多種工具可以擊敗技術(shù)和社會(huì)所保護(hù)的密碼，主要包括字典攻擊（Dictionary attack）、混合攻擊（Hybrid attack）、蠻力攻擊（Brute force attack）[8]。例如，黑客可以利用一臺(tái)高速計(jì)算機(jī)，配合一個(gè)字典庫，嘗試各種密碼組合，直到最終找到能夠進(jìn)入系統(tǒng)的密碼，打開網(wǎng)絡(luò)資源。

3）緩沖區(qū)溢出攻擊

緩沖區(qū)溢出攻擊是指攻擊者向一個(gè)有限空間的緩沖區(qū)拷貝過長的字符串，覆蓋相鄰的存儲(chǔ)單元，這種覆蓋往往會(huì)導(dǎo)致程序運(yùn)行的失敗，甚至是死機(jī)或是系統(tǒng)的重啟。緩沖區(qū)溢出漏洞廣泛存在于應(yīng)用軟件和操作系統(tǒng)中，其危害是非常巨大的。

4）IP欺騙攻擊

IP欺騙攻擊是利用TCP/IP協(xié)議中不檢查返回地址的這個(gè)安全漏洞，從而達(dá)到攻擊網(wǎng)絡(luò)的目的。IP欺騙，就是指偽造他人的IP地址，其實(shí)質(zhì)就是讓一臺(tái)計(jì)算機(jī)來扮演另一臺(tái)計(jì)算機(jī)。IP欺騙是利用主機(jī)之間正常信任關(guān)系來發(fā)動(dòng)的，所謂信任關(guān)系就是網(wǎng)絡(luò)上的兩臺(tái)計(jì)算機(jī)P1和P2，P2可以利用遠(yuǎn)程登錄工具，無需口令驗(yàn)證就可以登錄到P1主機(jī)上，假如攻擊者能冒充P2的IP地址，就可以利用遠(yuǎn)程登錄工具登錄P1，而不需要任何口令的驗(yàn)證。

5）網(wǎng)絡(luò)監(jiān)聽攻擊

網(wǎng)絡(luò)監(jiān)聽也是黑客們常用的一種方法，當(dāng)成功地登錄到一臺(tái)網(wǎng)絡(luò)上的主機(jī)，并取得了這臺(tái)主機(jī)的超級(jí)用戶控制權(quán)之后，黑客就可以利用網(wǎng)絡(luò)監(jiān)聽收集敏感數(shù)據(jù)或者認(rèn)證信息，以便日后奪取網(wǎng)絡(luò)中其他主機(jī)的控制權(quán)。

6）欺騙用戶攻擊

欺騙用戶攻擊是指網(wǎng)絡(luò)黑客偽裝成網(wǎng)絡(luò)公司或計(jì)算機(jī)服務(wù)商的工程技術(shù)人員，向用戶發(fā)出呼叫，并在適當(dāng)?shù)臅r(shí)候要求用戶輸入口令，有時(shí)黑客會(huì)向用戶發(fā)送郵件，要求用戶給他系統(tǒng)升級(jí)的口令。這是用戶較難對(duì)付的一種攻擊方式，一旦用戶口令失密，黑客就可以利用該用戶的賬號(hào)進(jìn)入系統(tǒng)。

7）端口掃描攻擊

端口掃描是通過發(fā)送特定類型的TCP/UDP報(bào)文給所要掃描的目標(biāo)主機(jī)的全部或特定端口，誘發(fā)目標(biāo)主機(jī)回復(fù)響應(yīng)報(bào)文，分析返回的響應(yīng)報(bào)文來推斷目標(biāo)主機(jī)端口的狀態(tài)等信息[9]。利用端口掃描工具黑客能找出目標(biāo)主機(jī)上各種各樣的漏洞，并利用這些漏洞對(duì)系統(tǒng)實(shí)施攻擊。

3 Linux系統(tǒng)的安全策略

Linux是一種公開源碼的操作系統(tǒng)，要想在技術(shù)日益發(fā)展、紛繁蕪雜的網(wǎng)絡(luò)環(huán)境中保證Linux系統(tǒng)的網(wǎng)絡(luò)安全性，系統(tǒng)管理員一定要有安全防范意識(shí)，對(duì)系統(tǒng)采取一定的安全措施，這樣才能提高Linux系統(tǒng)的網(wǎng)絡(luò)安全性。下面主要從Linux系統(tǒng)的用戶管理、文件管理、預(yù)防攻擊、數(shù)據(jù)備份等方面給出Linux系統(tǒng)的網(wǎng)絡(luò)安全解決策略。

3.1 用戶管理

1）確保root賬號(hào)的安全

root賬號(hào)是Linux系統(tǒng)中享有特權(quán)的賬號(hào)，具有管理員的權(quán)限。root賬號(hào)是不受任何限制和制約的，因此，使用root賬號(hào)的時(shí)候，要非常小心，以免造成誤操作。通常情況下，不要使用root賬號(hào)登錄，系統(tǒng)管理員輕易不要在別人的計(jì)算機(jī)上用root登錄自己的服務(wù)器。

2）設(shè)置用戶賬號(hào)的安全等級(jí)

在Linux系統(tǒng)上每個(gè)賬號(hào)可以被賦予不同的權(quán)限，在建立一個(gè)新用戶ID時(shí)，系統(tǒng)管理員應(yīng)該根據(jù)需要賦予該賬號(hào)不同的權(quán)限，并且歸并到不同的用戶組中。?除了一些重要的用戶外，建議屏蔽掉其他用戶的telnet權(quán)限，只給ftp權(quán)限，這樣可以防止一些人利用其他賬號(hào)登錄到系統(tǒng)上。此外，Linux系統(tǒng)會(huì)自動(dòng)把允許進(jìn)入或不允許進(jìn)入的結(jié)果記錄到/rar/log/secure文件中，系統(tǒng)管理員可以據(jù)此查出可疑的進(jìn)入記錄。

3）確保用戶口令的安全

對(duì)于網(wǎng)絡(luò)系統(tǒng)而言，口令是比較容易出問題的，作為系統(tǒng)管理員應(yīng)告訴用戶在設(shè)置口令時(shí)要使用安全口令，并適當(dāng)增加口令的長度。系統(tǒng)管理員要保護(hù)好/etc/passwd和/etc/shadow這兩個(gè)文件的安全，不讓無關(guān)人員獲得這兩個(gè)文件，這樣黑客利用John等程序?qū)?etc/passwd和/etc/shadow文件進(jìn)行字典攻擊獲取用戶口令的企圖就無法進(jìn)行[10]。系統(tǒng)管理員要定期對(duì)本系統(tǒng)的/etc/passwd和/etc/shadow文件進(jìn)行模擬字典攻擊，一旦發(fā)現(xiàn)有不安全的用戶口令，要強(qiáng)制用戶立即修改。

4）刪除不必要的賬號(hào)和組號(hào)

Linux提供了許多默認(rèn)賬號(hào)，賬號(hào)越多，系統(tǒng)就越容易受到攻擊。可以用以下命令來刪除sync、shutdown、halt、news、games、adm、lp、mail、operator、uucp等不必要的賬號(hào)。

#userdel用戶名

用以下命令刪除adm、lp、mail、news、games、dip等不必要的組號(hào)。

#groupdel用戶名

3.2 文件管理

1）加密重要的文件

在Linux系統(tǒng)中，將重要的文件進(jìn)行加密。使用#gPg—gen—key產(chǎn)生密鑰對(duì)，將公鑰發(fā)布，以便其他用戶下載該公鑰加密發(fā)回文件，收到加密文件后，用配對(duì)的私鑰解密為明文。

2）設(shè)置文件系統(tǒng)的訪問權(quán)限

Linux文件系統(tǒng)的安全主要是通過設(shè)置文件的權(quán)限來實(shí)現(xiàn)。使用chown或chgrp命令正確設(shè)置文件的所有權(quán)或用戶組關(guān)系[11]。使得文件的不同用戶（文件主、組用戶和其它用戶）只能對(duì)必需的文件具有必須的訪問權(quán)限（讀、寫和可執(zhí)行），提高文件訪問的安全性。

3.3 預(yù)防攻擊

1）設(shè)置防火墻

防火墻的主要功能是實(shí)現(xiàn)兩個(gè)或多個(gè)網(wǎng)絡(luò)間透明訪問，阻止非授權(quán)用戶進(jìn)人系統(tǒng)。同時(shí)，防火墻也能使被保護(hù)網(wǎng)的入口點(diǎn)盡可能少的暴露出來，從而有效地減少外部網(wǎng)對(duì)被保護(hù)網(wǎng)的非授權(quán)訪問和惡意攻擊，并保護(hù)系統(tǒng)。因此，防火墻在主機(jī)安全中有非常重要的作用，一個(gè)配置適當(dāng)?shù)姆阑饓Σ粌H是系統(tǒng)有效應(yīng)對(duì)外部攻擊的第一道防線，也是最重要的一道防線，它可以彌補(bǔ)由于設(shè)置不當(dāng)或軟件存在漏洞而引發(fā)的安全問題。在Linux系統(tǒng)中，常采用系統(tǒng)自帶的Iptables完成防火墻的配置，利用防火墻能有效的防御IP地址欺騙、特洛伊木馬攻擊、口令探尋攻擊、Internet蠕蟲、郵件攻擊等。

2）關(guān)閉不必要的服務(wù)

Linux系統(tǒng)在安裝時(shí)包含了較多網(wǎng)絡(luò)服務(wù)，有時(shí)會(huì)出現(xiàn)嚴(yán)重的安全問題，用戶應(yīng)當(dāng)關(guān)閉不需要的服務(wù)。Linux中的大部分網(wǎng)絡(luò)服務(wù)都是在/etc/inetd.conf文件中設(shè)定，它保存了系統(tǒng)提供Internet服務(wù)的數(shù)據(jù)庫，通過這個(gè)文件，可以關(guān)閉系統(tǒng)中不需要的某項(xiàng)服務(wù)，使它們更為安全的運(yùn)行。

3）禁止系統(tǒng)對(duì)ping命令的反應(yīng)

TCP協(xié)議本身有很多的弱點(diǎn)，黑客可以利用一些技術(shù)把傳輸正常數(shù)據(jù)包的通道用來偷偷地傳送數(shù)據(jù)，將系統(tǒng)設(shè)置為對(duì)ping請(qǐng)求沒有反應(yīng)，能很好的避免黑客利用其漏洞攻擊用戶，可將計(jì)算機(jī)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降到最低。

4）禁止提供finger服務(wù)

在Linux系統(tǒng)下，使用finger命令，可以顯示本地或遠(yuǎn)程系統(tǒng)中目前已登錄用戶的詳細(xì)信息，黑客可以利用這些信息，增大侵入系統(tǒng)的機(jī)會(huì)。為了系統(tǒng)的安全，建議禁止提供finger服務(wù)，即從/usr/bin下刪除finger命令[12]。

5）合理利用Linux的日志文件

Linux的日志文件用來記錄整個(gè)操作系統(tǒng)使用狀況，作為一個(gè)Linux系統(tǒng)管理員要充分用好日志文件。/var/log/secu re文件記錄登入系統(tǒng)存取數(shù)據(jù)的文件，/var/log/wtmp文件記錄當(dāng)前和歷史上登錄到系統(tǒng)的用戶的登錄時(shí)間、地點(diǎn)和注銷時(shí)間等信息，/var/log/messages文件記錄系統(tǒng)發(fā)生的所有錯(cuò)誤信息（或重要信息）。

6）定期對(duì)Linux網(wǎng)絡(luò)進(jìn)行安全檢查

Linux網(wǎng)絡(luò)系統(tǒng)的運(yùn)轉(zhuǎn)是動(dòng)態(tài)變化的，因此，對(duì)它的安全管理也是變化的。作為Linux網(wǎng)絡(luò)系統(tǒng)的管理員，在為系統(tǒng)設(shè)置了安全防范策略后，應(yīng)定期對(duì)系統(tǒng)進(jìn)行安全檢查，并嘗試對(duì)自己管理的服務(wù)器進(jìn)行攻擊，如果發(fā)現(xiàn)安全機(jī)制中的漏洞應(yīng)立即采取措施補(bǔ)救，不給黑客以可乘之機(jī)。

7）預(yù)防病毒入侵

雖然目前在Linux系統(tǒng)上并未出現(xiàn)廣泛傳播的病毒，但隨著Linux的廣泛應(yīng)用，各種針對(duì)它的病毒也紛至沓來。系統(tǒng)管理員應(yīng)及時(shí)了解病毒預(yù)告及預(yù)防病毒的技術(shù)和發(fā)展，以防止系統(tǒng)受到病毒的攻擊。

3.4 數(shù)據(jù)備份

為了防止不能預(yù)料的系統(tǒng)故障，或用戶不小心的非法操作，必須對(duì)系統(tǒng)進(jìn)行安全備份。除了應(yīng)對(duì)全系統(tǒng)進(jìn)行每月一次的備份外，還應(yīng)該對(duì)修改過的數(shù)據(jù)進(jìn)行每周一次的備份。同時(shí)應(yīng)該將修改過的重要的系統(tǒng)文件存放在不同的服務(wù)器上，以便在系統(tǒng)萬一崩潰時(shí)，可以及時(shí)將系統(tǒng)恢復(fù)到最佳狀態(tài)。

4 結(jié)束語

采用以上的網(wǎng)絡(luò)安全策略，雖然可以使Linux系統(tǒng)的網(wǎng)絡(luò)安全性大大提高，但不能完全杜絕黑客入侵。隨著Linux系統(tǒng)的發(fā)展，對(duì)Linux系統(tǒng)的攻擊方式也在不斷改變，因此Linux網(wǎng)絡(luò)安全工作需要跟隨技術(shù)和管理的發(fā)展而更新，應(yīng)隨時(shí)關(guān)注安全技術(shù)的發(fā)展，不斷提高安全意識(shí)與安全防范技能，制定合理有效的安全策略，定期對(duì)系統(tǒng)進(jìn)行安全檢查，發(fā)現(xiàn)漏洞要立即采取措施，保證Linux系統(tǒng)的安全性。

[1]胡耀民，厲偉.Linux系統(tǒng)及網(wǎng)絡(luò)管理[M].北京：人民郵電出版社，2012.

[2]陳勇勛.Linux網(wǎng)絡(luò)安全技術(shù)與實(shí)現(xiàn)[M].北京：清華大學(xué)出版社，2012.

[3]李洋.淺析Linux安全管理技巧[J].職業(yè)技術(shù)，2012（2）：118.LI Yang.Analysis of security management skills based on Linux[J].Vocational Technology，2012（2）：118.

[4]易著梁，鄧志龍.Linux網(wǎng)絡(luò)管理[M].北京：人民郵電出版社，2010.

[5]曾斯.Linux操作系統(tǒng)下的安全性研究[J].福建電腦，2010（11）：78－79.ZENG Si.Security research based on Linux operating system[J].Fujian Computer，2010（11）：78－79.

[6]萬為軍.淺談Linux系統(tǒng)網(wǎng)絡(luò)安全[J].中國科技信息，2011（11）：107.WAN Wei-jun.Analysis of network security based on Linux System[J].China Science and Technology Information，2011（11）：107.

[7]閻映炳，劉雪潔.Linux系統(tǒng)與網(wǎng)絡(luò)管理教程[M].北京：電子工業(yè)出版社，2010.

[8]范魯娜.基于Linux操作系統(tǒng)的網(wǎng)絡(luò)服務(wù)器安全管理[J].科技創(chuàng)新導(dǎo)報(bào)，2011（10）：17.FAN Lu-na.Security management of network server based on Linux operating system[J].Science and Technology Innovation Herald，2011（10）：17.

[9]李洋.Linux安全技術(shù)內(nèi)幕[M].北京：清華大學(xué)出版社，2010.

[10]李文風(fēng).淺析Linux操作系統(tǒng)的安全策略[J].信息與電腦，2011（4）：8－10.LI Wen-feng.Analysis of security policies based on Linux operating system[J].China Computer&Communication，2011（4）：8－10.

[11]韓曉紅.淺析Linux操作系統(tǒng)的網(wǎng)絡(luò)安全及防范策略[J].電腦知識(shí)與技術(shù)，2011，13（7）：3014－3016.HAN Xiao-hong.Analysis of network security and prevention strategies based on Linux operating system[J].Computer Knowledge and Technology，2011，13（7）：3014－3016.

[12]楊牧.基于Linux網(wǎng)絡(luò)操作系統(tǒng)的安全策略[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（2）：19－20.YANG Mu.Security policies based on Linux network operating system[J]. Network Security Technology &Application，2010（2）：19－20.