Linux網(wǎng)絡(luò)安全策略

David_J

目前，許多中小用戶因業(yè)務(wù)發(fā)展，不斷更新或升級(jí)網(wǎng)絡(luò)，從而造成自身用戶環(huán)境差異較大，整個(gè)網(wǎng)絡(luò)系統(tǒng)平臺(tái)參差不齊，在服務(wù)器
端大多使用Linux和Unix的，PC端使用Windows
9X/2000/XP。所以在企業(yè)應(yīng)用中往往是Linux/Unix和Windows操作系統(tǒng)共存形成異構(gòu)網(wǎng)絡(luò)。中小企業(yè)由于缺少經(jīng)驗(yàn)豐富的Linux網(wǎng)
絡(luò)管理員和安全產(chǎn)品采購(gòu)資金，所以對(duì)于網(wǎng)絡(luò)安全經(jīng)常是頭痛醫(yī)頭、腳痛醫(yī)腳，缺乏缺乏全面的考慮。
　　
　　　　這里筆者把中小企業(yè)的安全分為四種來(lái)提出解決方案。服務(wù)器安全、網(wǎng)絡(luò)設(shè)備的安全、接入互聯(lián)網(wǎng)的安全和內(nèi)部網(wǎng)絡(luò)的安全。
　　
　　　　一、服務(wù)器安全：
　　
　　　　1． 關(guān)閉無(wú)用的端口
　　
　　　　任何網(wǎng)絡(luò)連接都是通過(guò)開(kāi)放的應(yīng)用端口來(lái)實(shí)現(xiàn)的。如果我們盡可能少地開(kāi)放端口，就使網(wǎng)絡(luò)攻擊變成無(wú)源之水，從而大大減少了攻擊者成功的機(jī)會(huì)。
　　
　
　　　首先檢查你的inetd．conf文件。inetd在某些端口上守侯，準(zhǔn)備為你提供必要的服務(wù)。如果某人開(kāi)發(fā)出一個(gè)特殊的inetd守護(hù)程序，這里
就存在一個(gè)安全隱患。你應(yīng)當(dāng)在inetd．conf文件中注釋掉那些永不會(huì)用到的服務(wù)(如：echo、gopher、rsh、rlogin、rexec、
ntalk、finger等)。注釋除非絕對(duì)需要，你一定要注釋掉rsh、rlogin和rexec，而telnet建議你使用更為安全的ssh來(lái)代替，
然后殺掉lnetd進(jìn)程。這樣inetd不再監(jiān)控你機(jī)器上的守護(hù)程序，從而杜絕有人利用它來(lái)竊取你的應(yīng)用端口。你最好是下載一個(gè)端口掃描程序掃描你的系
統(tǒng)，如果發(fā)現(xiàn)有你不知道的開(kāi)放端口，馬上找到正使用它的進(jìn)程，從而判斷是否關(guān)閉它們。
　　
　　　　2． 刪除不用的軟件包
　　
　
　　　在進(jìn)行系統(tǒng)規(guī)劃時(shí)，總的原則是將不需要的服務(wù)一律去掉。默認(rèn)的Linux就是一個(gè)強(qiáng)大的系統(tǒng)，運(yùn)行了很多的服務(wù)。但有許多服務(wù)是不需要的，很容易引
起安全風(fēng)險(xiǎn)。這個(gè)文件就是/etc/inetd.conf，它制定了/usr/sbin/inetd將要監(jiān)聽(tīng)的服務(wù)，你可能只需要其中的兩個(gè)：
telnet和ftp，其它的類(lèi)如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth
等，除非你真的想用它，否則統(tǒng)統(tǒng)關(guān)閉。
　　
　　　　3． 不設(shè)置缺省路由
　　
　　　　在主機(jī)中，應(yīng)該嚴(yán)格禁止設(shè)置缺省路由，即default route。建議為每一個(gè)子網(wǎng)或網(wǎng)段設(shè)置一個(gè)路由，否則其它機(jī)器就可能通過(guò)一定方式訪問(wèn)該主機(jī)
　　
　　　　4． 口令管理
　　
　
　　　口令的長(zhǎng)度一般不要少于8個(gè)字符，口令的組成應(yīng)以無(wú)規(guī)則的大小寫(xiě)字母、數(shù)字和符號(hào)相結(jié)合，嚴(yán)格避免用英語(yǔ)單詞或詞組等設(shè)置口令，而且各用戶的口令應(yīng)
該養(yǎng)成定期更換的習(xí)慣。另外，口令的保護(hù)還涉及到對(duì)/etc/passwd和/etc/shadow文件的保護(hù)，必須做到只有系統(tǒng)管理員才能訪問(wèn)這2個(gè)文
件。安裝一個(gè)口令過(guò)濾工具加npasswd，能幫你檢查你的口令是否耐得住攻擊。如果你以前沒(méi)有安裝此類(lèi)的工具，建議你現(xiàn)在馬上安裝。如果你是系統(tǒng)管理
員，你的系統(tǒng)中又沒(méi)有安裝口令過(guò)濾工具，請(qǐng)你馬上檢查所有用戶的口令是否能被窮盡搜索到，即對(duì)你的／ect／passwd文件實(shí)施窮盡搜索攻擊。
　　
　　　　5． 分區(qū)管理
　　
　
　　　一個(gè)潛在的攻擊，它首先就會(huì)嘗試緩沖區(qū)溢出。在過(guò)去的幾年中，以緩沖區(qū)溢出為類(lèi)型的安全漏洞是最為常見(jiàn)的一種形式了。更為嚴(yán)重的是，緩沖區(qū)溢出漏洞
占了遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)，這種攻擊可以輕易使得一個(gè)匿名的Internet用戶有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)！
　　
　
　　　為了防止此類(lèi)攻擊，我們從安裝系統(tǒng)時(shí)就應(yīng)該注意。如果用root分區(qū)記錄數(shù)據(jù)，如log文件，就可能因?yàn)榫芙^服務(wù)產(chǎn)生大量日志或垃圾郵件，從而導(dǎo)致
系統(tǒng)崩潰。所以建議為/var開(kāi)辟單獨(dú)的分區(qū)，用來(lái)存放日志和郵件，以避免root分區(qū)被溢出。最好為特殊的應(yīng)用程序單獨(dú)開(kāi)一個(gè)分區(qū)，特別是可以產(chǎn)生大量
日志的程序，還建議為/home單獨(dú)分一個(gè)區(qū)，這樣他們就不能填滿/分區(qū)了，從而就避免了部分針對(duì)Linux分區(qū)溢出的惡意攻擊。
　　
　　　　6． 防范網(wǎng)絡(luò)嗅探：
　　
　
　　　嗅探器技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)維護(hù)和管理方面，它工作的時(shí)候就像一部被動(dòng)聲納，默默的接收看來(lái)自網(wǎng)絡(luò)的各種信息，通過(guò)對(duì)這些數(shù)據(jù)的分析，網(wǎng)絡(luò)管理員可
以深入了解網(wǎng)絡(luò)當(dāng)前的運(yùn)行狀況，以便找出網(wǎng)絡(luò)中的漏洞。在網(wǎng)絡(luò)安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防范嗅探器的危害.嗅探器能夠造
成很大的安全危害，主要是因?yàn)樗鼈儾蝗菀妆话l(fā)現(xiàn)。對(duì)于一個(gè)安全性能要求很?chē)?yán)格的企業(yè)，同時(shí)使用安全的拓?fù)?/td>