欢迎来到天天文库
浏览记录
ID:44416568
大小:118.50 KB
页数:15页
时间:2019-10-21
《Linux网络安全问题及其对策》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、Linux网络安全问题及其对策文章摘要:Linux作为开放式操作系统具有很多优点,但也存在一些安全隐患。关于如何解决这些隐患,为应用提供一个女全的操作平台,本文会告诉你一些最基本、最常用,同时也是最有效的招数。正文:Linux网络安全问题及其对策背景Linux不论在功能上、价格上或性能上都有很多优点,然而,作为开放式操作系统,它不nJ避免地存在一些安全隐患。关于如何解决这些隐患,为应用提供一个安全的操作平台,本文会告诉你一些最基本、最常用,同时也是最有效的招数。Linux是一种类Unix的操作系统。从理论上讲,Unix本身的设计并没有什么重大的安全缺陷。多年來,绝大多数
2、在Unix操作系统上发现的女全问题主要存在丁•个别程序中,所以人部分Unix厂商都声称有能力解决这些问题,提供安全的Unix操作系统。但Linux有些不同,凶为它不属于某一家厂商,没有厂商宣称对它提供安全保证,因此用八只有自己解决安全问题。Linux是一个开放式系统,对以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具來潜入Linux系统,或者盗取Lirwx系统上的重要信息。不过,只要我们仔细地设定Linux的各种系统功能,并且加上必要的安全措施,就能让黑客们无机可乘。-般来说,对Linux系统的安全设定包折取消不必要的
3、服务、限制远程存取、隐藏重要资料、修补女全漏洞、采用安全工具以及经常性的女全检查等。本文以红旗Linux为例,讲述一些提高Linux系统安全性的方法,相信对于提离川户Linux系统的安全性人有裨益。一、取消不必要的服务早期的Unix版木中,每一个不同的网络服务都有一个服务程序在后台运行,后来的版本用统一的/etc/inetd服务器程序担此重任。Inetd是Internetdaemon的缩写,它同时监视多个网络端口,一旦接收到外界传来的连接信息,就执行相应的TCP或UDP网络服务。由于受inetd的统一指挥,因此Linux中的人部分TCP或UDP服务都是在/etc/ine
4、td.conf文件屮设定。所以取消不必要服务的第一步就是检查/etc/inetd.conf文件,存不要的服务前加上〃号。一般来说,除了http、smtp、telnetftp之外,其他服务都应该取消,诸如简单文件传输协议tftp、网络邮件存储及接收所用的imap/ipop传输协议、寻找和搜索资料用的gopher以及用丁•时间同步的daytime和time等。还佇一些报告系统状态的服务,如finger、efinger、systat和netstat等,虽然对系统查错和寻找用户非常有用,但也给黑客提供了方便之门。例如,黑客可以利用finger服务査找川户的电话、使川目录以及其他
5、重要信息。因此,很多Linux系统将这些服务全部取消或部分取消,以增强系统的安全性。Tnetd除了利用/etc/inetd.conf设置系统服务项Z外,还利川/etc/services文件查找各项服务所使用的端口。因此,用户必须仔细检杳该文件小各端口的设定,以免有安全上的漏洞。在Linux屮有两种不同的服务类型:一种是仅在有需要时才执行的服务,如finger服务;另一种是一直在执行的永不停顿的服务。这类服务在系统启动时就开始执行,因此不能靠修改inetd來停止其服务,而只能从修改/etc/rc.d/rc[n].d/文件或用Runleveleditor去修改它。提供文件服
6、务的NFS服务器和提供NNTP新闻服务的news都属于这类服务,如果没有必要,最好取消这些服务。二、口令安全在进入Linux系统Z前,所有用户都需要登录,也就是说,用户需耍输入用户账号和密码,只有它们通过系统验证之后,用八才能进入系统。与其他Unix操作系统一样,Linux一般将密码加密Z后,存放在/etc/passwd文件中。Linux系统上的所有用八都可以读到/etc/passwd文件,虽然文件中保存的密码已经经过加密,但仍然不太安全。因为一般的用户可以利用现成的密码破译工具,以穷举法猜测出密码。比较安全的方法是设定影子文件/etc/shadow,只允许有特殊权限的
7、用户阅读该文件。在RedFlagLinux中捉供为影子口令有很好的支持,提供了丰富的工具:1>把止常口令转换成shadow口令,并转回(pwconv,pwunconv)。2、较验口令、组和相应的shadow文件(pwck,grpck)03^增加、删除和修改丿U户帐号的工业标准方式(useradd,usermod,,和userdel)04、增加,删除和修改用户组的工业标准方式(groupadd,,groupmod,和groupde1)o5、管理/etc/group文件的工业标准方式(gpasswd)0请注意:关于这些工具,还有一点有趣的地方
此文档下载收益归作者所有