随着 Internet 的日益普及,采用 Linux 操作系统作为服务器的用户也越来越多,这一方面 是因为 Linux 是开放源代码的免费正版软件, 另一方面也是因为 Linux 系统具有较好的稳定性 和安全性。在使用 Linux 操作系统的时候,也要详细分析 Linux 系统的安全机制,找出它可能 存在的安全隐患,给出相应的安全策略和保护措施是十分必要的。
2.3.1 Linux 网络操作系统的基本安全机制
Linux 网络操作系统提供了用户账号、文件系统权限和系统日志文件等基本安全机制,如 果这些安全机制配置不当,就会使系统存在一定的安全隐患。
1.Linux 系统的用户账号
在 Linux 系统中,用户账号是用户的身份标志,它由用户名和用户口令两部分组成。在 Linux 系统中,系统将输入的用户名存放在/etc/passwd 文件中,而将输入的口令以加密的形式 存放在/etc/shadow文件中。在正常情况下,这些口令由操作系统保护,能够对其进行访问的只 能是超级用户和操作系统的一些应用程序。 但是如果配置不当, 或者在系统运行出错的情况下,
这些信息可能被普通用户非法获取。进而,不怀好意的用户就可以使用“口令破解”工具得到 加密前的口令。
2.Linux 的文件系统权限
Linux 文件系统的安全主要是通过设置文件的权限来实现的。 每一个 Linux 的文件或目录,
都有 3 组属性,分别定义文件或目录的所有者、用户组和其他人的使用权限(只读、可写、可 执行、 允许 SUID、 允许 SGID 等)。 需要注意的是, 权限为 SGID 和 SUID 的可执行文件。 SGID
(SUID)中的 S 指 set,程序在运行时,其进程的 EUID(Effective User ID)或 EGID(Effective Group ID)会被设成文件拥有者的 UIDGID,从而进程也具有了其 Owner 或 Owner Group 的权 限。典型的应用是/bin/passwd 命令,其 Owner 是 root,权限是 4755。可以想象,如果使用不 当,SGID 和 SUID 程序会给系统安全性带来极大的危害。某些入侵者暂时取得 root 权限后,
往往会利用 SGID 或 SUID 程序为下次进入系统留下后门。为了防止这种情况发生,应当定期 检查系统中的 SUID 和 SGID 程序。
3.合理利用 Linux 的日志文件
Linux 的日志文件用来记录整个操作系统使用状况。作为一个 Linux 网络系统管理员要充 分用好以下几个日志文件。
l /var/log/lastlog 文件。记录最后进入系统的用户信息,包括登录的时间、登录是否成 功等。因此普通用户登录后只要用 lastlog 命令查看一下/var/log/lastlog 文件中记录的 账号的最后登录时间, 再与自己的记录对比一下, 就可以发现该账号是否被黑客盗用。
l /var/log/secure 文件。记录系统自开通以来所有用户的登录时间和地点,可以给系统 管理员提供更多的参考。
l /var/log/wtmp 文件。记录当前和历史上登录到系统的用户的登录时间、地点和注销时 间等信息。可以用 last 命令查看,若想清除系统登录信息,只需删除这个文件即可。
户口令失窃,黑客就可以利用该用户的账号进入系统。
也方便了黑客,因为他们也能很容易地找到程序和工具来潜入 Linux 系统,或者盗取 Linux 系 统上的重要信息。不过,只要仔细设定 Linux 的各种系统功能,并且加上必要的安全措施,就
2.确保用户口令文件/etc/shadow 的安全
对于网络系统而言,口令是比较容易出问题的地方,作为系统管理员应告诉用户在设置 口令时要使用安全口令(在口令序列中使用非字母、非数字等特殊字符)并适当增加口令的长 度(大于 6 个字符)。系统管理员要保护好/etc/passwd 和/etc/shadow 这两个文件的安全,不让 无关的人员获得这两个文件,这样黑客利用 John 等程序对/etc/passwd 和/etc/shadow 文件进行 字典攻击以获取用户口令的企图就无法进行。系统管理员要定期用 John 等程序对本系统的 /etc/passwd 和/etc/shadow 文件进行模拟字典攻击,一旦发现有不安全的用户口令,要强制用户 立即修改。
如 12 13 14 等等。
3.加强对系统运行的监控和记录
作为 Linux 系统管理员, 必须为系统制定适当的数据备份计划, 充分利用磁带机、 光盘刻录机、
虽然/etc 中的许多文件经常会变化,但/etc 中的许多内容仍然可以放到光盘上用于系统完 整性验证。其他不经常进行修改的文件,可以备份到另一个系统(如磁带)或压缩到一个只读 目录中。这种办法可以在使用光盘映像进行验证的基础上再进行额外的系统完整性检查。
5.保持最新的系统核心
由于 Linux 流通渠道很多,而且经常有更新的程序和系统补丁出现,因此,为了加强系 统安全,一定要经常更新系统内核。
Kernel 是 Linux 操作系统的核心,它常驻内存,用于加载操作系统的其他部分,并实现操 作系统的基本功能。由于 Kernel 控制计算机和网络的各种功能,因此,它的安全性对整个系 统安全至关重要。在设定 Kernel 的功能时,只选择必要的功能,千万不要所有功能照单全收,
否则会使 Kernel 变得很大,既占用系统资源,也给黑客留下可乘之机。
在 Internet 上常常有最新的安全修补程序,Linux 系统管理员应该消息灵通,经常光顾安 全新闻组,查阅新的修补程序。
2.取消不必要的服务
大多数 Linux 系统安装后,各种不同的服务都被激活,如 FTP、Telnet、UUCP、ntalk 等。
多数情况下, 其中有些服务很少会用到, 让它们处于活动状态就像是把窗户打开让盗贼有机会 溜进来一样。一般来说,除了 HTTP、SMTP、Telnet 和 FTP 之外,其他服务都应该取消,诸 如简单文件传输协议 TFTP、网络邮件存储及接收所用的 IMAP/IPOP 传输协议、搜索资料用 的 Gopher 以及用于时间同步的 Daytime 和 Time 等。
取消不必要服务的方法就是检查/etc/inetd.conf 文件,在不要的服务前加上“#”号,然后 重启 inetd 后台程序,从而禁用它们。另外,一些服务(如数据库服务器)可能在开机过程中 默认启动,可以通过编辑/etc/rc.d/*目录等禁用这些服务。许多有经验的管理员禁用了所有系 统服务,只留下 SSH 通信端口。
3.慎用 Telnet 服务
用 Telnet 进行远程登录时,用户名和用户密码是明文传输的,这就有可能被在网上监听 的其他用户截获。 另一个危险是黑客可以利用 Telnet 登入系统, 如果同时获取了超级用户密码,
则对系统的危害将是灾难性的。因此,如果不是特别需要,不要开放 Telnet 服务。如果一定要 开放 Telnet 服务, 应该要求用户用特殊的工具软件进行远程登录, 这样就可以在网上传送加密 过的用户密码,以免密码在传输过程中被黑客截获。
还有一些报告系统状态的服务,如 Finger、Efinger、Systat 和 Netstat 等,虽然对系统查错 和寻找用户非常有用,但也给黑客提供了方便之门。例如,黑客可以利用 Finger 服务查找用 户的电话、使用目录以及其他重要信息。因此,很多 Linux 系统将这些服务全部或部分取消,
以增强系统的安全性。
Inetd 除了利用/etc/inetd.conf 设置系统服务项之外,还利用/etc/services 文件查找各项服务 所使用的端口。因此,用户必须仔细检查该文件中各端口的设定,以免有安全漏洞。
在 Linux 中有两种不同的服务形态:一种是仅在有需要时才执行的服务,如 Finger 服务;
另一种是一直在执行的永不停顿的服务。 这类服务在系统启动时就开始执行, 因此不能靠修改 Inetd 来停止其服务,而只能从修改/etc/rc.d/rc[n].d/文件或用 Run level editor 去修改它。提供文 件服务的 NFS 服务器和提供 NNTP 新闻服务的 NEWS 都属于这类服务,如果没有必要,最好 取消这些服务。
4.合理设置 NFS 服务和 NIS 服务
NFS(Network File System)服务允许工作站通过网络共享一个或多个服务器输出的文件。
但对于配置不安全的 NFS 服务器来讲,用户不经登录就可以阅读或者更改存储在 NFS 服务器 上的文件,使得 NFS 服务器很容易受到攻击。如果一定要提供 NFS 服务,要确保 NFS 服务 器支持 Secure RPC(Secure Remote Procedure Call),以便利用 DES(Data Encryption Standard)
加密算法和指数密钥交换(Exponential Key Exchange)技术验证每个 NFS 请求的用户身份。
NIS(Network Information System)服务是一个分布式数据处理系统,它使网络中的计算 机通过网络共享 passwd 文件、group 文件、主机表文件和其他共享的系统资源。NIS 服务也有 漏洞, 在 NIS 系统中, 恶意用户可以利用自己编写的程序模仿 Linux 系统中的 ypserv 响应 ypbind 的请求,从而截获用户的密码。因此,NIS 的用户一定要使用 ypbind 的 secure 选项,并且不 接受端口号小于 1024(非特权端口)的 ypserv 响应。
5.小心配置 FTP 服务
FTP 服务的用户名和用户密码也是明文传输的。因此,为系统的安全计,必须禁止 root、
bin、daemon、adm 等特殊用户对 FTP 服务器进行远程访问,限制某些主机不能连入 FTP 服务 器,如果开放匿名 FTP 服务,则任何人都可以下载文件(有时还可以上传文件),因此,除非 特别需要一般应禁止匿名 FTP 服务。
6.合理设置 POP3 和 Sendmail 等电子邮件服务
对一般的 POP3 服务来讲,电子邮件用户的口令是按明文方式传送到网络中的,黑客可 以轻易截获用户名和用户密码。要想解决这个问题,必须安装支持加密传送密码的 POP3 服 务器(即支持 Authenticated POP 命令),这样用户在往网络中传送密码之前,可以先对密码 加密。
老版本的 Sendmail 邮件服务器程序存在安全隐患,为确保邮件服务器的安全,应尽可能 安装已消除安全隐患的最新版的 Sendmail 服务器软件。
7.加强对 WWW 服务器的管理,提供安全的 WWW 服务
当一个基于 Linux 系统的网站建立好之后, 绝大部分用户是通过 Web 服务器, 利用 WWW 浏览器对网络进行访问的,因此必须特别重视 Web 服务器的安全,无论采用哪种基于 HTTP
当一个基于 Linux 系统的网站建立好之后, 绝大部分用户是通过 Web 服务器, 利用 WWW 浏览器对网络进行访问的,因此必须特别重视 Web 服务器的安全,无论采用哪种基于 HTTP