浅析Linux操作系统的网络安全及防范策略

浅析Linux操作系统的网络安全及防范策略

ＩＳＳＮ１００９－３０４４

ＣｏｍｐｕｔｅｒＫｎｏｗｌｅｄｇｅａｎｄＴｅｃｈｎｏｌｏｇｙ电脑知识与技术

Ｖ０１．７，Ｎｏ．１３，Ｍａｙ２０１Ｉ，ｐｐ．３０１４—３０１６，３０２２Ｅ—ｍａｉｌ：ｉｎｆｏ＠ｅｅｅｅ．ｎｅｔ．ｃｎｈｔｔｐ：／／ｗｗｗ．ｄｎｚｓ．ｎｅｔ．ｃｎＴｅｌ：＋８６—５５１－５６９０９６３５６９０９６４浅析Ｌｉｎｕｘ操作系统的网络安全及防范策略

韩晓虹

（北京交通大学计算机与信息技术学院，北京１０００４４）

摘要：Ｌｉｎｕｘ系统是类ｕｎｉｘ的网络操作系统，应用日益广泛，特别是在网络服务器方面，其安全性问题也逐渐突出，受到人们更多的关注。文章针对Ｌｉｎｕｘ系统所采用的网络安全机制．提出了切实可行的基于Ｌｉｎｕｘ系统的网络安全策略和保护措施。介绍了关闭不必要的服务和端口、进行远程安全连接、防范病毒及利用防火墙技术来保障网络的安全。

关键词：Ｌｉｎｕｘ；网络安全；防范策略；防火墙：Ｉｐｔａｂｅｌｅｓ

中图分类号：ＴＰ３９３文献标识码：Ａ文章编号：１００９—３０４４（２０１１）１３－３０１４－０３

ＳｈａｌｌｏｗＡｎａｌｙｓｉｓＬｉｎｕｘＯｐｅｒａｔｅ

ＨＡＮＸｉａｏ—ｈｏｎｇＳｙｓｔｅｍ’ＮｅｔｗｏｒｋＳａｆｔｙａｎｄＧｕａｒｄＡｇａｉｎｓｔＳｔｒａｔｅｇｙ

（ＣａｌｃｕｌａｔｏｒａｎｄＩｎｆｏｒｍａｄｏｎＴｅｃｈｎｉｃａｌＣｏｌｌｅｇｅｏｆＴｒａｎｓｐｏｒｔａｔｉｏｎＵｎｉｖｅｒｓｉｔｙｉｎＰｅｋｉｎｇ，Ｂｅｉｊｉｎｇ１０００４４，Ｃｔａｎａ）

Ａｂｓｔｒａｃｔ：ＴｈｅＬｉｎｕｘｓｙｓｔｅｍｉｓａｔｙｐｅｏｆｎｅｔｗｏｒｋｏｐｅｒａｔｅｓｙｓｔｅｍｏｆｕｎｉｘ，ａｐｐｈｃａｆｉｏｎｄａｙｂｙｄａｙｅｘｔｅｎｓｉｖｅ，ｅｓｐｅｃｉａｌｌｙｉｎｔｈｅｎｅｔｗｏｒｋｓｅｒｖｅｒ，ｉｔｓｓａｆｅｔｙｐｒｏｂｌｅｍａｌｓｏｇｒａｄｕａｌｏｕｔｓｔａｎｄｉｎｇ，ｂｅ

ｓａｆｅｍｅｃｈａｎｉｓｍ，ｐｕｔ

ｔｏｓｕｂｊｅｃｔｅｄｔｏｔｏｐｅｏｐｌｅ’Ｓｍｏｒｅｔｈｅｃｏｎｃｅｒｎ．ＴｈｅａｒｔｉｃｌｅａｉｍｓａｔＬｉｎｕｘｔｈｅｎｅｔｗｏｒｋａｄｏｐｔｅｄｂｙｓｙｓｔｅｍｆｏｒｗａｒｄｐｒａｃｔｉｃａｌｖｉａｂｌｅａｃｃｏｒｄｉｎｇｏｎａｎｅｔｗｏｒｋｏｆｔｈｅＬｉｎｕｘｓｙｓｔｅｍｓａｆｅｓｔｒａｔｅｇｙａｎｄｐｒｏｔｅｃｔｉｏｎｍｅａｓｕｒｅ．Ｉｎｔｒｏｄｕｃｅｄａｇａｉｎｓｔｖｉｒｕｓａｎｄｍａｋｅｕｓｅｃｌｏｓｅｏｔｉｏｓｅｓｅｒｖｉｃｅａｎｄｐｏｒｔ，ｃａｒｒｙ

ｔｈｅｓａｆｅｔｙｏｆｌｏｎｇｒａｎｇｅｓａｆｅｔｙｃｏｎｊｕｎｃｔｉｏｎ，ｇｕａｒｄｏｆａｆｉｒｅｗａｌｌｔｅｃｈｎｉｑｕｅｔｏｇｕａｒ—ａｎｔｅｅｎｅｔｗｏｒｋ．

ａｇａｉｎｓｔＫｅｙｗｏｒｄｓ：Ｌｉｎｕｘ；ｎｅｔｗｏｒｋｓａｆｅｔｙ；ｇｕａｒｄｓｔｒａｔｅｇｙ；ｆｉｒｅｗａｌｌ；ｌｐｔａｂｅｌｅｓ

Ｌｉｎｕｘ是一种开放源代码的免费正版操作系统，基于它的自由性、开放性、免费性，目前采用Ｌｉｎｕｘ网络操作系统作为服务器的用户日益增多，同时也被广泛应用于个人工作站和商业开发等。相对于微软的Ｗｉｎｄｏｗｓ系统，Ｌｉｎｕｘ系统具有更好的安全性、稳定性及效率。随着Ｉｎｔｅｍｅｔ／Ｉｎｔｒａｎｅｔ的快速发展，网络本身的安全面临着重大的挑战，因此Ｌｉｎｕｘ既拥有难得的发展机遇．也面临着更多的安全隐患，继而产生的信息安全问题也将愈加突显。只有网络操作系统安全可靠，才能保证整个网络的安全。分析Ｌｉｎｕｘ系统的安全机制，找出它可能存在的安全隐患，采取相应的安全策略、措施是相当有有必要的。本文针对Ｌｉｎｕｘ的网络安全采取的防范对策进行了详述。

１Ｌｉｎｕｘ网络安全防范对策

Ｌｉｎｕｘ系统采用了读写权限控制、安全审计、跟踪监测、核心授权等多种安全措施，使得Ｌｉｎｕｘ成为目前最具安全性和稳定性的操作系统之一，然而其安全性是建立在有效防范基础上的。当接入网络时，就会存在网络安全问题，有遭到攻击破坏的可能，因此，必须通过增强网络安全性的各种设置来提高Ｌｉｎｕｘ的安全性。

２关闭不必要的服务

Ｌｉｎｕｘ系统在安装时包含了较多网络服务，如作为服务器使用很方便，但作为用户的工作站就不太有利，会出现严重的安全问题，用户应当关闭不必要的服务。／ｅｔｃ／ｉｎｅｔｄ服务器程序承担网络服务的任务。它同时监听多个网络端口，一旦收到外界传来的连接信息，就执行相应的ＴＣＰ或ＵＤＰ网络任务。而Ｌｉｎｕｘ中的大部分ＴＣＰ或ＵＤＰ网络服务都是在／ｅｔｅ／ｉｎｅｔｄ．ｅｏｎｆ文件中设定．它保存了系统提供ｉｎｔｅｍｅｔ服务的的数据库。通过这个文件，可以关闭系统中不需要的某项服务，使它们更为安全的运行。只需要在关闭的服务名前加上＃就可以了，一般来讲，除了ｈｔｔｐ、ｓｍｔｐ、ｔｅｌｎｅｔ、ｆｔｐ之外，其他服务都可以取消。如果使用的ＲＥＤＨＡＴＬＩＮＵＸ操作系统．可以考虑执行命令ｎｔｓｙｓｖ使用服务配置工具。

３确保端口安全

ＴＣＰ或ＵＤＰ网络数据包通过使用端口号能够被正确指向相应的应用程序．而其中的每个程序也被赋予了特别的ＴＣＰ或ＵＤＰ端口号。网络数据包进入计算机后，操作系统会根据它包含的端口号，将其发送到相应的应用程序去。攻击者也会利用各种手段对目标主机的端口进行探测和扫描，从而收集目标主机操作系统的相关信息，所以确保端口安全有重要意义。对于易受攻击的端口，一定要采取措施加以防范，对于暂时不使用的端口应及时关闭。建议经常使用ｎｅｔｓｔａｔ等网络工具，查看是否有可疑的端口活动。如：“ｎｅｔｄｔａｔ—ａｎ”列出本地所有的连接和监听的端口，查看有没有非法连接等。

４实现安全的远程连接

４．１慎用Ｔｅｌｎｅｔ、Ｆｔｐ等

收稿日期：２０１１－０３—１１

作者简介：韩晓虹（１９７９一），女，宁夏银川人，北京交通大学计算机与信息技术学院工程硕士（ＧＣＴ），研究方向为计算机网络安全。３０１４ｓｔ网络矗讯及安全ｒ，ｔ，ｔｒ—ｒ本栏目贡任编辑：冯蕾

浅析Linux操作系统的网络安全及防范策略

第７卷第１３期（２０１１年５月）ＣｏｍｐｕｔｅｒＫｎｏｗｌｅｄｇｅａｎｄＴｅｃｈｎｏｌｏｇｙ电奠知识与技术

实现远程连接的工具主要有Ｔｅｌｎｅｔ、Ｆｔｐ等，但它们本质很不安全，以明文方式传递口令和数据．攻击者很容易地通过截获会话来获取信息。另外，服务程序的安全验证方式也是有缺陷的，即本身容易受到中间人的攻击，攻击方式是：中间人冒充真正的服务器接收用户的数据，然后再冒充用户把数据传给真正的服务器：如果数据被中间人劫持篡改，将会出现很严重的后果。同时当使用ｒ系列程序（ｒｓｈ和ｒｌｏｇｉｎ）时，需考虑和Ｔｅｌｎｅｔ、Ｆｔｐ相同的安全问题。。因为ｒ系列程序既支持远程加载程序，也可在网络节点上创建和激活远程进程，而且被创建的进程能够继承父进程的权限，这些就为攻击者在远程服务器上安装木马软件提供了机会。

４．２安全的远程连接一ＯｐｅｎＳＳＨ

４．２．１ＯｐｅｎＳＳＨ的工作原理

Ｈｎｕｘ本身自带了一种非常安全的连接工具ＯｐｅｎＳＳＨ，是ＳＳＨ（Ｓｅｃｕｒｅｓｈｅｌｌ，安全命令壳）协议的免费开源实现。ＳＳＨ协议是一种在两台主机之间通过加密和身份验证机制提供安全链接的协议。其中，加密是传输数据的时候用密匙加以保护．验证是检验数据包或者连接是否合法。

ＯｐｅｎＳＳＨ的工作原理为：使用两个密匙对进行加密会话协商：主机密匙对（ｈｏｓｔｋｅｙｐａｉｒ）和会话密匙对：（ｓｅｓｓｉｏｎｋｅｙｐａｉｒ），主机密匙对是一组公匙／私匙，当服务器系统第一次运行ｓｓｈｄ时，通常即第一次系统启动时，就会建立这些密匙对。会话密匙对也是一组每小时都会改变的公匙／私匙。当ＯｐｅｎＳＳＨ客户端第一次连接到ＯｐｅｎＳＳＨ服务器时，它会要求你是否确认连接到正确的服务器。确认之后，客户端就会将该服务器的主机公匙复制一份保存起来。在后续连接中，客户端就会将服务器所提供的密匙与自己所提供的密匙进行比较，然后客户端生成一个随机密匙，并使用服务器的主机公匙和会话密匙对它进行加密。客户端将这个经过加密的密匙发送到服务器。然后服务器再使用它自己的私匙对这个经过加密的密匙进行解密。这个过程会建立一个密匙，这个密匙只有客户端和服务器知道．并被用来对会话中的其他信息进行加密。

４．２．２ＯｐｅｎＳＳＨ主要应用的客户端程序

ＯｐｅｎＳＳＨ有３个主要应用的客户端程序：ｓｓｈ、ｓｃｐ和ｓｆｉｐ

１）ｓｓｈ，提供的远程连接工具之一．可登录到远程系统并执行命令。命令行的格式为：

ｓｓｈ［ｏｐｔｉｏｎｓ】【ｕｓｅｒ＠］ｈｏｓｔ［ｃｏｍｍａｎｄ】

２）ｓｅｐ（ｓｅｃｕｒｅｃｏｐｙ，安全复制）是一个远程文件的安全复制程序，ｓｓｈ启动时，会默认启动，能够提供与ｓｓｈ一样的安全性，使用ｓｓｈ来传递文件，并拥有与ｓｓｈ相同的身份验证机制。命令行的格式为：ｓｃｐ［［ｕｓｅｒ＠］ｆｒｏｍ—ｈｏｓｔ：】ｓｏｕｒｃｅ—ｆｉｌｅ［［ｕｓｅｒ＠］ｔｏ—ｈｏｓｔ：】【ｄｅｓｉｎａ—ｔｉｏｎ－ｆｉｌｅ】

３）ｓｆｐ，是一个交互式的文件传输程序。在功能上等同于ｆｌｐ’因此在Ｌｉｎｕｘ平台下可代替它，提供一种安全连接Ｆ，ｒＰ服务器的方式。命令行的格式为：ｓｆｐ

４．２，３ｈｏｓｔＯｐｅｎＳＳＨ的安全特性

ＯｐｅｎＳＳＨ能够对包括密码、安全性信息在内的所有数据流进行加密，实现安全的加密通道，从而规避在非安全网络中存在的窃听、拦截、以及恶意攻击所造成的危害，同时它也支持加密层之上的数据压缩，从可提高传输性能。

５Ｌｉｎｕｘ防火墙技术

５．１防火墙简介

防火墙是指一个能把内部计算机网络与因特网分隔开的屏障，它由计算机硬件和特殊的软件有机结合而成．使内部计算机网络与因特网之间建立起一个安全网关，从而保护内部计算机网络免受外部非法用户的入侵。防火墙提供信息安全服务，实现网络和信息安全的基础设施，可以抵御目前常见的各类网络攻击手段，如：ＩＰ地址欺骗、特洛伊木马攻击、Ｉｎｔｅｒｎｅｔ蠕虫、口令探寻攻击、邮件攻击等。

５．２Ｎｅｔｆｉｉｔｅｒ／ｌｐｔａｂｅｌｅｓ防火墙框架

在Ｌｉｎｕｘ系统中。提供了一个免费的防火墙Ｎｅｔｆｉｈｅｒ／Ｉｐｔａｂｅｌｅｓ软件，是Ｌｉｎｕｘ系统中实现数据包过滤功能的第四代应用程序，包含在Ｌｉｎｕｘ２．４以后的内核中。该软件不仅功能强大，而且配置也十分灵活。它可以对流入和流出的信息进行细化控制，可以实现防火墙、ＮＡＴ和数据包的分割等功能。防火墙内置有两个网卡：一个由内向外发送数据，一个由外往内发送数据Ｉｐｔａｂｅｌｅｓ读取进入和外出的数据包的头，归纳出数据流的规则，并将它们与Ｉｐｔａｂｅｌｅｓ定义的规则表相比较，符合定义的规则的数据将继续发往目的地地址，不符合定义的规则的数据将丢弃或按规定规则处理，从而保护网络的安全。对于一般用途的服务器，可以使用“安全级别设置”工具，启动基本的防火墙设置来保护系统，更高级的配置，如：数据流路由、地址伪装、地址转换，或者拥有很多接口，必须手工编写Ｉｐｔａｂｅｌｅｓ规则。

５．３防火墙技术

传统的防火墙技术主要有两种：分别是数据包过滤防火墙、应用层网关防火墙。

５．３．１数据包过滤防火墙技术

数据包过滤防火墙主要是基于数据包过滤技术（ＰａｃｋｅｔＦｉｌｔｅｒ），一般工作在网络层，依据系统内设置的过滤规则，也称为（访问控制列表）检查数据流中的每个数据包，并根据数据包中的源地址、目的地址、ＴＣＰ／ＵＤＰ端口号及数据包头中的各种标志位、协议状态等因素，或它们的组合来确定是否允许数据包通过，其核心是安全策略（过滤算法）的设计，使用数据包过滤技术可以通过简单地规定适当的端口号来达到阻止或允许一定类型的连接之目的，并可进一步组成一组数据包过滤规则。当一个服务器的守护进程在运行时，大多都会在一个或多个端口上监听外部的连接。而该服务器上的另外一些服务或端口，由于不提供对外服务，则需要被保护．以防止外部的非法访问，从而不会成为非法入侵的入口。数据包过滤防火墙价格便宜，逻辑简单，也易于安装与使用，网络性能本栏目责任编辑：冯蕾

浅析Linux操作系统的网络安全及防范策略

ＣｏｍｐｕｔｅｒＫｎｏｗｌｅｄｇｅａｎｄＴｅｃｈｎｏｌｏｇｙ电脑知识与技术第７卷第１３期（２０１１年５月）好，通常安装在路由器。

５．３．２应用层过滤防火墙技术

应用层网关（ＡｐｐｌｉｃａｔｉｏｎＬｅｖｅｌＧａｔｅｗａｙｓ）是在网络应用层上实现过滤和转发功能。针对特定的网络应用服务协议使用指定的数据过滤逻辑，在过滤的同时，对数据包进行必要的分析、统计等，形成报告。实际中的应用网关安装在专用工作站系统上。

５．４Ｉｐｔａｂｅｌｓ表功能

Ｉｐｔａｂｅｌｓ中共有ｉ类表。数据包过滤ｆｉｌｔｅｒ表、网络地址转换ｎａｔ表、数据包处理ｍａｎｇｌｅ表。它们都是基于Ｎｅｔｆｉｈｅｒ的钩子函数和Ｉｐ表，是相互间独立的模块，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则表，对对应的数据包进行匹配，每条规则指定应当如何处理与之匹配的包。

５．４．１Ｎｅｔｒｄｔｅｒ／ｉｐｔａｂｅｌｅｓ数据包过滤

ｆｉｌｔｅｒ表不会对数据包进行修改。而只对数据包进行过滤，它通过Ｌｉｎｕｘ｜人Ｊ核的三条数据包过滤链：ＮＦ－ＩＰＬＯＣＡＬ＿ＩＮＰＵＴ、ＮＦ．ＩＰ．ＦＯＲＷＯＲＤ、ＮＦＩＰＬＯＣＡＬＯＵＴＰＵＴ接入Ｎｅｔｆｉｈｅｒ框架。默认情况下，一个数据包进入路由器后，由该路由器判断该数据包是进入ＮＦ＿ＩＰ—ＬＯＣＡＬ＿ＩＮＰＵＴ链还是进入ＮＦ－ＩＰ—ＦＯＲＷＯＲＤ链，即：该数据包足被本主机接收还是转发。如果一个数据包是本地产生的，它就被发往ＮＦ－ＩＰ—ＬＯＣＡＬ＿ＯＵＴＰＵＴ链，由这条链检查这个数据包是否能被发出去。这三个点上都有自己的过滤规则，只有满足该点的规则，这个数据包才能被转发或者接收。

５．４．２ＮＡＴ地址转换模块

地址转换完成的功能是对进出防火墙的数据包修改其源地址／源端口或目的地址／目的端口，并将返回的数据包做反向转换。ＮＡＴ表监听ｉ个Ｎｅｔｆｉｈｅｒ钩子函数：ＮＦｊＰ—ＰＲＥ—ＲＯＵＮＴＩＮＧ、ＮＦ－ＩＰ－Ｐ０ｓ１＇＿ＲＯＵＮ‘ｒＩＮＧ及ＮＦ－ＩＰ—ＬＯＣＡＬ．ｏＵＴＰＵＴ。地址转换包括两种形式：源地址转换和目的地址转换。ＮＦ＿ＩＰ—ＰＲＥ—ＲＯＵＮＴＩＮＧ实现对源地址的地址转换，在这里ＮＦ－ＩＰ—ＰＲＥ—ＲＯＵＮＴＩＮＧ修改该数据包的源地址为本机地址，然后才发出去，即源地址转换。ＮＦ－ＩＰＰＯＳＴ＿ＲＯＵＮ７ｒＩＮＧ实现对目的地址的转换，它的作用是把目的地址转换为本机地址，然后再把数据包发到ＮＦｊＰ—ＬＯＣＡＬ＿ＩＮＰＵＴ链上去。ＮＦ＿ＩＰＬＯＣＡＬ＿ＯＵＴＰＵＴ实现对于本地数据包目的地址转换。这种地址转换允许一个机构以一个地址出现在Ｉｎｔｅｒｎｅｔ上。ＮＡＴ将每个局域网节点的地址转换成一个ＩＰ地址，反之亦然。５．４．３数据包处理模块

ｍａｎｇｌｅ表数据包处理模块是在ＮＦ—ＩＰ—ＰＲＥ—ＲＯＵＮＴＩＮＧ和ＮＦ－ＩＰ－ＰＯＳ７ｒ＿ＲＯＵＮＴＩＮＧ上注册一些处理函数，实现对某些数据包的修改或给其添加一些外带数据。该功能主要运用于ＩＰ网络中的流量控制和服务质量的实现。

６对病毒入侵的安全防范

Ｌｉｎｕｘ病毒防护是使用Ｌｉｎｕｘ的用户愈加关注的问题，也是关系到系统安全的一个重要的方面。

６．１Ｌｉｎｕｘ病毒简介

１９９６年秋．澳大利亚一个叫ＶＬＡＤ的组织用汇编语言编写了Ｌｉｎｕｘ系统下的第一个病毒Ｓｔａｏｇ，它专门感染二进制文件，并通过三种方式去尝试得到ｒｏｏｔ权限。当然，设计Ｓｔａｏｇ病毒只是为了演示和证明Ｌｉｎｕｘ有被病毒感染的潜在危险，它并没有进行任何损坏行为。虽然从第一个Ｌｉｎｕｘ病毒的发现至今，Ｌｉｎｕｘ平台下的病毒种类远没有Ｗｉｎｄｏｗｓ的庞大，（大致分为５类：ｌ、感染ＥＬＦ格式文件的病毒２、脚本病毒３、蠕虫病毒４、后门程序５、其它病毒，如：存在于Ｌｉｎｕｘ文件系统的ＷＩＮＤＯＷＳ病毒等）其主要病毒威胁来自于Ｓｌａｐｐｅｒ、Ｓｃａｌｐｅｒ、Ｌｉｎｕｘ．Ｓｖａｔ、ＢｏｘＰｏｉｓｏｎ、Ｌｉｏｎ．ｗｏｒｍ、ＯＳＦ．８７５９等病毒，而最为熟悉和常见的病毒也是针对Ｌｉｎｕｘ系统某些服务中的ｂｕｇ的蠕虫病毒。虽然到目前Ｌｉｎｕｘ系统还未出现集中爆发广泛传播的病毒，然而随着的Ｌｉｎｕｘ系统连接到局域网和广域网上的应用日益广泛普遍，自然增加了受攻击的可能性，以及病毒利益化的趋势，新的病毒将不断出现，因此作为Ｌｉｎｕｘ系统的管理和维护人员需要提高自身安全素养，对Ｌｉｎｕｘ下各种病毒以及系统自身有深入了解，及时关注新的安全技术和发展，从而防范病毒侵害并能及时保护系统，

６．２Ｌｉｎｕｘ病毒防护方案

６．２．１安装防毒软件。定期升级病毒代码库、查杀病毒

如果使用Ｉ，ｉｎｕｘ作为服务器的话，应定期扫描检测病毒、蠕虫和木马，对于连接到Ｉｎｔｅｍｅｔ的服务器需要更加注意，提供邮件服务的Ｌｉｎｕｘ服务器，最好配合使用一款Ｅ—Ｍｉａｌ病毒扫描工具，确保服务器收发的邮件安全。如果提供文件服务，建议最好部署一款同时查杀Ｌｉｎｕｘ和Ｗｉｎｄｏｗｓ病毒的杀毒软件。，

６．２．２及时为系统打补丁

修正补救系统安全漏洞．

６．２．３关注软件漏洞

通常在Ｌｉｎｕｘ的服务器上运行着盯Ｐ、ＭｙＳＱＬ、Ａｐａｃｈｅ、Ｔｅｌｎｅｔ等软件，其中大部分都是开源的软件，并且都在不断的升级之中，需要经常关注相关网站．及时进行相应软件的升级或打补丁

６。２．４不要完全依赖安全设备

目前很多有条件的企业都采用了很多安全防范技术和设备：防火墙、垃圾邮件过滤、ＶＰＮ、人侵检测（ＩＤＳ）、入侵防御（ＩＰＳ）等，这些安全设备发挥功效的大小很大程度取决于使用者的安全意识和安全素养，不同的配置，结果也将会是有相当大差别的。

６．２．５其他方面

不要使用ｒｏｏｔ权限进行日常的操作，除非必须时；对于Ｌｉｎｕｘ服务器，除了必须的服务之外，不要在它上面运行来历不明的可执行程序或脚本：不要随意安装来历不明的各种设备驱动程序。

（下转第３０２２页）

本栏目责任编辑：；马蕾

浅析Linux操作系统的网络安全及防范策略

ＣｏｍｐｕｔｅｒＫｎｏｗｌｅｄｇｅａｎｄＴｅｃｈｎｏｌｏｇｙ电脑知识与技术第７卷第１３期（２０１１年５月）

Ｂ＝Ａ Ｒ＝（ａｌ，ａ２，…，曲Ｉｒ２ｌｒ２２…‰Ｉ

式中：

矗表示的是模糊关系数据矩阵Ｒ经过与模糊权向量集Ａ矩阵运算后，得到的修正关系向量。

这样做的意义在于使用模糊权向量集Ａ矩阵来对关系隶属矩阵Ｒ进行修正，使得到的综合评判向量更为客观准确。

６１对模糊综合评判结果Ｂ的归一化处理

根据上一步的计算，得到了对网络各安全评价指标的评判结果向量集Ｂ＝（ｂ。，ｂ：，…，ｂＪ

由于对每个评价指标的评判结果都是一个模糊向量，不便于各评价指标间的排序评优，因而还需要进一步的分析处理。

对模糊综合评判结果向量进行归一化处理：

ｂｊ’＝ｂ／ｎ

从而得到各安全评价指标的归一化向量，从而对各归一化向量进行相应。

５结束语

本论文首先介绍了网络安全评估技术的基本知识，然后对安全评估模型进行了分析计算，阐述了网络安全技术措施的有效性；最后对网络安全态势的评估给出了具体的算法和公式。通过本文的技术研究，基本上对网络信息系统的安全评估技术有了初步的了解，下一步还将对安全评估的风险、安全评估中相关联的各项因素进行研究。

参考文献：

【１】逮昭义．计算机通信网信息量理论［Ｍ】．北京：电子工业出版社，１９９７：５７—５８．

【２】张义荣．计算机网络攻击效果评估技术研究【Ｊ】．国防科技大学学报，２００２（５）．

【３】张义荣，鲜明，王国玉．一种基于网络熵的计算机网络攻击效果定量评估方法叨．通信学报，２００４（１１）．

（上接第３０１６页）

７结束语

本文比较全面地阐述了Ｌｉｎｕｘ网络安全防范策略。要保证Ｌｉｎｕｘ网络安全，有必要对系统做好备份工作．注意日志文件里的的异常记录，定期对系统进行安全检查，发现漏洞要及时下载补丁，同时也需要综合利用各种安全工具和技术．根据实际情况、环境与要求，因地制宜地分析，制定合理有效的安全策略。随着Ｌｉｎｕｘ系统的发展，对Ｌｉｎｕｘ系统的攻击方式也在不断改变，因此Ｉｊｎｕｘ网络安全工作需要跟随技术和管理的发展而更新，应随时关注安全技术的发展，对安全防范系统进行必要升级，来保证Ｌｉｎｕｘ系统的安全性。

参考文献：

【１］杨明华，谭励，于重重．Ｌｉｎｕｘ系统与网络服务管理技术大全【Ｍ】．２版．北京：电子工业出版社，２０１０．

【２］杨登攀．基于Ｌｉｎｕｘ系统的安全分析与防范策略【Ｊ】．福建电脑，２００９（５）：５０—５１．

【３】张勤，杨章明．ＩＡｎｕｘ服务器配置全程实录［Ｍ】．北京：人民邮电出版社，２０１０．

【４】ＳｏｂｅｌｌＭＧ．ＲｅｄＨａｔＬｉｎｕｘ指南服务器设置与程序设计篇［Ｍ】．杨明军，译．北京：人民邮电出版社，２００８．

［５】曾斯．Ｌｉｎｕｘ操作系统下的安全性研究『Ｊ１．福建电脑，２０１０，（１１）：７８—７９．

［６】于宗平，万振凯．Ｌｉｎｕｘ网络技术安全［Ｊ】．电脑与信息技术，２００９，１７（５）：６０—６２．

【７】李洋．Ｌｉｎｕｘ安全技术内幕【Ｍ】．北京：清华大学出版社，２０１０．

［８】广东省ｌＡｎｕｘ公共服务技术中心组，何世晓．Ｌｉｎｕｘ系统管理师【Ｍ】．北京：机械工业出版社，２００９．

【９］９佚名．认识Ｌｉｎｕｘ病毒做好操作系统防护工程．［ＥＢ／ＯＬ］ｈｔｔｐ：／／ｌｉｎｕｘ．ｃｈｉｎａｉｆｌａｂ．ｃｏｍ，ｓ小，７５４７１５．ｈｔｍｌ．

ｆｌｏｌＣｈｉｎａＵｎｉｘ文档频道．全而阐述Ｌｉｎｕｘ病毒防护［ＥＢ／ＯＬ］ｈｔｔｐ：／／ｗｅｎｋｕ．ｂａｉｄｕ．ｃｏｍ／ｖｉｅｗ／８８４２２７ａ３００２９ｂｄ６４７８３ｅ２ｃ９４．ｈｔｍｌ．

３（）２２网络曩讯及安全 本栏目责任编辑：冯蕾

浅析Linux操作系统的网络安全及防范策略

浅析Linux操作系统的网络安全及防范策略作者：

作者单位：

刊名：

英文刊名：

年，卷(期)：韩晓虹， HAN Xiao-hong北京交通大学计算机与信息技术学院,北京,100044电脑知识与技术COMPUTER KNOWLEDGE AND TECHNOLOGY2011,7(13)

本文链接：http://www.77cn.com.cn/Periodical_dnzsyjs-itrzyksb201113015.aspx

本文来源：https://www.bwwdw.com/article/3l3m.html