随着 Internet/ Intranet网络的日益普及,采用 Linux网络操作系统 作为服务器的用户也越来越多,这一方面是因为 Linux是开放源代码 的免费正版软件,另一方面也是因为较之微软的 Windows n网络操作 系统而言, Linux系统具有更好的稳定性、效率性和安全性。在 Internet/ Intranet的大量应用中,网络本身的安全面临着重大的挑 战,随之而来的信息安全问题也日益突出。以美国为例,据美国联邦 调查局(FBI)公布的统计数据,美国每年因网络安全问题所造成的 经济损失高达75亿美元,而全球平均每20秒钟就发生一起 Internet计 算机黑客侵入事件。一般认为,计算机网络系统的安全威胁主要来自 黑客攻击和计算机病毒2个方面。那么黑客攻击为什么能够经常得逞 呢?主要原因是很多人,尤其是很多网络管理员没有起码的网络安全 防范意识,没有针对所用的网络操作系统,采取有效的安全策略和安 全机制,给黑客以可乘之机。 由于网络操作系统是用于管理计算机网络中的各种软硬件资源,实 现资源共享,并为整个网络中的用户提供服务,保证网络系统正常运 行的一种系统软件。如何确保网络操作系统的安全,是网络安全的根 本所在。只有网络操作系统安全可靠,才能保证整个网络的安全。因 此,详细分析Liux系统的安全机制,找出可能存在的安全隐患,给出 相应的安全策略和保护措施是十分必要的
随着Internet/Intranet网络的日益普及,采用Linux网络操作系统 作为服务器的用户也越来越多,这一方面是因为Linux是开放源代码 的免费正版软件,另一方面也是因为较之微软的Windows NT网络操作 系统而言,Linux系统具有更好的稳定性、效率性和安全性。在 Internet/Intranet的大量应用中,网络本身的安全面临着重大的挑 战,随之而来的信息安全问题也日益突出。以美国为例,据美国联邦 调查局(FBI)公布的统计数据,美国每年因网络安全问题所造成的 经济损失高达75亿美元,而全球平均每20秒钟就发生一起Internet计 算机黑客侵入事件。一般认为,计算机网络系统的安全威胁主要来自 黑客攻击和计算机病毒2个方面。那么黑客攻击为什么能够经常得逞 呢?主要原因是很多人,尤其是很多网络管理员没有起码的网络安全 防范意识,没有针对所用的网络操作系统,采取有效的安全策略和安 全机制,给黑客以可乘之机。 由于网络操作系统是用于管理计算机网络中的各种软硬件资源,实 现资源共享,并为整个网络中的用户提供服务,保证网络系统正常运 行的一种系统软件。如何确保网络操作系统的安全,是网络安全的根 本所在。只有网络操作系统安全可靠,才能保证整个网络的安全。因 此,详细分析Linux系统的安全机制,找出可能存在的安全隐患,给出 相应的安全策略和保护措施是十分必要的
2. Linux网络操作系统的基本安全机制 inux网络操作系统提供了用户帐号、文件系统权限和系统日志文件 等基本安全机制,如果这些安全机制配置不当,就会使系统存在一定 的安全隐患。因此,网络系统管理员必须小心地设置这些安全机制。 (1) Linux系统的用户帐号 2) Linux的文件系统权限 3)合理利用LnuⅨ的日志文件 3. Linux网络系统可能受到的攻击和安全防范策略 Lin操作系统是一种公开源码的操作系统,因此比较容易受到来自 底层的攻击,系统管理员一定要有安全防范意识,对系统采取一定的 安全措施,这样才能提高 Linux系统的安全性。对于系统管理员来讲 特别是要搞清楚对 Linux网络系统可能的攻击方法,并采取必要的措 施保护系统。 1)LinuⅨx网络系统可能受到的攻击类型 “拒绝服务”攻击、“口令破解”攻击、“欺骗用户”攻 击 “扫描稈序和网络监听”攻击
2.Linux网络操作系统的基本安全机制 Linux网络操作系统提供了用户帐号、文件系统权限和系统日志文件 等基本安全机制,如果这些安全机制配置不当,就会使系统存在一定 的安全隐患。因此,网络系统管理员必须小心地设置这些安全机制。 (1)Linux系统的用户帐号 (2)Linux的文件系统权限 (3)合理利用Linux的日志文件 3.Linux网络系统可能受到的攻击和安全防范策略 Linux操作系统是一种公开源码的操作系统,因此比较容易受到来自 底层的攻击,系统管理员一定要有安全防范意识,对系统采取一定的 安全措施,这样才能提高Linux系统的安全性。对于系统管理员来讲 特别是要搞清楚对Linux网络系统可能的攻击方法,并采取必要的措 施保护系统。 (1)Linux网络系统可能受到的攻击类型 “拒绝服务”攻击 、“口令破解”攻击 、“欺骗用户”攻 击、 “扫描程序和网络监听”攻击
(2) Linux网络安全防范策略 仔细设置每个内部用户的权限、确保用户口令文件 /etc/ shadow的安全、加强对系统运行的监控和记录、合理划分子网 和设置防火墙、定期对 Linux网络进行安全检査、制定适当的数据备 份计划确保系统万无一失 4.加强对 Linux网络服务器的管理,合理使用各种工具 1)利用记录工具,记录对 Linux系统的访问 2)慎用Tene服务 (3)合理设置NFS服务和NS服务 (4)小心配置FTP服务 (5)合理设置POP3和 Send叫等电子邮件服务 (6)加强对WWW服务器的管理,提供安全的WWW服务 7)最好禁止提供 finger服务
(2)Linux网络安全防范策略 仔细设置每个内部用户的权限、确保用户口令文件 /etc/shadow的安全、加强对系统运行的监控和记录、合理划分子网 和设置防火墙 、定期对Linux网络进行安全检查、制定适当的数据备 份计划确保系统万无一失。 4.加强对Linux网络服务器的管理,合理使用各种工具 (1)利用记录工具,记录对Linux系统的访问 (2)慎用Telnet服务 (3)合理设置NFS服务和NIS服务 (4)小心配置FTP服务 (5)合理设置POP-3和Sendmail等电子邮件服务 (6)加强对WWW服务器的管理,提供安全的WWW服务 (7)最好禁止提供finger 服务
816Lnux网络安全工具 1. sudo sudo是系统管理员用来允许某些用户以root身份运行部分/全部系统命 令的程序。一个明显的用途是增强了站点的安全性,如果用户需要每 天以root身份做一些日常工作,经常执行固定的几个只有root身份才 能执行的命令,那么用sudo是非常适合的。 下面以 Redhat9.0为例,介绍sudo的安装及设置过程: 般情况下, Redhat9.0中都已经缺省安装了当前较新的版本sudo 1.6.6-3。如果你的系统中没有安装,你能从下面的地址中下载for Redhat Linux Hrpm package ftp://ftp. rediris es/sites/ftp redhat. com/pub/redhat/linux/9/en/os/i386/RedI at/RPMS/sudo-16 6-3. 1386. rpm 执行#pm- ivh sudo*进行安装,然后用/ usr/sbin/vi sudo 编辑 /etc/ sudoers文件 sudoers这个文件是由一个选择性的主机别名( host alias)节区, 个选择性的指令别名( commandalias)节区以及使用者说明 ( user specification)节区所组成的。所有的指令别名或主机别名必须 需以自己的关键字作为开始( Host alias/ Cmnd alias)
8.1.6 Linux网络安全工具 1.sudo sudo是系统管理员用来允许某些用户以root身份运行部分/全部系统命 令的程序。一个明显的用途是增强了站点的安全性,如果用户需要每 天以root身份做一些日常工作,经常执行固定的几个只有root身份才 能执行的命令,那么用sudo是非常适合的。 下面以Redhat 9.0为例,介绍sudo的安装及设置过程: 一般情况下,Redhat 9.0中都已经缺省安装了当前较新的版本sudo- 1.6.6-3。如果你的系统中没有安装,你能从下面的地址中下载for Redhat Linux的rpm package。 ftp://ftp.rediris.es/sites/ftp.redhat.com/pub/redhat/linux/9/en/os/i386/RedH at/RPMS/sudo-1.6.6-3.i386.rpm 执 行 #rpm -ivh sudo* 进 行安 装, 然 后用/usr/sbin/visudo 编 辑 /etc/sudoers文件。 sudoers这个文件是由一个选择性的主机别名(host alias)节区,一 个选择性的指令别名(command alias)节区以及使用者说明 (user specification)节区所组成的。所有的指令别名或主机别名必须 需以自己的关键字作为开始(Host_Alias/Cmnd_Alias)
使用者说明节区格式: 使用者接取群组[:接取群组] 接取群组∷:=主机象征=[op]指令象征[,[op]指令象征 主机象征 个小写的主机名称或主机别名。 指令象征 个指令或指令别名。 逻辑的’!’否定运算元 主机别名节区格式: Host alias主机别名=主机列表 Host alias:=这是一个关键字。 主机别名:=一个大写的别名 主机列表∷=以逗号间隔的一些主机名称。 指令别名节区格式: Cmnd alias指令别名=指令列表 Cmnd alias:=这是一个关键字 指令别名 个大写的别名 指令列表:=以逗号间隔的一些指令
使用者说明节区格式: 使用者 接取群组 [: 接取群组 ]... 接取群组 ::= 主机象征 = [op]指令象征 [,[op]指令象征]... 主机象征 ::= 一个小写的主机名称或主机别名。 指令象征 ::= 一个指令或指令别名。 op ::= 逻辑的 '!' 否定运算元。 主机别名节区格式: Host_Alias 主机别名 = 主机列表 Host_Alias ::= 这是一个关键字。 主机别名 ::= 一个大写的别名。 主机列表 ::= 以逗号间隔的一些主机名称。 指令别名节区格式: Cmnd_Alias 指令别名 = 指令列表 Cmnd_Alias ::= 这是一个关键字。 指令别名 ::= 一个大写的别名。 指令列表 ::= 以逗号间隔的一些指令