浅谈linux系统的网络安全及其应对策略new

《浅谈linux系统的网络安全及其应对策略new》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

万方数据探索浅谈Linux系统的网络安全及其应对策略李荣芳(陕西邮电职业技术学院摘要完善的内置网络功能是Linux优于其他系统的显著特点，但是Linux并不能儇证绝对的安全，在实际应用中仍然需要管理员做好网络安全策略，本文就此问题展开讨论。关键词Linux网络安全策略中图分类号：TP393文献标识码：Al引言Linux操作系统最早是由芬兰的LinusTorvalds1991年8月在上学时发布的，后经众多世界项尖的软件工程师的不断修改和完善，Linux在全球普及开来，在服务器领域及个人桌面版得到越来越多的应用，在嵌入式开发方面更是具有其它操作系统无可比拟的优势。与此同时也带来了许多网络安全问题，网络安全成为网络用户关心的一个热点问题，本文就Linux的网络安全问题展开讨论。2Linux系统的网络安全隐患(1)Linux系统可以使用启动盘来启动计算机，而无需使用root口令即可获得超级用户root所具有的权限。这是一个很严重的安全隐患，因为它使root口令失去了意义。(2)Linux的弱口令隐患。不少网站的管理员账号密码、fIp账号密码、sql账号密码等都是使用很简单的或是很容易猜测到的字母或数字(利用现有的)Plll机器配合编写恰当的破解软件足以在短时间内轻松破解，一旦口令被破解，网站就意味着被攻破。(3)SETUID隐患。SElUID是为解决某些普通用户在执行程序时须暂时获得root特权的程序执行问题，这也是一个很大的安全隐患。(4)缓冲区溢出隐患。当输入数据超出所分配存储空间而系统又没有对此作直接处理时将产生缓冲区溢出问题。3Linux系统的网络安全防范策略作为Linux网络系统的管理员，既要时刻警惕来自外部的黑客攻击，又要加强对内部网络用户的管理和教育，具体可以采用以下的安全策略：(1)关闭无用的端13。任何网络连接都是通过开放的应用端1：3来实现的。如果尽可能少的开放断口，就会使网络攻击变成无源之水，从而大大减少了攻击者成功的机会。(2)13令管理。I：1令的长度一般不要少于8个字符，口令的组成应以无规则的大小写字母、数字和符号相结合，严格避免用英语单词或词组等设置E1令，而且各用户的1：3令应该定期更换。另外，口令的保护还涉及到对／etc／passwd和／ete／sha-dow文件的保护，必须做到只有系统管理员才能访问这2个文件。安装一个口令过滤工具加npasswd，能帮你检查你的I：l辛富国陕西·成阳712000)令是否耐得住攻击。如果你的系统中没有安装口令过滤工具，请马上检查所有用户的口令是否能被穷尽搜索到，即对／eet／passwd文件实施穷尽搜索攻击。(3)分区管理。一个潜在的攻击首先会尝试缓冲区溢出。更为严重的是，缓冲区溢出漏洞占了远程网络攻击的绝大多数，这种攻击可以轻易使得一个匿名的Intemet用户有机会获得一台主机的部分或全部的控制权。为了防止此类攻击，我们从安装系统时就应该注意．如果用root分区记录数据，如log文件，就可能因为拒绝服务产生大量日志或垃圾邮件，从而导致系统崩溃。所以建议为／var开辟单独的分区，用来存放日志和邮件，以避免root分区被溢出。最好为特殊的应用程序单独开一个分区，特别是可以产生大量I：1志的程序，还建议为／home单独分—个区，这样他们就不能填满分区了，从而可有效避免部分针对Linux分区溢出的恶意攻击。(4)使用保留m地址。维护网络安全性最简单的方法是保证网络中的主机不同外界接触。最基本的方法是与公共网络隔离。这时，使用保留lP地址是一种简单可行的方法，它可以让用户访问Intemet同时保证一定的安全性。RFCl918规定了能够用于本地TCP／IP网络使用的IP地址范围，这些lP地址不会在Intemet上路由，因此不必注册这些地址。通过在该范围分配IP地址，可以有效地将网络流量限制在本地网络内。这是一种拒绝外部汁算机访问而允许内部汁算机互联的快速有效的方法。保留口地址范围：10．0．0．0—10．255．255．255172．16．0．0—172．31．255．255192．168．0．0--192．168．255．255来自保留m地址的网络交通不会经过Intemet路由器，因此被赋予保留IP地址的任何计算机不能从外部网络访问，，但是，这种方法同时也不允许用户访问外部网络，不过可以利用lP伪装解决这一问题。(5)不设置缺省路由。在主机中，应该严格禁止设置缺省路由defaultroute。建议为每一个子网或网段设置～个路由．否则其它机器就可能通过一定方式访问该主机。(6)采用防火墙技术。防火墙是阻止非授权用户进入、离开、穿过网络或主机系统一种部件或一系列部件，可以采用系统附带的工具和专用的防火墙来实现主机系统或网络安全，通过适当配置可有效地限制、保护系统以及控制局域网范围内的访问。防火墙系统一般提供如下功能：访问控制、审计、抗攻击、其他附属功能。(7)采用加密技术。加密技术主要是指数据传输加密和数据存储加密数。数据传输加密技术是对传输中的数据流加密，常用的方法有“数据线路加密”和“端．端加密”两种。前者主要考虑数据在传输线路上的安全，而不考虑(下转第174页) 万方数据探索面向对象的基本设计思想则是自底向上设计库类，并把组件的实现和接口分开。3．5可扩展性比较面向过程技术设计开发的程序一旦功能变化，就会危及整个系统，扩展性差。面向对象的程序可以通过修改或增加操作进行功能的重建，而基本对象结构不变，扩展性好。3．6控制程序方式的比较面向过程是通过设计程序以调用或返回程序。面向对象则通过“事件驱动”来激活和运行程序。3．7处理问题时的出发，点比较面向过程处理问题时强调将过程抽象化和模块化，以过程为中心构造或处理客观世界问题的。面向对象处理『口J题时强调把问题域的要领直接映射到对象及对象之间的接口上，是用符合人们通常的思维方式来处理客观世界的问题。3．8学习者的接受程度的比较面向过程的程序设计知识内容相对少，对于初学者而言易于掌握。面向对象的程序设计知识内容广，概念多，很多知识又比较抽象，初学者难于理解。3．9编程语言的比较面向过程的程序设计语言主要发展于70年代之前，如：C、BASIC、FORTRAN等。面向对象的程序设计语言主要形成于70年代以后，如：C++、VB、JAVA等。3．10常用概念或术语的比较面向过程多借助过程、函数、数据等概念描述程序设计。面向对象采用对象、类、消息、继承等术语描述程序设计。3．1l要素的对应关系比较面向过程以算法为中心，由算法完成对数据的操作，面向对象技术是以属性为中心，以消息和方法机制完成对对象的操作，对象作为数据，而不是作为过程被描述。3．12程序执行机制的比较面向过程采用单线程体系结构，每个进程都有一段专用内存区域，程序在某一时刻只执行一条语句。面向对蒙技术多采用多线程体系结构，允许线程间共享相同的内存单元，并利用这些共享单元来实现数据交换，实时通信及必要的同步操作，在程序执行过程中为每个线程部分分配代码，让其分别动态执行。多线程的实现，可以有效地改善与用户的交互，使系统得以同时处理多个请求。4软件设计思想变迁带来的启示由于软件设计思想的变迁，程序开发理念也在不断得以发展、进化，面向对象技术对数据和算法的封装，以及继承多态机制可实现世界的任何对象，使原本在面向过程中难以实现的问题变得既规范又容易，特别为大型软件团体多人同时开发提供了条件。由于具有更好的可靠性、实用性、可修改性、可维护性、可重用性及易读易管理等优点，面向对象技术已经发展成为当今软件开发主流。但同时我们也应该记住，面向对象存在许多不足，如何在实际应用中弥补这些不足，值得每个程序设计人员进行深入研究。我们希望计算机编程思路尽可能地与人类的思维靠近，计算机的编程能够为更多的人所掌握和利用。参考文献【1】柳青．计算机应用基础【M1．|E京：高等教育出版社．2008．12】丁益民．程序设计方法发展的几个阶段．武汉工程职韭技术学院学报．2∞】，丘D】张岚．浅谈面向肘象的程序设计．内蒙J古科技与经济；2009．3．【4】喻梅．结构化程序设计方法与面向对象程序设计方法之比较．科技信息。2009．14．(上接第172页)数据的信源节点与信宿节点；后者则指信息在发送端自动加密，并进入TCPflP数据包，然后作为不町阅读和不可识别的数据穿过因特网，当这些信息一旦到达目的地，将被自动重组、解密，重新变成为可读数据。数据存储加密技术是防止信息在存储过程中的数据泄密，分为密文存储和存取控制两种。(8)加强服务器防病毒功能。虽然从理论上说在Linux系统上可以产生一个病毒，但那是很用难的事情，只有拥有root访问权限才能执行一个能起大破坏的病毒。但是Linux潜在的对病毒的免疫性可以被用来做Linux的防病毒系统。不仅Linux的SAMBA服务器应该扫描被Windows客户机存放的被病毒感染的文件，一个基于Linux的反病毒网关也应该用于为整个网络扫描和保护SMTP、FTP和Web通信等。4结语由于Linux操作系统使用广泛，又公开源码．因此被广大计算机用户研究得最彻底。而Linux本身的配置又相当的复杂，对于Linux的系统管理员．头脑中一定要有安全防范意识，定期检查系统，发现漏洞要立即采取措施。参考文献【I】【美]AronHsiao．Linux系统安会基础【M】．北京：人民邮电出版社，2002．嘲潘瑜．基于Linux系统的9目络安全策略．计算机基础教程湖．(上接第90页)(6)课程实施的建议。根据课程实施的各个环节，提出教学建议、教材编写建议、教学评价建议、课程资源开发与利用建议等。总之，课程标准的制定是一项复杂的系统t程，适应高职人才培养需要的课程标准不仅能全面提升职业教育质量，而且对于促进职业教育的课程改革起到重要作用。按照实习实训课程标准进行实习实iJiI课程的实施，培养的学生岗位的适174圄四日压皿应能力强，用人单位非常乐于接受。参考文献【l】十联晓．理性构建高职教育中的课程标准．宁波T程学院学报，2008(2)．【2】刘晓欢，向丽．岛职课程标准基本问题探讨．中国高教研究2009(4)．【31成丙炎，夏玲．高职课程标准：一个值得关注的问趣．长春理工丈学学报(高教版)，2009．10．【41付成喜，李永梅．职业能力的培养与实训课程关系的研究．科技创新导报。2009． 浅谈Linux系统的网络安全及其应对策略作者：李荣芳，辛富国作者单位：陕西邮电职业技术学院,陕西·咸阳,712000刊名：科教导刊英文刊名：THEGUIDEOFSCIENCE&EDUCATION年，卷(期)：2009(31)参考文献(2条)1.潘瑜基于Linux系统的网络安全策略2.AronHsiaoLinux系统安全基础2002本文链接：http://d.g.wanfangdata.com.cn/Periodical_kjdk200931114.aspx