Linux網路安全策略

　　　　一、伺服器安全：
　　
　　　　1．關閉無用的埠
　　
　　　　任何網路連線都是通過開放的應用埠來實現的。如果我們儘可能少地開放埠，就使網路攻擊變成無源之水，從而大大減少了攻擊者成功的機會。
　　
　　　　首先檢查你的inetd．conf檔案。inetd在某些埠上守侯，準備為你提供必要的服務。如果某人開發出一個特殊的inetd守護程式，這裡就存在一個安全隱患。你應當在inetd．conf檔案中註釋掉那些永不會用到的服務(如：echo、gopher、rsh、rlogin、rexec、 ntalk、finger等)。註釋除非絕對需要，你一定要註釋掉rsh、rlogin和rexec，而telnet建議你使用更為安全的ssh來代替，然後殺掉lnetd程式。這樣inetd不再監控你機器上的守護程式，從而杜絕有人利用它來竊取你的應用埠。你最好是下載一個埠掃描程式掃描你的系統，如果發現有你不知道的開放埠，馬上找到正使用它的程式，從而判斷是否關閉它們。
　　
　　　　2．刪除不用的軟體包
　　
　　　　在進行系統規劃時，總的原則是將不需要的服務一律去掉。預設的Linux就是一個強大的系統，執行了很多的服務。但有許多服務是不需要的，很容易引起安全風險。這個檔案就是/etc/inetd.conf，它制定了/usr/sbin/inetd將要監聽的服務，你可能只需要其中的兩個： telnet和ftp，其它的類如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth 等，除非你真的想用它，否則統統關閉。
　　
　　　　3．不設定預設路由
　　
　　　　在主機中，應該嚴格禁止設定預設路由，即default route。建議為每一個子網或網段設定一個路由，否則其它機器就可能通過一定方式訪問該主機
　　
　　　　4．口令管理
　　
　　　　口令的長度一般不要少於8個字元，口令的組成應以無規則的大小寫字母、數字和符號相結合，嚴格避免用英語單詞或片語等設定口令，而且各使用者的口令應該養成定期更換的習慣。另外，口令的保護還涉及到對/etc/passwd和/etc/shadow檔案的保護，必須做到只有系統管理員才能訪問這2個文件。安裝一個口令過濾工具加npasswd，能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具，建議你現在馬上安裝。如果你是系統管理員，你的系統中又沒有安裝口令過濾工具，請你馬上檢查所有使用者的口令是否能被窮盡搜尋到，即對你的／ect／passwd檔案實施窮盡搜尋攻擊。
　　
　　　　5．分割槽管理
　　
　　　　一個潛在的攻擊，它首先就會嘗試緩衝區溢位。在過去的幾年中，以緩衝區溢位為型別的安全漏洞是最為常見的一種形式了。更為嚴重的是，緩衝區溢位漏洞佔了遠端網路攻擊的絕大多數，這種攻擊可以輕易使得一個匿名的Internet使用者有機會獲得一臺主機的部分或全部的控制權！
　　
　　　　為了防止此類攻擊，我們從安裝系統時就應該注意。如果用root分割槽記錄資料，如log檔案，就可能因為拒絕服務產生大量日誌或垃圾郵件，從而導致系統崩潰。所以建議為/var開闢單獨的分割槽，用來存放日誌和郵件，以避免root分割槽被溢位。最好為特殊的應用程式單獨開一個分割槽，特別是可以產生大量日誌的程式，還建議為/home單獨分一個區，這樣他們就不能填滿/分割槽了，從而就避免了部分針對Linux分割槽溢位的惡意攻擊。
　　
　　　　6．防範網路嗅探：
　　
　　　　嗅探器技術被廣泛應用於網路維護和管理方面，它工作的時候就像一部被動聲納，默默的接收看來自網路的各種資訊，通過對這些資料的分析，網路管理員可以深入瞭解網路當前的執行狀況，以便找出網路中的漏洞。在網路安全日益被注意的今天.我們不但要正確使用嗅探器.還要合理防範嗅探器的危害.嗅探器能夠造成很大的安全危害，主要是因為它們不容易被發現。對於一個安全效能要求很嚴格的企業，同時使用安全的拓撲結構、會話加密、使用靜態的ARP地址是有必要的。
　　
　　　　7．完整的日誌管理
　　
　　　　日誌檔案時刻為你記錄著你的系統的執行情況。當黑客光臨時，也不能逃脫日誌的法眼。所以黑客往往在攻擊時修改日誌檔案，來隱藏蹤跡。因此我們要限制對／var／log檔案的訪問，禁止一般許可權的使用者去檢視日誌檔案。
　　
　　　　另外，我們還可以安裝一個icmp／tcp日誌管理程式，如iplogger，來觀察那些可疑的多次的連線嘗試(加icmp flood3或一些類似的情況)。還要小心一些來自不明主機的登入。
　　
　　完整的日誌管理要包括網路資料的正確性、有效性、合法性。對日誌檔案的分析還可以預防入侵。例如、某一個使用者幾小時內的20次的註冊失敗記錄，很可能是入侵者正在嘗試該使用者的口令。
　　
　　　　8．終止正進行的攻擊
　　
　　　　假如你在檢查日誌檔案時，發現了一個使用者從你未知的主機登入，而且你確定此使用者在這臺主機上沒有賬號，此時你可能正被攻擊。首先你要馬上鎖住此賬號 (在口令檔案或shadow檔案中，此使用者的口令前加一個Ib或其他的字元)。若攻擊者已經連線到系統，你應馬上斷開主機與網路的物理連線。如有可能，你還要進一步檢視此使用者的歷史記錄，檢視其他使用者是否也被假冒，攻擊音是否擁有根許可權。殺掉此使用者的所有程式並把此主機的ip地址掩碼加到檔案 hosts.deny中。
　　
　　　　9．使用安全工具軟體：
　　
　　　　Linux已經有一些工具可以保障服務器的安全。如bastille linux。對於不熟悉 linux 安全設定的使用者來說，是一套相當方便的軟體，bastille linux 目的是希望在已經存在的 linux 系統上，建構出一個安全性的環境。另外隨著Linux病毒的出現，現在已經有一些Linux伺服器防病毒軟體，安裝Linux防病毒軟體已經是非常迫切了。
　　
　　　　10．使用保留IP地址 :
　　
　　　　—- 維護網路安全性最簡單的方法是保證網路中的主機不同外界接觸。最基本的方法是與公共網路隔離。然而，這種通過隔離達到的安全性策略在許多情況下是不能接受的。這時，使用保留IP地址是一種簡單可行的方法，它可以讓使用者訪問Internet同時保證一定的安全性。- RFC 1918規定了能夠用於本地 TCP/IP網路使用的IP地址範圍，這些IP地址不會在Internet上路由，因此不必註冊這些地址。通過在該範圍分配IP地址，可以有效地將網路流量限制在本地網路內。這是一種拒絕外部計算機訪問而允許內部計算機互聯的快速有效的方法。
　　
　　　　保留IP地址範圍:—- 10.0.0.0 – 10.255.255.255
　　
　　　　—- 172.16.0.0 – 172.31.255.255
　　
　　　　— 192.168.0.0 – 192.168.255.255
　　
　　　　來自保留IP地址的網路交通不會經過Internet路由器，因此被賦予保留IP地址的任何計算機不能從外部網路訪問。但是，這種方法同時也不允許使用者訪問外部網路。IP偽裝可以解決這一問題。
　　
　　　　11、選擇發行版本：
　　
　　　　對於伺服器使用的Linux版本，既不使用最新的發行版本，也不選擇太老的版本。應當使用比較成熟的版本：前一個產品的最後發行版本如Mandrake 8.2 Linux等。畢竟對於伺服器來說安全穩定是第一的。
　　
　　　　12、補丁問題
　　
　　　　你應該經常到你所安裝的系統發行商的主頁上去找最新的補丁。
　　
　　　　二、網路裝置的安全:
　　
　　　　1．交換機的安全
　　
　　　　啟用VLAN技術：交換機的某個埠上定義VLAN ，所有連線到這個特定埠的終端都是虛擬網路的一部分，並且整個網路可以支援多個VLAN。VLAN通過建立網路防火牆使不必要的資料流量減至最少，隔離各個VLAN間的傳輸和可能出現的問題，使網路吞吐量大大增加，減少了網路延遲。在虛擬網路環境中，可以通過劃分不同的虛擬網路來控制處於同一物理網段中的使用者之間的通訊。這樣一來有效的實現了資料的保密工作，而且配置起來並不麻煩，網路管理員可以邏輯上重新配置網路，迅速、簡單、有效地平衡負載流量，輕鬆自如地增加、刪除和修改使用者，而不必從物理上調整網路配置。
　　
　　　　2.路由器的安全:
　　
　　　　根據路由原理安全配置路由器路由器是整個網路的核心和心臟, 保護路由器安全還需要網管員在配置和管理路由器過程中採取相應的安全措施。
　　
　　　　1. 堵住安全漏洞
　　
　　　　限制系統物理訪問是確保路由器安全的最有效方法之一。限制系統物理訪問的一種方法就是將控制檯和終端會話配置成在較短閒置時間後自動退出系統。避免將調變解調器連線至路由器的輔助埠也很重要。一旦限制了路由器的物理訪問，使用者一定要確保路由器的安全補丁是最新的。
　　
　　　　2. 避免身份危機
　　
　　入侵者常常利用弱口令或預設口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助於防止這類漏洞。另外，一旦重要的IT員工辭職，使用者應該立即更換口令。使用者應該啟用路由器上的口令加密功能。
　　
　　　　3. 禁用不必要服務
　　

　　　近來許多安全事件都凸顯了禁用不需要本地服務的重要性。需要注意的是，一個需要使用者考慮的因素是定時。定時對有效操作網路是必不可少的。即使使用者確保了部署期間時間同步，經過一段時間後，時鐘仍有可能逐漸失去同步。使用者可以利用名為網路時

本文轉自寫個部落格騙錢部落格51CTO部落格，原文連結http://blog.51cto.com/dadonggg/1948654如需轉載請自行聯絡原作者

菜鳥東哥

Linux網路安全策略

相關文章