◆欒志強(qiáng)

(山東公安邊防總隊(duì)煙臺(tái)機(jī)場(chǎng)邊防檢查站 山東 264000)

構(gòu)建以Linux服務(wù)器為基礎(chǔ)的網(wǎng)絡(luò)安全平臺(tái)探討

◆欒志強(qiáng)

(山東公安邊防總隊(duì)煙臺(tái)機(jī)場(chǎng)邊防檢查站 山東 264000)

網(wǎng)絡(luò)安全作為一項(xiàng)時(shí)下社會(huì)領(lǐng)域中一項(xiàng)熱點(diǎn)課題，而服務(wù)器則為整個(gè)網(wǎng)絡(luò)安全當(dāng)中最為核心環(huán)節(jié)，Linux被業(yè)界公認(rèn)為是一個(gè)較為安全的 Internet服務(wù)器。如何采取有效措施為服務(wù)器系統(tǒng)安全提供保障，乃為整個(gè)網(wǎng)絡(luò)安全工作的重要環(huán)節(jié)。只有網(wǎng)絡(luò)服務(wù)器系統(tǒng)可靠、安全，方能確保整個(gè)網(wǎng)絡(luò)的穩(wěn)定與安全。

Linux服務(wù)器；網(wǎng)絡(luò)安全；策略

1 服務(wù)初試配置的安全策略

1.1 安裝策略

對(duì)于配置系統(tǒng)安全而言，操作系統(tǒng)安全乃為其首步。由于所配置的乃是防火墻，因此，對(duì)于之前的任何系統(tǒng)配置與安裝，均不能信任，需要著手于全新安裝，只有這樣方能為系統(tǒng)安全的完整性提供保障。當(dāng)系統(tǒng)處在隔離或者單獨(dú)的網(wǎng)絡(luò)當(dāng)中時(shí)，不能讓沒(méi)有受到保護(hù)的系統(tǒng)與其它網(wǎng)絡(luò)相連接，也不能連接于互聯(lián)網(wǎng)，以遭受外界攻擊。依據(jù)個(gè)人經(jīng)驗(yàn)得知，一個(gè)與互聯(lián)網(wǎng)相連接的新安裝系統(tǒng)，可以在短短的15s便能被掃描或入侵，從而取得完全控制權(quán)。當(dāng)把即將當(dāng)作防火墻的機(jī)器放置在處于隔離狀態(tài)的網(wǎng)絡(luò)當(dāng)中時(shí)，便可著手下步工作。第一步便是對(duì)操作需要需要安裝的軟件包進(jìn)行選擇。針對(duì)Red Hat Linux而言，其安裝方法主要有如下幾種：Cusotm（定制，缺省選項(xiàng)）、Sevrer（服務(wù)器）、Wokrsattion（工作站）等。再次選擇“定制”，因?yàn)檫@允許你進(jìn)行硬盤分區(qū)以及選擇那些服務(wù)器。對(duì)于安裝策略而言，實(shí)際就是在最大化效率得以維持的前提下，實(shí)施“最小化”安裝。系統(tǒng)當(dāng)中具有越少的軟件，則便會(huì)具有越小的潛在性的安全漏洞。無(wú)論所選擇的安裝方式是哪種，HOWTO文檔與手冊(cè)頁(yè)均需必備。盡管可能會(huì)增加一點(diǎn)系統(tǒng)風(fēng)險(xiǎn)，但他們有時(shí)確實(shí)比較有用。如果在安裝方式上選擇的是“定制”安裝，則此時(shí)便會(huì)被提示實(shí)施硬盤分區(qū)。建議為/var專門設(shè)置一個(gè)獨(dú)立性的分區(qū)。因?yàn)槿缛舾謪^(qū)被劃歸至電子郵件及系統(tǒng)日志等數(shù)據(jù)當(dāng)中，便會(huì)發(fā)生拒絕服務(wù)狀況，更甚者還會(huì)造成系統(tǒng)出現(xiàn)崩潰狀況。此外，可考慮為那些特定的應(yīng)用或服務(wù)建立或者保存獨(dú)立性的分區(qū)，尤其是那些比較敏感的日志記錄。如若系統(tǒng)當(dāng)中存有不能完全被信任的用戶，則需要為/home建立一個(gè)單獨(dú)性分區(qū)，至此，便可防止那些惡意用戶對(duì)/根分區(qū)所進(jìn)行的攻擊。

當(dāng)完成系統(tǒng)安裝并且已經(jīng)重啟之后，需要進(jìn)行安全補(bǔ)丁的安裝工作。針對(duì)Red Hat，可到對(duì)應(yīng)網(wǎng)址當(dāng)中找尋其全部安全補(bǔ)丁程序。對(duì)于安全補(bǔ)丁而言，其對(duì)一個(gè)安全的防火墻的長(zhǎng)久維持十分關(guān)鍵，需保持其長(zhǎng)期性更新。從bugtraq@seeurityfoeus.com當(dāng)中，能夠得到最新的安全漏洞信息資源。如若不進(jìn)行此些補(bǔ)丁的安裝，那么系統(tǒng)便容易遭受外界的入侵。因此，建議選用auotprm工具，時(shí)刻保持對(duì)RPM軟件包在補(bǔ)丁上的實(shí)時(shí)更新。此命令工具經(jīng)過(guò)分析，能夠得出那些.rpm需要進(jìn)行更新，并且還會(huì)以自動(dòng)的方式，從Red Hat網(wǎng)站當(dāng)中下載并且安裝需要進(jìn)行升級(jí)的文件。此工具在日常使用中，簡(jiǎn)單而又靈活，可讓其運(yùn)行于corn當(dāng)中，至此，系統(tǒng)便會(huì)定期性的、自動(dòng)化的進(jìn)行更新升級(jí)，另外，還能及時(shí)將提醒系統(tǒng)升級(jí)的電子郵件，向管理員予以發(fā)送。

1.2 關(guān)閉不需要的服務(wù)與端口

當(dāng)系統(tǒng)的安裝包、補(bǔ)丁完成安裝之后，重啟，然后便可對(duì)操作系統(tǒng)實(shí)施安全增強(qiáng)配置。對(duì)于安全增強(qiáng)配置而言，主要包含有調(diào)整。增加日志及關(guān)閉服務(wù)等。首先進(jìn)行關(guān)閉服務(wù)，在安裝服務(wù)器操作系統(tǒng)時(shí)，此時(shí)便會(huì)啟動(dòng)一些用處不大的服務(wù)，這些服務(wù)不僅會(huì)占據(jù)大量的系統(tǒng)資源，而且還會(huì)對(duì)系統(tǒng)的安全運(yùn)行與穩(wěn)定造成嚴(yán)重威脅。Solaris作為一個(gè)能夠?qū)⒃S多有用服務(wù)予以提供的高性能操作系統(tǒng)，但針對(duì)防火墻而言，其中的多數(shù)服務(wù)并無(wú)太大用處，且還可能會(huì)由此而產(chǎn)生諸多風(fēng)險(xiǎn)。因此，需先對(duì)/ect/sbin/inetd文件進(jìn)行更改。對(duì)于此文件而言，其定義了由/usr/sbin/inerd超級(jí)守護(hù)進(jìn)程需監(jiān)聽(tīng)的服務(wù)，下步需對(duì)/etc/rc2.d以及/etc/rc3.d目錄當(dāng)中的文件進(jìn)行修改。在這里，能夠找出被init進(jìn)程執(zhí)行的相應(yīng)啟動(dòng)腳本，其中諸多乃是不必要的。在啟動(dòng)過(guò)程中，要執(zhí)行一個(gè)腳本，僅需把對(duì)應(yīng)文件名起始處的大寫S更改為小寫s便可。另外，在Red Hat系統(tǒng)當(dāng)中，內(nèi)置有一個(gè)工具，能夠?qū)⒎?wù)關(guān)閉。只需在命令行當(dāng)中將/usr/sbin/inerd輸入，而后選擇“System Services”，然后選擇系統(tǒng)啟動(dòng)所需要執(zhí)行的對(duì)應(yīng)腳本。

1.3 日志與系統(tǒng)調(diào)整

全部系統(tǒng)日志均在/var/log目錄當(dāng)中存放，當(dāng)缺省時(shí)，則iLnux便會(huì)有較好的日志設(shè)置，除了fep。在記錄fep日志方面，主要有兩種方法，即編輯/etc/shadow 或者是/etc/ftpaccess。通過(guò)對(duì)/etc/inetd.conf文件進(jìn)行編輯，便可將全部FTP會(huì)話日志均記錄下來(lái)。對(duì)于系統(tǒng)調(diào)整額而言，其首要任務(wù)便是保證/etc/passwd文件的安全。首先需要將系統(tǒng)所運(yùn)用的/etc/shadow文件予以確認(rèn)，將全部用戶口令密文的文件保存下來(lái)，僅允許 root根用戶進(jìn)行訪問(wèn)，這樣便能夠?qū)τ脩艨诹钶p易被訪問(wèn)與破解予以組織，只要將一下命令給予運(yùn)行，便能把口令系統(tǒng)已一種自動(dòng)化方式向/etc/shadow進(jìn)行轉(zhuǎn)換。

如若想要對(duì)/etc/ftpusers文件進(jìn)行訪問(wèn)。無(wú)論何種被列入到此文件當(dāng)中的賬號(hào)，均無(wú)法ftp至本系統(tǒng)，一般情況下，用此對(duì)系統(tǒng)賬號(hào)進(jìn)行限制，比如bin或root等，禁止此類賬號(hào)的FTP會(huì)話。當(dāng)缺省時(shí)，則iLnux已經(jīng)建立了此文件，需要保證root根用戶被劃歸到此文件當(dāng)中，以此禁止root與系統(tǒng)之間的ftp會(huì)話。

2 啟動(dòng)與登錄的安全策略

2.1 BIOS安全設(shè)置

針對(duì)BIOS安全設(shè)置而言，其乃是計(jì)算機(jī)系統(tǒng)當(dāng)中最為底層的設(shè)置，同時(shí)也是最易造成忽視的緩解，通過(guò)進(jìn)行BIOS設(shè)置，且禁止從軟盤進(jìn)行系統(tǒng)啟動(dòng)，此乃對(duì)服務(wù)器系統(tǒng)最為基本的保護(hù)。

2.2 默認(rèn)賬號(hào)與用戶口令

還比前文所提出的需要禁止全部默認(rèn)的備操作系統(tǒng)自身啟動(dòng)且無(wú)較大用處的賬號(hào)，以此實(shí)現(xiàn)風(fēng)險(xiǎn)的減少。另外，針對(duì)合法用戶的口令而言，其乃是iLnux安全的一個(gè)基本支撐點(diǎn)，許多人所運(yùn)用的用戶口令均比較簡(jiǎn)單，這就好比為外界侵入敞開(kāi)了大門，盡管基于理論層級(jí)，只要資源與時(shí)間充足，便較難將這些用戶口令進(jìn)行破解，但在實(shí)際工作中較難選擇得到的口令。針對(duì)那些比較好的用戶口令，均為用戶自己容易記憶且便于理解的一串字符，建議定期更換或修改密碼。

2.3 限制su命令

如若您不想任何人把su當(dāng)作root，可通過(guò)對(duì)/etc/pam.d/su文件進(jìn)行編輯，將如下內(nèi)容增加上去：auh teqriuerd/blsceuiry /Pams-ewheel.so gorup=isd。此時(shí)，只有isd組的用戶能夠?qū)u當(dāng)作root，而后如若需要用戶admin可將su當(dāng)作root，則可運(yùn)行如下命令：usermod-G10 admin。

2.4 Linux對(duì)遠(yuǎn)程登錄失敗的處理

針對(duì)Unix/Linux操作系統(tǒng)而言，其對(duì)遠(yuǎn)程多次登錄失敗所采取的措施對(duì)策便是斷開(kāi)與對(duì)方之間的連接，針對(duì)此狀況，對(duì)于那些正在登錄的客戶端軟件，由于服務(wù)方的連接中斷，而被迫停止。此安全策略針對(duì)那些付窮舉密碼攻擊，效果比較明顯。由于在服務(wù)方將連接斷開(kāi)后，攻擊者在重新連接上鎖花費(fèi)的時(shí)間代價(jià)是比較大的。現(xiàn)實(shí)當(dāng)中，此安全策略也存有一個(gè)比較大的隱患，其要想實(shí)現(xiàn)策略，需要結(jié)合客戶端的軟件的合作，方能完成，其要求客戶端軟件能夠在服務(wù)方斷開(kāi)連接之后能夠終止或者退出，以此達(dá)延時(shí)之目的。如若客戶軟件出現(xiàn)不合作狀況，未突出來(lái)延時(shí)，而是以最小延時(shí)，進(jìn)行重新連接，那么服務(wù)方將很難達(dá)到延時(shí)的目的。至此，客戶方便能夠?qū)Ψ?wù)方的用戶密碼很容易地進(jìn)行猜解。

3 結(jié)語(yǔ)

總而言之，通暢情況下，大多iLnux網(wǎng)絡(luò)均由一臺(tái)甚至多臺(tái)安裝有iLnux的操作系統(tǒng)服務(wù)器組成，并將其當(dāng)作FTP Sevrer或者web Sevrer。本文分別從服務(wù)初試配置的安全策略以及啟動(dòng)與登錄的安全策略方面展開(kāi)分析與討論，希望以此為系統(tǒng)安全與病毒防護(hù)提供幫助。

[1]戴帥.基于ARM-Linux的嵌入式HTTPS服務(wù)器的研究與實(shí)現(xiàn)[D].武漢理工大學(xué), 2010.

[2]魯和杰.Linux系統(tǒng)教學(xué)實(shí)驗(yàn)平臺(tái)構(gòu)建與比較研究[J].福建電腦, 2008.

[3]沙伯海, 蔡海濱.基于 Linux下網(wǎng)絡(luò)服務(wù)安全可靠性研究[J].計(jì)算機(jī)工程與設(shè)計(jì), 2005.