如今許多中小用戶因業(yè)務(wù)發(fā)展���,不斷更新或升級(jí)網(wǎng)絡(luò)����,從而造成自身用戶環(huán)境差異較大����,整個(gè)網(wǎng)絡(luò)系統(tǒng)平臺(tái)參差不齊,服務(wù)器端大多采用 linux系統(tǒng)的�,而PC端使用Windows系統(tǒng)。所以在企業(yè)應(yīng)用中往往是Linux/Unix和Windows操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡(luò)�。中小企業(yè)由于缺少經(jīng)驗(yàn)豐富的Linux網(wǎng)絡(luò)管理員和安全產(chǎn)品采購資金,所以對(duì)于網(wǎng)絡(luò)安全經(jīng)常缺乏缺乏全面的考慮�����。筆者將從服務(wù)器安全和網(wǎng)絡(luò)設(shè)備的安全等來解決企業(yè)的煩惱���。
一�����、服務(wù)器安全:
1. 關(guān)閉無用的端口
任何網(wǎng)絡(luò)連接都是通過開放的應(yīng)用端口來實(shí)現(xiàn)的�����。如果我們盡可能少地開放端口��,就使網(wǎng)絡(luò)攻擊變成無源之水����,從而大大減少了攻擊者成功的機(jī)會(huì)。
首先檢查你的inetd.conf文件���。inetd在某些端口上守侯��,準(zhǔn)備為你提供必要的服務(wù)��。如果某人開發(fā)出一個(gè)特殊的inetd守護(hù)程序��,這里就存在一個(gè)安全隱患��。你應(yīng)當(dāng)在inetd.conf文件中注釋掉那些永不會(huì)用到的服務(wù)(如:echo�����、gopher��、rsh��、rlogin����、rexec���、 ntalk�、finger等)����。注釋除非絕對(duì)需要,你一定要注釋掉rsh�����、rlogin和rexec����,而telnet建議你使用更為安全的ssh來代替,然后殺掉lnetd進(jìn)程��。這樣inetd不再監(jiān)控你機(jī)器上的守護(hù)程序�����,從而杜絕有人利用它來竊取你的應(yīng)用端口�����。你最好是下載一個(gè)端口掃描程序掃描你的系統(tǒng),如果發(fā)現(xiàn)有你不知道的開放端口���,馬上找到正使用它的進(jìn)程�,從而判斷是否關(guān)閉它們���。
2. 刪除不用的軟件包
在進(jìn)行系統(tǒng)規(guī)劃時(shí)�����,總的原則是將不需要的服務(wù)一律去掉�。默認(rèn)的Linux就是一個(gè)強(qiáng)大的系統(tǒng)����,運(yùn)行了很多的服務(wù)。但有許多服務(wù)是不需要的�,很容易引起安全風(fēng)險(xiǎn)。這個(gè)文件就是/etc/inetd.conf���,它制定了/usr/sbin/inetd將要監(jiān)聽的服務(wù)�,你可能只需要其中的兩個(gè):telnet和ftp���,其它的類如shell�����、login����、exec�����、talk���、ntalk��、imap��、pop-2�、pop-3�����、finger�、 auth 等����,除非你真的想用它�,否則統(tǒng)統(tǒng)關(guān)閉。
3. 不設(shè)置缺省路由
在主機(jī)中��,應(yīng)該嚴(yán)格禁止設(shè)置缺省路由�,即default route。建議為每一個(gè)子網(wǎng)或網(wǎng)段設(shè)置一個(gè)路由���,否則其它機(jī)器就可能通過一定方式訪問該主機(jī)
4. 口令管理
口令的長度一般不要少于8個(gè)字符���,口令的組成應(yīng)以無規(guī)則的大小寫字母、數(shù)字和符號(hào)相結(jié)合�����,嚴(yán)格避免用英語單詞或詞組等設(shè)置口令���,而且各用戶的口令應(yīng)該養(yǎng)成定期更換的習(xí)慣�����。另外��,口令的保護(hù)還涉及到對(duì)/etc/passwd和/etc/shadow文件的保護(hù)�,必須做到只有系統(tǒng)管理員才能訪問這2個(gè)文件。安裝一個(gè)口令過濾工具加npasswd���,能幫你檢查你的口令是否耐得住攻擊�。如果你以前沒有安裝此類的工具��,建議你現(xiàn)在馬上安裝����。如果你是系統(tǒng)管理員��,你的系統(tǒng)中又沒有安裝口令過濾工具�����,請(qǐng)你馬上檢查所有用戶的口令是否能被窮盡搜索到�,即對(duì)你的/ect/passwd文件實(shí)施窮盡搜索攻擊。
5. 分區(qū)管理
一個(gè)潛在的攻擊�,它首先就會(huì)嘗試緩沖區(qū)溢出。在過去的幾年中�����,以緩沖區(qū)溢出為類型的安全漏洞是最為常見的一種形式了。更為嚴(yán)重的是����,緩沖區(qū)溢出漏洞占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù),這種攻擊可以輕易使得一個(gè)匿名的Internet用戶有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)!
為了防止此類攻擊�,我們從安裝系統(tǒng)時(shí)就應(yīng)該注意。如果用root分區(qū)記錄數(shù)據(jù)���,如log文件�,就可能因?yàn)榫芙^服務(wù)產(chǎn)生大量日志或垃圾郵件��,從而導(dǎo)致系統(tǒng)崩潰����。所以建議為/var開辟單獨(dú)的分區(qū),用來存放日志和郵件����,以避免root分區(qū)被溢出。最好為特殊的應(yīng)用程序單獨(dú)開一個(gè)分區(qū)��,特別是可以產(chǎn)生大量日志的程序�����,還建議為/home單獨(dú)分一個(gè)區(qū),這樣他們就不能填滿/分區(qū)了���,從而就避免了部分針對(duì)Linux分區(qū)溢出的惡意攻擊�。
6. 防范網(wǎng)絡(luò)嗅探:
嗅探器技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面��,它工作的時(shí)候就像一部被動(dòng)聲納���,默默的接收看來自網(wǎng)絡(luò)的各種信息�,通過對(duì)這些數(shù)據(jù)的分析�����,網(wǎng)絡(luò)管理員可以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況����,以便找出網(wǎng)絡(luò)中的漏洞�。在網(wǎng)絡(luò)安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防范嗅探器的危害.嗅探器能夠造成很大的安全危害,主要是因?yàn)樗鼈儾蝗菀妆话l(fā)現(xiàn)����。對(duì)于一個(gè)安全性能要求很嚴(yán)格的企業(yè),同時(shí)使用安全的拓?fù)浣Y(jié)構(gòu)、會(huì)話加密��、使用靜態(tài)的ARP地址是有必要的��。
7. 完整的日志管理
日志文件時(shí)刻為你記錄著你的系統(tǒng)的運(yùn)行情況����。當(dāng)黑客光臨時(shí),也不能逃脫日志的法眼���。所以黑客往往在攻擊時(shí)修改日志文件���,來隱藏蹤跡。因此我們要限制對(duì)/var/log文件的訪問����,禁止一般權(quán)限的用戶去查看日志文件。
另外��,我們還可以安裝一個(gè)icmp/tcp日志管理程序���,如iplogger����,來觀察那些可疑的多次的連接嘗試(加icmp flood3或一些類似的情況)。還要小心一些來自不明主機(jī)的登錄�。
完整的日志管理要包括網(wǎng)絡(luò)數(shù)據(jù)的正確性、有效性�����、合法性�����。對(duì)日志文件的分析還可以預(yù)防入侵��。例如��、某一個(gè)用戶幾小時(shí)內(nèi)的20次的注冊(cè)失敗記錄��,很可能是入侵者正在嘗試該用戶的口令��。
8. 終止正進(jìn)行的攻擊
假如你在檢查日志文件時(shí)�����,發(fā)現(xiàn)了一個(gè)用戶從你未知的主機(jī)登錄����,而且你確定此用戶在這臺(tái)主機(jī)上沒有賬號(hào),此時(shí)你可能正被攻擊���。首先你要馬上鎖住此賬號(hào)(在口令文件或shadow文件中�,此用戶的口令前加一個(gè)Ib或其他的字符)����。若攻擊者已經(jīng)連接到系統(tǒng),你應(yīng)馬上斷開主機(jī)與網(wǎng)絡(luò)的物理連接��。如有可能�,你還要進(jìn)一步查看此用戶的歷史記錄,查看其他用戶是否也被假冒��,攻擊音是否擁有根權(quán)限����。殺掉此用戶的所有進(jìn)程并把此主機(jī)的ip地址掩碼加到文件 hosts.deny中。
9. 使用安全工具軟件:
隨著Linux病毒的出現(xiàn)���,現(xiàn)在已經(jīng)有一些Linux服務(wù)器防病毒軟件�����,安裝Linux防病毒軟件已經(jīng)是非常迫切了�。Linux也已經(jīng)有一些工具可以保障服務(wù)器的安全,如iplogger����。
10. 使用保留IP地址:
---- 維護(hù)網(wǎng)絡(luò)安全性最簡單的方法是保證網(wǎng)絡(luò)中的主機(jī)不同外界接觸。最基本的方法是與公共網(wǎng)絡(luò)隔離����。然而,這種通過隔離達(dá)到的安全性策略在許多情況下是不能接受的�����。這時(shí)�����,使用保留IP地址是一種簡單可行的方法����,它可以讓用戶訪問Internet同時(shí)保證一定的安全性。- RFC 1918規(guī)定了能夠用于本地 TCP/IP網(wǎng)絡(luò)使用的IP地址范圍����,這些IP地址不會(huì)在Internet上路由��,因此不必注冊(cè)這些地址。通過在該范圍分配IP地址�,可以有效地將網(wǎng)絡(luò)流量限制在本地網(wǎng)絡(luò)內(nèi)。這是一種拒絕外部計(jì)算機(jī)訪問而允許內(nèi)部計(jì)算機(jī)互聯(lián)的快速有效的方法�����。
保留IP地址范圍:
—— 10.0.0.0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
—— 192.168.0.0 - 192.168.255.255
來自保留IP地址的網(wǎng)絡(luò)交通不會(huì)經(jīng)過Internet路由器�����,因此被賦予保留IP地址的任何計(jì)算機(jī)不能從外部網(wǎng)絡(luò)訪問�����。但是�,這種方法同時(shí)也不允許用戶訪問外部網(wǎng)絡(luò)。IP偽裝可以解決這一問題�。
11、選擇發(fā)行版本:
對(duì)于服務(wù)器使用的Linux版本���,既不使用最新的發(fā)行版本�����,也不選擇太老的版本��。應(yīng)當(dāng)使用比較成熟的版本:前一個(gè)產(chǎn)品的最后發(fā)行版本如Mandrake 8.2 Linux等��。畢竟對(duì)于服務(wù)器來說安全穩(wěn)定是第一的�。
12、補(bǔ)丁問題
你應(yīng)該經(jīng)常到你所安裝的系統(tǒng)發(fā)行商的主頁上去找最新的補(bǔ)丁�����。
二����、網(wǎng)絡(luò)設(shè)備的安全:
1. 交換機(jī)的安全
啟用VLAN技術(shù):交換機(jī)的某個(gè)端口上定義VLAN ,所有連接到這個(gè)特定端口的終端都是虛擬網(wǎng)絡(luò)的一部分���,并且整個(gè)網(wǎng)絡(luò)可以支持多個(gè)VLAN�。VLAN通過建立網(wǎng)絡(luò)防火墻使不必要的數(shù)據(jù)流量減至最少�����,隔離各個(gè)VLAN間的傳輸和可能出現(xiàn)的問題���,使網(wǎng)絡(luò)吞吐量大大增加�����,減少了網(wǎng)絡(luò)延遲�。在虛擬網(wǎng)絡(luò)環(huán)境中����,可以通過劃分不同的虛擬網(wǎng)絡(luò)來控制處于同一物理網(wǎng)段中的用戶之間的通信。這樣一來有效的實(shí)現(xiàn)了數(shù)據(jù)的保密工作�,而且配置起來并不麻煩,網(wǎng)絡(luò)管理員可以邏輯上重新配置網(wǎng)絡(luò)����,迅速、簡單�����、有效地平衡負(fù)載流量��,輕松自如地增加���、刪除和修改用戶����,而不必從物理上調(diào)整網(wǎng)絡(luò)配置。
2.路由器的安全:
根據(jù)路由原理安全配置路由器路由器是整個(gè)網(wǎng)絡(luò)的核心和心臟, 保護(hù)路由器安全還需要網(wǎng)管員在配置和管理路由器過程中采取相應(yīng)的安全措施���。
1. 堵住安全漏洞
限制系統(tǒng)物理訪問是確保路由器安全的最有效方法之一�。限制系統(tǒng)物理訪問的一種方法就是將控制臺(tái)和終端會(huì)話配置成在較短閑置時(shí)間后自動(dòng)退出系統(tǒng)�����。避免將調(diào)制解調(diào)器連接至路由器的輔助端口也很重要����。一旦限制了路由器的物理訪問,用戶一定要確保路由器的安全補(bǔ)丁是最新的�。
2. 避免身份危機(jī)
入侵者常常利用弱口令或默認(rèn)口令進(jìn)行攻擊。加長口令�、選用30到60天的口令有效期等措施有助于防止這類漏洞。另外����,一旦重要的IT員工辭職,用戶應(yīng)該立即更換口令��。用戶應(yīng)該啟用路由器上的口令加密功能����。
3. 禁用不必要服務(wù)
近來許多安全事件都凸顯了禁用不需要本地服務(wù)的重要性。需要注意的是,一個(gè)需要用戶考慮的因素是定時(shí)���。定時(shí)對(duì)有效操作網(wǎng)絡(luò)是必不可少的�。即使用戶確保了部署期間時(shí)間同步�,經(jīng)過一段時(shí)間后,時(shí)鐘仍有可能逐漸失去同步�。用戶可以利用名為網(wǎng)絡(luò)時(shí)���。
關(guān)鍵詞標(biāo)簽:Linux安全設(shè)置,系統(tǒng)安
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程
使用screen管理你的遠(yuǎn)程會(huì)話
GNU/Linux安裝vmware
如何登錄linux vps圖形界面 Linux遠(yuǎn)程桌面連