浅析Linux操作系统的网络安全及防范策略

龙源期刊网 http://www.qikan.com.cn

浅析Linux操作系统的网络安全及防范策略

作者：韩晓虹

来源：《电脑知识与技术》2011年第13期

摘要：Linux系统是类unix的网络操作系统，应用日益广泛，特别是在网络服务器方面，其安全性问题也逐渐突出，受到人们更多的关注。文章针对Linux系统所采用的网络安全机制，提出了切实可行的基于Linux系统的网络安全策略和保护措施。介绍了关闭不必要的服务和端口、进行远程安全连接、防范病毒及利用防火墙技术来保障网络的安全。 关键词：Linux；网络安全；防范策略；防火墙；Iptabeles

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)13-3014-03 Shallow Analysis Linux Operate System' Network Safty and Guard Against Strategy HAN Xiao-hong

(Calculator and Information Technical College of Transportation University in Peking, Beijing 100044, China)

Abstract: The Linux system is a type of network operate system of unix, application day by day extensive, especially in the network server, its safety problem also gradual outstanding, be subjected to people's more concern.The article aims at Linux the network adopted by system safe mechanism, put forward practical viable according to the network of the Linux system safe strategy and protection measure.Introduced to close otiose service and port, carry on a long range safety conjunction, guard against virus and make use of a fire wall technique to guarantee the safety of network. Key words: Linux; network safety; guard against strategy; fire wall; Iptabeles

Linux是一种开放源代码的免费正版操作系统，基于它的自由性、开放性、免费性，目前采用Linux网络操作系统作为服务器的用户日益增多，同时也被广泛应用于个人工作站和商业开发等。相对于微软的Windows系统，Linux系统具有更好的安全性、稳定性及效率。随着Internet/Intranet的快速发展，网络本身的安全面临着重大的挑战，因此Linux既拥有难得的发展机遇，也面临着更多的安全隐患，继而产生的信息安全问题也将愈加突显。 只有网络操作系统安全可靠，才能保证整个网络的安全。分析Linux系统的安全机制，找出它可能存在的安全隐患，采取相应的安全策略、措施是相当有有必要的。本文针对Linux 的网络安全采取的防范对策进行了详述。

1 Linux网络安全防范对策

龙源期刊网 http://www.qikan.com.cn

Linux系统采用了读写权限控制、安全审计、跟踪监测、核心授权等多种安全措施，使得Linux成为目前最具安全性和稳定性的操作系统之一，然而其安全性是建立在有效防范基础上的。当接入网络时，就会存在网络安全问题，有遭到攻击破坏的可能，因此，必须通过增强网络安全性的各种设置来提高Linux的安全性。 2 关闭不必要的服务

Linux系统在安装时包含了较多网络服务，如作为服务器使用很方便，但作为用户的工作站就不太有利，会出现严重的安全问题，用户应当关闭不必要的服务。/etc/inetd服务器程序承担网络服务的任务。它同时监听多个网络端口，一旦收到外界传来的连接信息，就执行相应的TCP或UDP网络任务。而Linux中的大部分TCP或UDP 网络服务都是在/etc/inetd.conf文件中设定，它保存了系统提供internet服务的的数据库。通过这个文件，可以关闭系统中不需要的某项服务，使它们更为安全的运行。只需要在关闭的服务名前加上#就可以了，一般来讲，除了http、smtp、telnet、ftp之外，其他服务都可以取消。如果使用的REDHAT LINUX操作系统，可以考虑执行命令ntsysv使用服务配置工具。 3 确保端口安全

TCP或UDP网络数据包通过使用端口号能够被正确指向相应的应用程序，而其中的每个程序也被赋予了特别的TCP或UDP端口号。网络数据包进入计算机后，操作系统会根据它包含的端口号，将其发送到相应的应用程序去。攻击者也会利用各种手段对目标主机的端口进行探测和扫描，从而收集目标主机操作系统的相关信息，所以确保端口安全有重要意义。对于易受攻击的端口，一定要采取措施加以防范，对于暂时不使用的端口应及时关闭。建议经常使用netstat等网络工具，查看是否有可疑的端口活动。如：“netdtat-an”列出本地所有的连接和监听的端口，查看有没有非法连接等。 4 实现安全的远程连接 4.1 慎用Telnet、Ftp等

实现远程连接的工具主要有 Telnet、Ftp等，但它们本质很不安全，以明文方式传递口令和数据，攻击者很容易地通过截获会话来获取信息。另外，服务程序的安全验证方式也是有缺陷的，即本身容易受到中间人的攻击，攻击方式是：中间人冒充真正的服务器接收用户的数据，然后再冒充用户把数据传给真正的服务器。如果数据被中间人劫持篡改，将会出现很严重的后果。同时当使用r系列程序（rsh 和rlogin）时，需考虑和Telnet、Ftp相同的安全问题。。因为r系列程序既支持远程加载程序，也可在网络节点上创建和激活远程进程，而且被创建的进程能够继承父进程的权限，这些就为攻击者在远程服务器上安装木马软件提供了机会。

4.2 安全的远程连接-OpenSSH

龙源期刊网 http://www.qikan.com.cn

4.2.1 OpenSSH的工作原理

Linux本身自带了一种非常安全的连接工具OpenSSH,是SSH（Secure shell,安全命令壳）协议的免费开源实现。SSH协议是一种在两台主机之间通过加密和身份验证机制提供安全链接的协议。其中，加密是传输数据的时候用密匙加以保护，验证是检验数据包或者连接是否合法。

OpenSSH的工作原理为：使用两个密匙对进行加密会话协商：主机密匙对（host key pair）和会话密匙对：（session key pair）,主机密匙对是一组公匙/私匙，当服务器系统第一次运行sshd时，通常即第一次系统启动时，就会建立这些密匙对。会话密匙对也是一组每小时都会改变的公匙/私匙。当OpenSSH 客户端第一次连接到OpenSSH服务器时，它会要求你是否确认连接到正确的服务器。确认之后，客户端就会将该服务器的主机公匙复制一份保存起来。在后续连接中，客户端就会将服务器所提供的密匙与自己所提供的密匙进行比较，然后客户端生成一个随机密匙，并使用服务器的主机公匙和会话密匙对它进行加密。客户端将这个经过加密的密匙发送到服务器。然后服务器再使用它自己的私匙对这个经过加密的密匙进行解密。这个过程会建立一个密匙，这个密匙只有客户端和服务器知道，并被用来对会话中的其他信息进行加密。

4.2.2 OpenSSH主要应用的客户端程序

OpenSSH有3个主要应用的客户端程序：ssh、scp和sftp

1) ssh，提供的远程连接工具之一，可登录到远程系统并执行命令。命令行的格式为： ssh [options] [user@]host[command]

2) scp（secure copy,安全复制）是一个远程文件的安全复制程序，ssh启动时，会默认启动，能够提供与ssh一样的安全性，使用ssh来传递文件，并拥有与ssh相同的身份验证机制。命令行的格式为：scp[ [user@]from-host：] source-file[ [user@]to-host：] [desination-file] 3) sfp，是一个交互式的文件传输程序。在功能上等同于ftp,因此在Linux平台下可代替它，提供一种安全连接FTP服务器的方式。命令行的格式为：sfphost 4.2.3 OpenSSH的安全特性

OpenSSH能够对包括密码、安全性信息在内的所有数据流进行加密，实现安全的加密通道，从而规避在非安全网络中存在的窃听、拦截、以及恶意攻击所造成的危害，同时它也支持加密层之上的数据压缩，从可提高传输性能。