浅析Linux操作系统的网络安全及防范策略
更新时间:2023-08-05 13:52:01 阅读量: 实用文档 文档下载
浅析Linux操作系统的网络安全及防范策略
ISSN1009-3044
ComputerKnowledgeandTechnology电脑知识与技术
V01.7,No.13,May201I,pp.3014—3016,3022E—mail:info@eeee.net.cnhttp://www.dnzs.net.cnTel:+86—551-56909635690964浅析Linux操作系统的网络安全及防范策略
韩晓虹
(北京交通大学计算机与信息技术学院,北京100044)
摘要:Linux系统是类unix的网络操作系统,应用日益广泛,特别是在网络服务器方面,其安全性问题也逐渐突出,受到人们更多的关注。文章针对Linux系统所采用的网络安全机制.提出了切实可行的基于Linux系统的网络安全策略和保护措施。介绍了关闭不必要的服务和端口、进行远程安全连接、防范病毒及利用防火墙技术来保障网络的安全。
关键词:Linux;网络安全;防范策略;防火墙:Iptabeles
中图分类号:TP393文献标识码:A文章编号:1009—3044(2011)13-3014-03
ShallowAnalysisLinuxOperate
HANXiao—hongSystem’NetworkSaftyandGuardAgainstStrategy
(CalculatorandInformadonTechnicalCollegeofTransportationUniversityinPeking,Beijing100044,Ctana)
Abstract:TheLinuxsystemisatypeofnetworkoperatesystemofunix,apphcafiondaybydayextensive,especiallyinthenetworkserver,itssafetyproblemalsogradualoutstanding,be
safemechanism,put
tosubjectedtotopeople’Smoretheconcern.ThearticleaimsatLinuxthenetworkadoptedbysystemforwardpracticalviableaccordingonanetworkoftheLinuxsystemsafestrategyandprotectionmeasure.Introducedagainstvirusandmakeusecloseotioseserviceandport,carry
thesafetyoflongrangesafetyconjunction,guardofafirewalltechniquetoguar—anteenetwork.
againstKeywords:Linux;networksafety;guardstrategy;firewall;lptabeles
Linux是一种开放源代码的免费正版操作系统,基于它的自由性、开放性、免费性,目前采用Linux网络操作系统作为服务器的用户日益增多,同时也被广泛应用于个人工作站和商业开发等。相对于微软的Windows系统,Linux系统具有更好的安全性、稳定性及效率。随着Intemet/Intranet的快速发展,网络本身的安全面临着重大的挑战,因此Linux既拥有难得的发展机遇.也面临着更多的安全隐患,继而产生的信息安全问题也将愈加突显。只有网络操作系统安全可靠,才能保证整个网络的安全。分析Linux系统的安全机制,找出它可能存在的安全隐患,采取相应的安全策略、措施是相当有有必要的。本文针对Linux的网络安全采取的防范对策进行了详述。
1Linux网络安全防范对策
Linux系统采用了读写权限控制、安全审计、跟踪监测、核心授权等多种安全措施,使得Linux成为目前最具安全性和稳定性的操作系统之一,然而其安全性是建立在有效防范基础上的。当接入网络时,就会存在网络安全问题,有遭到攻击破坏的可能,因此,必须通过增强网络安全性的各种设置来提高Linux的安全性。
2关闭不必要的服务
Linux系统在安装时包含了较多网络服务,如作为服务器使用很方便,但作为用户的工作站就不太有利,会出现严重的安全问题,用户应当关闭不必要的服务。/etc/inetd服务器程序承担网络服务的任务。它同时监听多个网络端口,一旦收到外界传来的连接信息,就执行相应的TCP或UDP网络任务。而Linux中的大部分TCP或UDP网络服务都是在/ete/inetd.eonf文件中设定.它保存了系统提供intemet服务的的数据库。通过这个文件,可以关闭系统中不需要的某项服务,使它们更为安全的运行。只需要在关闭的服务名前加上#就可以了,一般来讲,除了http、smtp、telnet、ftp之外,其他服务都可以取消。如果使用的REDHATLINUX操作系统.可以考虑执行命令ntsysv使用服务配置工具。
3确保端口安全
TCP或UDP网络数据包通过使用端口号能够被正确指向相应的应用程序.而其中的每个程序也被赋予了特别的TCP或UDP端口号。网络数据包进入计算机后,操作系统会根据它包含的端口号,将其发送到相应的应用程序去。攻击者也会利用各种手段对目标主机的端口进行探测和扫描,从而收集目标主机操作系统的相关信息,所以确保端口安全有重要意义。对于易受攻击的端口,一定要采取措施加以防范,对于暂时不使用的端口应及时关闭。建议经常使用netstat等网络工具,查看是否有可疑的端口活动。如:“netdtat—an”列出本地所有的连接和监听的端口,查看有没有非法连接等。
4实现安全的远程连接
4.1慎用Telnet、Ftp等
收稿日期:2011-03—11
作者简介:韩晓虹(1979一),女,宁夏银川人,北京交通大学计算机与信息技术学院工程硕士(GCT),研究方向为计算机网络安全。3014st网络矗讯及安全r,t,tr—r本栏目贡任编辑:冯蕾
浅析Linux操作系统的网络安全及防范策略
第7卷第13期(2011年5月)ComputerKnowledgeandTechnology电奠知识与技术
实现远程连接的工具主要有Telnet、Ftp等,但它们本质很不安全,以明文方式传递口令和数据.攻击者很容易地通过截获会话来获取信息。另外,服务程序的安全验证方式也是有缺陷的,即本身容易受到中间人的攻击,攻击方式是:中间人冒充真正的服务器接收用户的数据,然后再冒充用户把数据传给真正的服务器:如果数据被中间人劫持篡改,将会出现很严重的后果。同时当使用r系列程序(rsh和rlogin)时,需考虑和Telnet、Ftp相同的安全问题。。因为r系列程序既支持远程加载程序,也可在网络节点上创建和激活远程进程,而且被创建的进程能够继承父进程的权限,这些就为攻击者在远程服务器上安装木马软件提供了机会。
4.2安全的远程连接一OpenSSH
4.2.1OpenSSH的工作原理
Hnux本身自带了一种非常安全的连接工具OpenSSH,是SSH(Secureshell,安全命令壳)协议的免费开源实现。SSH协议是一种在两台主机之间通过加密和身份验证机制提供安全链接的协议。其中,加密是传输数据的时候用密匙加以保护.验证是检验数据包或者连接是否合法。
OpenSSH的工作原理为:使用两个密匙对进行加密会话协商:主机密匙对(hostkeypair)和会话密匙对:(sessionkeypair),主机密匙对是一组公匙/私匙,当服务器系统第一次运行sshd时,通常即第一次系统启动时,就会建立这些密匙对。会话密匙对也是一组每小时都会改变的公匙/私匙。当OpenSSH客户端第一次连接到OpenSSH服务器时,它会要求你是否确认连接到正确的服务器。确认之后,客户端就会将该服务器的主机公匙复制一份保存起来。在后续连接中,客户端就会将服务器所提供的密匙与自己所提供的密匙进行比较,然后客户端生成一个随机密匙,并使用服务器的主机公匙和会话密匙对它进行加密。客户端将这个经过加密的密匙发送到服务器。然后服务器再使用它自己的私匙对这个经过加密的密匙进行解密。这个过程会建立一个密匙,这个密匙只有客户端和服务器知道.并被用来对会话中的其他信息进行加密。
4.2.2OpenSSH主要应用的客户端程序
OpenSSH有3个主要应用的客户端程序:ssh、scp和sfip
1)ssh,提供的远程连接工具之一.可登录到远程系统并执行命令。命令行的格式为:
ssh[options】【user@]host[command】
2)sep(securecopy,安全复制)是一个远程文件的安全复制程序,ssh启动时,会默认启动,能够提供与ssh一样的安全性,使用ssh来传递文件,并拥有与ssh相同的身份验证机制。命令行的格式为:scp[[user@]from—host:】source—file[[user@]to—host:】【desina—tion-file】
3)sfp,是一个交互式的文件传输程序。在功能上等同于flp’因此在Linux平台下可代替它,提供一种安全连接F,rP服务器的方式。命令行的格式为:sfp
4.2,3hostOpenSSH的安全特性
OpenSSH能够对包括密码、安全性信息在内的所有数据流进行加密,实现安全的加密通道,从而规避在非安全网络中存在的窃听、拦截、以及恶意攻击所造成的危害,同时它也支持加密层之上的数据压缩,从可提高传输性能。
5Linux防火墙技术
5.1防火墙简介
防火墙是指一个能把内部计算机网络与因特网分隔开的屏障,它由计算机硬件和特殊的软件有机结合而成.使内部计算机网络与因特网之间建立起一个安全网关,从而保护内部计算机网络免受外部非法用户的入侵。防火墙提供信息安全服务,实现网络和信息安全的基础设施,可以抵御目前常见的各类网络攻击手段,如:IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击、邮件攻击等。
5.2Netfiiter/lptabeles防火墙框架
在Linux系统中。提供了一个免费的防火墙Netfiher/Iptabeles软件,是Linux系统中实现数据包过滤功能的第四代应用程序,包含在Linux2.4以后的内核中。该软件不仅功能强大,而且配置也十分灵活。它可以对流入和流出的信息进行细化控制,可以实现防火墙、NAT和数据包的分割等功能。防火墙内置有两个网卡:一个由内向外发送数据,一个由外往内发送数据Iptabeles读取进入和外出的数据包的头,归纳出数据流的规则,并将它们与Iptabeles定义的规则表相比较,符合定义的规则的数据将继续发往目的地地址,不符合定义的规则的数据将丢弃或按规定规则处理,从而保护网络的安全。对于一般用途的服务器,可以使用“安全级别设置”工具,启动基本的防火墙设置来保护系统,更高级的配置,如:数据流路由、地址伪装、地址转换,或者拥有很多接口,必须手工编写Iptabeles规则。
5.3防火墙技术
传统的防火墙技术主要有两种:分别是数据包过滤防火墙、应用层网关防火墙。
5.3.1数据包过滤防火墙技术
数据包过滤防火墙主要是基于数据包过滤技术(PacketFilter),一般工作在网络层,依据系统内设置的过滤规则,也称为(访问控制列表)检查数据流中的每个数据包,并根据数据包中的源地址、目的地址、TCP/UDP端口号及数据包头中的各种标志位、协议状态等因素,或它们的组合来确定是否允许数据包通过,其核心是安全策略(过滤算法)的设计,使用数据包过滤技术可以通过简单地规定适当的端口号来达到阻止或允许一定类型的连接之目的,并可进一步组成一组数据包过滤规则。当一个服务器的守护进程在运行时,大多都会在一个或多个端口上监听外部的连接。而该服务器上的另外一些服务或端口,由于不提供对外服务,则需要被保护.以防止外部的非法访问,从而不会成为非法入侵的入口。数据包过滤防火墙价格便宜,逻辑简单,也易于安装与使用,网络性能本栏目责任编辑:冯蕾
浅析Linux操作系统的网络安全及防范策略
ComputerKnowledgeandTechnology电脑知识与技术第7卷第13期(2011年5月)好,通常安装在路由器。
5.3.2应用层过滤防火墙技术
应用层网关(ApplicationLevelGateways)是在网络应用层上实现过滤和转发功能。针对特定的网络应用服务协议使用指定的数据过滤逻辑,在过滤的同时,对数据包进行必要的分析、统计等,形成报告。实际中的应用网关安装在专用工作站系统上。
5.4Iptabels表功能
Iptabels中共有i类表。数据包过滤filter表、网络地址转换nat表、数据包处理mangle表。它们都是基于Netfiher的钩子函数和Ip表,是相互间独立的模块,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则表,对对应的数据包进行匹配,每条规则指定应当如何处理与之匹配的包。
5.4.1Netrdter/iptabeles数据包过滤
filter表不会对数据包进行修改。而只对数据包进行过滤,它通过Linux|人J核的三条数据包过滤链:NF-IPLOCAL_INPUT、NF.IP.FORWORD、NFIPLOCALOUTPUT接入Netfiher框架。默认情况下,一个数据包进入路由器后,由该路由器判断该数据包是进入NF_IP—LOCAL_INPUT链还是进入NF-IP—FORWORD链,即:该数据包足被本主机接收还是转发。如果一个数据包是本地产生的,它就被发往NF-IP—LOCAL_OUTPUT链,由这条链检查这个数据包是否能被发出去。这三个点上都有自己的过滤规则,只有满足该点的规则,这个数据包才能被转发或者接收。
5.4.2NAT地址转换模块
地址转换完成的功能是对进出防火墙的数据包修改其源地址/源端口或目的地址/目的端口,并将返回的数据包做反向转换。NAT表监听i个Netfiher钩子函数:NFjP—PRE—ROUNTING、NF-IP-P0s1'_ROUN‘rING及NF-IP—LOCAL.oUTPUT。地址转换包括两种形式:源地址转换和目的地址转换。NF_IP—PRE—ROUNTING实现对源地址的地址转换,在这里NF-IP—PRE—ROUNTING修改该数据包的源地址为本机地址,然后才发出去,即源地址转换。NF-IPPOST_ROUN7rING实现对目的地址的转换,它的作用是把目的地址转换为本机地址,然后再把数据包发到NFjP—LOCAL_INPUT链上去。NF_IPLOCAL_OUTPUT实现对于本地数据包目的地址转换。这种地址转换允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。5.4.3数据包处理模块
mangle表数据包处理模块是在NF—IP—PRE—ROUNTING和NF-IP-POS7r_ROUNTING上注册一些处理函数,实现对某些数据包的修改或给其添加一些外带数据。该功能主要运用于IP网络中的流量控制和服务质量的实现。
6对病毒入侵的安全防范
Linux病毒防护是使用Linux的用户愈加关注的问题,也是关系到系统安全的一个重要的方面。
6.1Linux病毒简介
1996年秋.澳大利亚一个叫VLAD的组织用汇编语言编写了Linux系统下的第一个病毒Staog,它专门感染二进制文件,并通过三种方式去尝试得到root权限。当然,设计Staog病毒只是为了演示和证明Linux有被病毒感染的潜在危险,它并没有进行任何损坏行为。虽然从第一个Linux病毒的发现至今,Linux平台下的病毒种类远没有Windows的庞大,(大致分为5类:l、感染ELF格式文件的病毒2、脚本病毒3、蠕虫病毒4、后门程序5、其它病毒,如:存在于Linux文件系统的WINDOWS病毒等)其主要病毒威胁来自于Slapper、Scalper、Linux.Svat、BoxPoison、Lion.worm、OSF.8759等病毒,而最为熟悉和常见的病毒也是针对Linux系统某些服务中的bug的蠕虫病毒。虽然到目前Linux系统还未出现集中爆发广泛传播的病毒,然而随着的Linux系统连接到局域网和广域网上的应用日益广泛普遍,自然增加了受攻击的可能性,以及病毒利益化的趋势,新的病毒将不断出现,因此作为Linux系统的管理和维护人员需要提高自身安全素养,对Linux下各种病毒以及系统自身有深入了解,及时关注新的安全技术和发展,从而防范病毒侵害并能及时保护系统,
6.2Linux病毒防护方案
6.2.1安装防毒软件。定期升级病毒代码库、查杀病毒
如果使用I,inux作为服务器的话,应定期扫描检测病毒、蠕虫和木马,对于连接到Intemet的服务器需要更加注意,提供邮件服务的Linux服务器,最好配合使用一款E—Mial病毒扫描工具,确保服务器收发的邮件安全。如果提供文件服务,建议最好部署一款同时查杀Linux和Windows病毒的杀毒软件。,
6.2.2及时为系统打补丁
修正补救系统安全漏洞.
6.2.3关注软件漏洞
通常在Linux的服务器上运行着盯P、MySQL、Apache、Telnet等软件,其中大部分都是开源的软件,并且都在不断的升级之中,需要经常关注相关网站.及时进行相应软件的升级或打补丁
6。2.4不要完全依赖安全设备
目前很多有条件的企业都采用了很多安全防范技术和设备:防火墙、垃圾邮件过滤、VPN、人侵检测(IDS)、入侵防御(IPS)等,这些安全设备发挥功效的大小很大程度取决于使用者的安全意识和安全素养,不同的配置,结果也将会是有相当大差别的。
6.2.5其他方面
不要使用root权限进行日常的操作,除非必须时;对于Linux服务器,除了必须的服务之外,不要在它上面运行来历不明的可执行程序或脚本:不要随意安装来历不明的各种设备驱动程序。
(下转第3022页)
本栏目责任编辑:;马蕾
浅析Linux操作系统的网络安全及防范策略
ComputerKnowledgeandTechnology电脑知识与技术第7卷第13期(2011年5月)
B=A R=(al,a2,…,曲Ir2lr22…‰I
式中:
矗表示的是模糊关系数据矩阵R经过与模糊权向量集A矩阵运算后,得到的修正关系向量。
这样做的意义在于使用模糊权向量集A矩阵来对关系隶属矩阵R进行修正,使得到的综合评判向量更为客观准确。
61对模糊综合评判结果B的归一化处理
根据上一步的计算,得到了对网络各安全评价指标的评判结果向量集B=(b。,b:,…,bJ
由于对每个评价指标的评判结果都是一个模糊向量,不便于各评价指标间的排序评优,因而还需要进一步的分析处理。
对模糊综合评判结果向量进行归一化处理:
bj’=b/n
从而得到各安全评价指标的归一化向量,从而对各归一化向量进行相应。
5结束语
本论文首先介绍了网络安全评估技术的基本知识,然后对安全评估模型进行了分析计算,阐述了网络安全技术措施的有效性;最后对网络安全态势的评估给出了具体的算法和公式。通过本文的技术研究,基本上对网络信息系统的安全评估技术有了初步的了解,下一步还将对安全评估的风险、安全评估中相关联的各项因素进行研究。
参考文献:
【1】逮昭义.计算机通信网信息量理论[M】.北京:电子工业出版社,1997:57—58.
【2】张义荣.计算机网络攻击效果评估技术研究【J】.国防科技大学学报,2002(5).
【3】张义荣,鲜明,王国玉.一种基于网络熵的计算机网络攻击效果定量评估方法叨.通信学报,2004(11).
(上接第3016页)
7结束语
本文比较全面地阐述了Linux网络安全防范策略。要保证Linux网络安全,有必要对系统做好备份工作.注意日志文件里的的异常记录,定期对系统进行安全检查,发现漏洞要及时下载补丁,同时也需要综合利用各种安全工具和技术.根据实际情况、环境与要求,因地制宜地分析,制定合理有效的安全策略。随着Linux系统的发展,对Linux系统的攻击方式也在不断改变,因此Ijnux网络安全工作需要跟随技术和管理的发展而更新,应随时关注安全技术的发展,对安全防范系统进行必要升级,来保证Linux系统的安全性。
参考文献:
【1]杨明华,谭励,于重重.Linux系统与网络服务管理技术大全【M】.2版.北京:电子工业出版社,2010.
【2]杨登攀.基于Linux系统的安全分析与防范策略【J】.福建电脑,2009(5):50—51.
【3】张勤,杨章明.IAnux服务器配置全程实录[M】.北京:人民邮电出版社,2010.
【4】SobellMG.RedHatLinux指南服务器设置与程序设计篇[M】.杨明军,译.北京:人民邮电出版社,2008.
[5】曾斯.Linux操作系统下的安全性研究『J1.福建电脑,2010,(11):78—79.
[6】于宗平,万振凯.Linux网络技术安全[J】.电脑与信息技术,2009,17(5):60—62.
【7】李洋.Linux安全技术内幕【M】.北京:清华大学出版社,2010.
[8】广东省lAnux公共服务技术中心组,何世晓.Linux系统管理师【M】.北京:机械工业出版社,2009.
【9]9佚名.认识Linux病毒做好操作系统防护工程.[EB/OL]http://linux.chinaiflab.com,s小,754715.html.
flolChinaUnix文档频道.全而阐述Linux病毒防护[EB/OL]http://wenku.baidu.com/view/884227a30029bd64783e2c94.html.
3()22网络曩讯及安全 本栏目责任编辑:冯蕾
浅析Linux操作系统的网络安全及防范策略
浅析Linux操作系统的网络安全及防范策略作者:
作者单位:
刊名:
英文刊名:
年,卷(期):韩晓虹, HAN Xiao-hong北京交通大学计算机与信息技术学院,北京,100044电脑知识与技术COMPUTER KNOWLEDGE AND TECHNOLOGY2011,7(13)
本文链接:http://www.77cn.com.cn/Periodical_dnzsyjs-itrzyksb201113015.aspx
正在阅读:
中国历史文化论文02-02
我当一天妈妈作文600字07-03
现代企业管理理论07-18
学校德育工作调研报告(上交)01-19
小学生三年级快乐的童年作文300字06-12
议论文常见结构108-15
港池岛护岸工程2标施工组织设计08-28
- 教学能力大赛决赛获奖-教学实施报告-(完整图文版)
- 互联网+数据中心行业分析报告
- 2017上海杨浦区高三一模数学试题及答案
- 招商部差旅接待管理制度(4-25)
- 学生游玩安全注意事项
- 学生信息管理系统(文档模板供参考)
- 叉车门架有限元分析及系统设计
- 2014帮助残疾人志愿者服务情况记录
- 叶绿体中色素的提取和分离实验
- 中国食物成分表2020年最新权威完整改进版
- 推动国土资源领域生态文明建设
- 给水管道冲洗和消毒记录
- 计算机软件专业自我评价
- 高中数学必修1-5知识点归纳
- 2018-2022年中国第五代移动通信技术(5G)产业深度分析及发展前景研究报告发展趋势(目录)
- 生产车间巡查制度
- 2018版中国光热发电行业深度研究报告目录
- (通用)2019年中考数学总复习 第一章 第四节 数的开方与二次根式课件
- 2017_2018学年高中语文第二单元第4课说数课件粤教版
- 上市新药Lumateperone(卢美哌隆)合成检索总结报告
- 浅析
- 网络安全
- 防范
- 操作系统
- 策略
- Linux
- 电影《暖春》观后感
- 2014年度二级建造师资格考试考后审查
- 苏教版七年级语文下册第六单元教学设计
- 2016年哈尔滨工业大学人文学院857经济学之政治经济学考研必备复习题库及答案
- ESD静电问题终极解决方案
- 大学主题班会记录
- 门禁系统ProWatch软件数据库结构介绍-事件信息部分
- 华硕电脑公司的战略审计
- 11.6 热力学第一定律 能量守恒定律
- 测试与检测技术基础(1基本概念)16206875ppt课件
- 高中生物基因工程1.1DNA重组技术的基本工具课件新人教选修3(1)
- 第5课_奋发图强艰苦创业
- MySQL5.1安装配置图解
- 铜—吡唑啉酮2,6吡啶二羧酸配合物的合成、表征及其性质研究
- 2017年西南林业大学生态旅游学院342农业知识综合四考研强化模拟题
- 美国研究型大学的教育改革与创新_以杜克大学为例
- 测量平差中最小二乘法的数学原理及简例
- 巧妙记英语单词_形近词趣味串记汇总.
- 政府绩效评估中的公民参与_我国的实践历程与前景_周志忍
- 2010南邮通信原理和数字信号处理的大纲