基于Linux的网络安全策略和保护措施 （2）

3.1.4 “扫描程序和网络监听”攻击

　　许多网络入侵是从扫描开始的，利用扫描工具黑客能找出目标主机上各种各样的漏洞，并利用之对系统实施攻击。

　　网络监听也是黑客们常用的一种方法，当成功地登录到一台网络上的主机，并取得了这台主机的超级用户控制权之后，黑客可以利用网络监听收集敏感数据或者认证信息，以便日后夺取网络中其他主机的控制权。

　　3.2 Linux网络安全防范策略

　　纵观网络的发展历史，可以看出，对网络的攻击可能来自非法用户，也可能来自合法的用户。因此作为Linux网络系统的管理员，既要时刻警惕来自外部的黑客攻击，又要加强对内部网络用户的管理和教育，具体可以采用以下的安全策略。

　　3.2.1 仔细设置每个内部用户的权限

　　为了保护Linux网络系统的资源，在给内部网络用户开设帐号时，要仔细设置每个内部用户的权限，一般应遵循“最小权限”原则，也就是仅给每个用户授予完成他们特定任务所必须的服务器访问权限。这样做会大大加重系统管理员的管理工作量，但为了整个网络系统的安全还是应该坚持这个原则。

　　3.2.2 确保用户口令文件/etc/shadow的安全

　　对于网络系统而言，口令是比较容易出问题的地方，作为系统管理员应告诉用户在设置口令时要使用安全口令(在口令序列中使用非字母，非数字等特殊字符)并适当增加口令的长度(大于6个字符)。系统管理员要保护好/etc/passwd和/etc/shadow这两个文件的安全，不让无关的人员获得这两个文件，这样黑客利用John等程序对/etc/passwd和/etc/shadow文件进行了字典攻击获取用户口令的企图就无法进行。系统管理员要定期用John等程序对本系统的/etc/passwd和/etc/shadow文件进行模拟字典攻击，一旦发现有不安全的用户口令，要强制用户立即修改。

　　3.2.3 加强对系统运行的监控和记录

　　Linux网络系统管理员，应对整个网络系统的运行状况进行监控和记录，这样通过分析记录数据，可以发现可疑的网络活动，并采取措施预先阻止今后可能发生的入侵行为。如果进攻行为已经实施，则可以利用记录数据跟踪和识别侵入系统的黑客。

　　3.2.4 合理划分子网和设置防火墙

　　如果内部网络要进入Internet，必须在内部网络与外部网络的接口处设置防火墙，以确保内部网络中的数据安全。对于内部网络本身，为了便于管理，合理分配IP地址资源，应该将内部网络划分为多个子网，这样做也可以阻止或延缓黑客对整个内部网络的入侵。

3.2.5 定期对Linux网络进行安全检查

　　Linux网络系统的运转是动态变化的，因此对它的安全管理也是变化的，没有固定的模式，作为Linux网络系统的管理员，在为系统设置了安全防范策略后，应定期对系统进行安全检查，并尝试对自己管理的服务器进行攻击，如果发现安全机制中的漏洞应立即采取措施补救，不给黑客以可乘之机。

　　3.2.6 制定适当的数据备份计划确保系统万无一失

　　没有一种操作系统的运转是百分之百可靠的，也没有一种安全策略是万无一失的，因此作为Linux系统管理员，必须为系统制定适当的数据备份计划，充分利用磁带机、光盘刻录机、双机热备份等技术手段为系统保存数据备份，使系统一旦遭到破坏或黑客攻击而发生瘫痪时，能迅速恢复工作，把损失减少到最小。

4、加强对Linux网络服务器的管理，合理使用各种工具

　　4.1 利用记录工具，记录对Linux系统的访问

　　Linux系统管理员可以利用前面所述的记录文件和记录工具记录事件，可以每天查看或扫描记录文件，这些文件记录了系统运行的所有信息。如果需要，还可以把高优先级的事件提取出来传送给相关人员处理，如果发现异常可以立即采取措施。

　　4.2 慎用Telnet服务

　　在Linux下，用Telnet进行远程登录时，用户名和用户密码是明文传输的，这就有可能被在网上监听的其他用户截获。另一个危险是黑客可以利用Telnet登入系统，如果他又获取了超级用户密码，则对系统的危害将是灾难性的。因此，如果不是特别需要，不要开放Telnet服务。如果一定要开放Telnet服务，应该要求用户用特殊的工具软件进行远程登录，这样就可以在网上传送加密过的用户密码，以免密码在传输过程中被黑客截获。

　　4.3 合理设置NFS服务和NIS服务

　　NFS(Network File System)服务，允许工作站通过网络共享一个或多个服务器输出的文件系统。但对于配置得不好的NFS服务器来讲，用户不经登录就可以阅读或者更改存储在NFS服务器上的文件，使得NFS服务器很容易受到攻击。如果一定要提供NFS服务，要确保基于Linux的NFS服务器支持Secure RPC(Secure Remote Procedure Call)，以便利用DES(Data Encryption Standard)加密算法和指数密钥交换(Exponential Key Exchange)技术验证每个NFS请求的用户身份。

　　NIS(Network Information System)服务，是一个分布式数据处理系统，它使网络中的计算机通过网络共享passwd文件，group文件，主机表文件和其他共享的系统资源。通过NIS服务和NFS服务，在整个网络中的各个工作站上操作网络中的数据就像在操作和使用单个计算机系统中的资源一样，并且这种操作过程对用户是透明的。但是NIS服务也有漏洞，在NIS系统中，不怀好意的用户可以利用自己编写的程序来模仿Linux系统中的ypserv 响应ypbind的请求，从而截获用户的密码。因此，NIS的用户一定要使用ypbind的secure选项，并且不接受端口号小于1024(非特权端口)的ypserv响应。