当前位置:文档之家 › Linux_服务器安全策略详解

Linux_服务器安全策略详解

  • 格式:pdf
  • 大小:423.80 KB
  • 文档页数:21

下载文档原格式

  / 21

合集下载

Linux操作系统安全策略浅析

Linux操作系统安全策略浅析

Linux操作系统安全策略浅析下面,针对市面上常见的RedHat、Sues、Defiant等Linux操作系统,通过总结归纳其中的一些共性设置,提出一些适合的安全策略。

1 初步安装操作,合理规划实现多系统共存现在许多用户习惯使用Windows、Linux双系统,鉴于这种情况,建议使用双硬盘,分别安装Windows和Linux操作系统。

具体操作如下:找两块硬盘,现在多是SATA接口的,第一块硬盘安装Windows系统,第二块硬盘安装好Linux服务器版和默认安装GRUB(引导装载管理器),并确保GRUB安装在第二块硬盘的主引导扇区,接好两块硬盘的数据线,借助Linux的GRUB进行配置,自动接管双重系统的启动选单。

2 制定密码策略,多管齐下保证系统安全登录密码是保证系统安全的第一道防线,因此,必须要有一个强健的密码。

密码设置的原则:足够长,不要用完整的单词,尽可能要包括数字、字母、特殊字符和大小写混写,经常进行修改。

在Linux系统中除了要遵循以上原则外。

还要注意以下方面:首先,在Linux登录和登出过程中的密码安全问题有很多容易忽视的地方,比如:BIOS的密码设置不要和系统密码相同。

此外Linux是一个多用户操作系统,为了保证系统安全,在登出和锁定屏幕的时候也是非常重要的,特别是在系统上是唯一用户时,建议锁定屏幕保证系统安全。

其次,在启动和加载程序时,要尽量使用GRUB而不要使用LILO,因为ULO在配置文件中使用的是明文口令,而GRUB使用的是MD5加密算法,可以防止使用被定制的内核来启动系统。

再次,建议使用SELinux安全策略,SELinux(Security_EnhancedLinux)是由美国国家安全局NSA开发的访问控制机制。

与日常Linux系统相比,SELinux系统安全性能要高很多。

它通过对用户进程权限进行最小化限制,即使受到外部侵入或者用户进程被劫持,也不会对整个系统造成重大影响。

Linux安全书籍推荐

Linux安全书籍推荐

安全知识就是一点点的积累起来的,我向大家推荐几本好书!本文章为本人原创,是我学习中经常用到的书籍,为方便大家学习Linux安全,特此向大家介绍:
1.《Linux.黑客大曝光:Linux安全机密与解决方案》
[美]Brian hatch James Lee 著王一川译
清华大学出版社出版
2.《Linux 服务器安全策略详解》
曹江华编著
电子工业出版社出版
3.《Linux安全入侵防范检测和恢复》
[美]Bob Toxen 著前导工作室译
机械工业出版社出版
4.《LINUX安全体系分析与编程》
作者:倪继利
电子工业出版社出版
5.《Linux Server HACKS卷二–100个业界最尖端的技巧和工具》
作者(美)Bill Von Hagen;Brian K Jones 译者张颖
清华大学出版社出版
6.《RED HAT LINUX安全与优化》
RED HAT LINUX SECURITY AND OPTIMIZATION
作者:【美】MOHAMMED J.KABIR 译者:邓少鵾
中国水利水电出版社出版
7.《Linux防火墙(原书第三版)》
作者:(美)苏哈林等著,何泾沙等译
出版社:机械工业出版社
8.《Linux 系统安全基础》
作者:(美)海赛著,史兴华译出版社:人民邮电出版社
9.《Linux安全最大化》(第2版附光盘) 作者: [美]Anonymous等著汪辉等译出版社:电子工业出版社。

Linux服务器安全策略配置-SSH与动态MOTD

Linux服务器安全策略配置-SSH与动态MOTD

Linux登录提示(静态/动态MOTD)在用户输入口令或使用密钥成功登录后,让服务器自动为我们执行几个简单的操作,如打印提示信息,打印异常信息,执行一个脚本,或者发送邮件等。

能够预先提示信息给登录者,让我们在登录机器采取任何操作之前,可以快速的了解这台机器的重要信息。

看起来是不是很有意思呢? 也许我们会想,这对于服务器的安全加固并没有直接的影响,而且每次刚刚登录就执行一系列命令、脚本(如收集服务器资源使用情况的信息),似乎也有点多余。

因此,如果是在生产环境的Linux服务器并且需要配置登录提示,诸如登录执行命令、脚本等这些操作,我们不必为此写一个复杂的、庞大的脚本,脚本的执行时间很关键,如果你不想在正确输入登录密码后仍需等待几秒或更长的时间,那么,尽可能地把脚本的执行耗时优化到几毫秒,甚至更低。

(登录后的提示或操作尽可能简单的、有利的是最好的。

如果你想这么做)在大多数Linux分发版中,可以直接修改/etc/motd文件来定制任何想要的提示信息,修改方法是将需要打印的提示消息文件粘贴到该文件中即可(一些可执行命令或脚本在文件中仅仅被当作是普通字符/文本)。

/etc/motd内的文本消息是固定不变,除非我们手动修改它。

因此,在/etc/motd中定制的消息是静态MOTD。

如果你使用过Debian/Ubuntu分发版,你可能已经发现,Ubuntu默认就已经有一个动态的MOTD信息提示(通过SSH或本地登录时显示系统当前的一些信息)。

在RHEL/CentOS中不可能实现像在Debian/Ubuntu 中这样的功能,因为RHEL/CentOS并没有提供与之相关的任何脚本。

我们可以通过环境变量文件,如/etc/profile、/etc/bashrc等,将需要执行的命令或脚本添加到这些文件末尾,这样当每次用户登陆时,系统就会读取这些文件,执行文件里定义好的脚本。

除此之外,也可以结合使用crontab计划任务,将预先准备好的脚本,如系统监控,异常信息收集通过crontab在后台定期执行,并把收集到的信息重定向写到/etc/motd文件中。

Linux服务器和网络安全技术的详解

Linux服务器和网络安全技术的详解

Linux服务器和网络安全技术的详解Linux是一种开源的操作系统,因其稳定性和安全性被广泛应用于服务器系统中。

作为一名拥有Linux服务器的运维人员,在日常工作中,除了维护服务器的正常运行,还需要不断学习和更新网络安全技术,以保证服务器的安全性。

Linux服务器的概述Linux服务器是一种基于Linux操作系统搭建的服务器系统,包括硬件设备和软件系统两部分。

与传统的Windows服务器相比,Linux服务器具有更高的安全性和稳定性,因为Linux操作系统本身就具有更强的安全性。

此外,Linux服务器还允许用户自由定制服务器的配置,包括安装软件、服务、应用程序等,以满足不同的需求。

Linux服务器的优势稳定性: Linux操作系统的设计理念和架构决定了其具有更高的稳定性和可靠性。

Linux基于分层的设计,将不同的功能模块分开实现,不同的进程之间采用IPC进行通信,这样能够有效隔离不同的模块,防止系统出现致命错误。

此外,Linux还具有更好的内存管理和资源分配能力,能够有效避免出现OOM等问题。

可定制性: Linux服务器允许用户自由定制系统配置,包括内核、驱动、应用程序、服务等,以便更好地满足不同的需求。

此外,用户还可以根据需要配置虚拟机、容器等技术,提高资源利用率。

安全性: Linux作为一种开源的操作系统,拥有众多开发者参与其中,不仅能够及时发现漏洞,而且能够尽快修复问题。

此外,Linux具有更好的文件权限控制、系统日志管理以及网络连接控制等安全机制,可以有效避免机器被黑客攻击。

网络安全技术网络安全技术是指保护计算机网络不受恶意攻击或其他各种威胁的技术。

随着网络黑客的日益猖獗,网络安全技术也越来越重要。

以下介绍几种常见的网络安全技术。

防火墙:防火墙是一种网络安全设备,用于控制网络之间流量的传输,防止恶意攻击。

防火墙可以控制入站和出站流量,可以监视网络连接、过滤IP地址和端口、日志记录等。

Linux系统自带iptables防火墙功能,也可以使用其他商业防火墙产品。

Linux服务器安全策略详解PDF

Linux服务器安全策略详解PDF

《Linux服务器安全策略详解》完整版下载pdf下载地址:/thread-2443988-1-1.html 要注册账号,就可以免费下载,非常好的资料,与大家分享!希望对大家有帮助!Linux主要用于架设网络服务器。

如今关于服务器和网站被黑客攻击的报告几乎每天都可以见到,而且随着网络应用的丰富多样,攻击的形式和方法也千变万化。

如何增强Linux服务器的安全性是Linux系统管理员最关心的问题之一。

本书用20章和8个附录的内容,全面解析Linux服务器安全策略分四部分内容:第一部分分级介绍对Linux服务器的攻击情况,以及Linux网络基础;第二部分是本书的核心,针对不同的Linux服务器分别介绍各自的安全策略;第三部分介绍Linux服务器的安全工具;第四部分是8个附录,介绍Linux帮助信息和Linux常用命令汇总。

本书适合作为大专院校计算机专业师生的教材或教参书,也适合于Linux网络管理员和系统管理员,以及对安全方面感兴趣的读者。

目录第1章Linux网络基础与Linux第1章服务器的安全威胁 11.1 Linux网络基础 11.1.1 Linux网络结构的特点 11.1.2 TCP/IP四层模型和OSI七层模型 2 1.1.3 TCP/IP提供的主要用户应用程序 4 1.1.4 端口号分配 41.2 Linux的TCP/IP网络配置 61.2.1 Linux的TCP/IP网络配置文件 7 1.2.2 网络配置工具 71.2.3 配置网络接口 91.3 分级解析对Linux服务器的攻击 14 1.3.1 攻击者使用什么操作系统 151.3.2 典型的攻击者有什么特征 151.3.3 攻击者典型的目标是什么 151.3.4 实施攻击的原因是什么 151.3.5 攻击级别 161.3.6 反击措施 181.4 开源软件网络安全概述 191.5 本章小结 21第2章OpenSSL与Linux网络安全 22 2.1 理解SSL和OpenSSL如何工作 22 2.1.1 SSL功能 222.1.2 SSL协议简介 232.1.3 SSL工作流程 232.1.4 OpenSSL简介 252.1.5 OpenSSL的组成 252.2 理解服务器证书(CA) 262.2.1 X.509协议简介 262.2.2 金字塔结构的优缺点 272.2.3 相关名词解释 272.3 Linux下安装和配置OpenSSL 28 2.3.1 下载OpenSSL源代码 282.3.2 安装OpenSSL 292.3.3 产生CA凭证 302.3.4 CA产生次级凭证 302.3.5 OpenSSL应用 322.3.6 OpenSSL常用命令 352.4 数字证书在客户端的应用 372.5 OpenSSL面临的安全问题及其2.5 解决思路 382.5.1 OpenSSL面临的安全问题 382.5.2 解决思路 392.6 本章小结 39第3章PAM与Open LDAP 403.1 PAM工作原理 403.1.1 什么是PAM 403.1.2 为什么使用PAM 413.1.3 PAM体系结构 413.1.4 PAM工作流程图 423.2 PAM配置文件 433.3 建立PAM应用程序 443.4 PAM常用认证模块及其应用 463.4.1 PAM常用认证模块 463.4.2 PAM模块应用实例 473.5 安全应用PAM 483.5.1 删除不再需要的PAM配置文件和3.5.1 模块 483.5.2 对PAM配置进行备份 483.5.3 设置资源限制 483.5.4 限制su命令 493.6 动手制作Linux下基于PAM机制3.6 的USB Key 493.6.1 什么是USB Key 493.6.2 建立pam_usb应用 493.7 Liunx目录服务器介绍 513.8 安装配置OpenLDAP服务器 533.8.1 安装OpenLDAP服务器 533.8.2 配置OpenLDAP 服务器 533.8.3 启动OpenLDAP服务器 553.9 配置OpenLDAP客户端 563.9.1 配置Linux OpenLDAP客户端 56 3.9.2 Outlook如何使用OpenLDAP 56 3.10 监控OpenLDAP服务器 573.10.1 使用uptime命令 573.10.2 使用cron命令定时监测3.10.2 系统负载 573.10.3 OpenLDAP进程的监控 573.10.4 端口的监控 583.11 安全管理OpenLDAP服务器 583.11.1 自动启动OpenLDAP服务器 58 3.11.2 使用访问控制(Access Control)3.11.2 实现用户认证 583.11.3 禁止整个服务器的匿名访问 59 3.11.4 配置OpenLDAP使用TLS通信 59 3.11.5 管理OpenLDAP服务器 593.11.6 OpenLDAP在Linux上集群的3.11.6 应用 613.12 本章小结 61第4章Linux网络服务和xinetd 624.1 Linux启动过程 624.1.1 Linux的启动过程详解 624.1.2 Linux运行级 664.1.3 /etc/inittab文件详解 674.1.4 init和/etc/inittab 684.2 守护进程 694.2.1 Linux守护进程的概念 694.2.2 Linux系统提供的服务及其守护4.2.2 进程列表 704.2.3 Linux守护进程的运行方式 734.3 xinetd 754.3.1 什么是xinetd 754.3.2 xinetd的特色 754.3.3 使用xinetd启动守护进程 764.3.4 解读/etc/xinetd.conf和4.3.4 /etc/xinetd.d/* 764.3.5 配置xinetd 774.3.6 xinetd防止拒绝服务攻击4.3.6 (Denial of Services)的原因 824.4 Linux服务管理工具 834.4.1 redhat-config-services 834.4.2 ntsysv 844.4.3 chkconfig 854.5 安全选择Linux服务 854.6 本章小结 86第5章DNS服务器的安全策略 875.1 DNS服务器的工作原理 875.2 域名服务的解析原理和过程 885.3 DNS服务器面临的安全问题 905.3.1 DNS欺骗 905.3.2 拒绝服务攻击 925.3.3 缓冲区漏洞攻击 925.3.4 分布式拒绝服务攻击 925.3.5 缓冲区溢出漏洞攻击 935.3.6 不安全的DNS动态更新 935.4 增强DNS安全性的方法 945.4.1 选择安全没有缺陷的DNS版本 94 5.4.2 保持DNS服务器配置正确、可靠 94 5.5 建立一个完整的DNS 955.5.1 DNS分类 955.5.2 安装BIND域名服务器软件 95 5.5.3 named配置文件族内容 965.5.4 配置惟高速存域名服务器 965.5.5 配置主域名服务器 965.5.6 配置辅助域名服务器 985.5.7 配置域名服务器客户端 995.6 DNS故障排除工具 1005.6.1 dlint 1005.6.2 DNS服务器的工作状态检查 101 5.7 全面加固DNS服务器 1035.7.1 使用TSIG技术 1035.7.2 使用DNSSEC技术 1055.8 配置安全的DNS服务器 1065.8.1 隔离DNS服务器 1065.8.2 为BIND创建chroot 1065.8.3 隐藏BIND的版本号 1075.8.4 避免透露服务器的信息 1075.8.5 关闭DNS服务器的glue fetching 5.8.5 选项 1075.8.6 控制区域(zone)传输 1075.8.7 请求限制 1085.8.8 其他强化措施 1085.8.9 为DNS服务器配置5.8.9 DNS Flood Detector 1095.8.10 建立完整的域名服务器 1105.8.11 建立DNS日志 1115.8.12 增强DNS服务器的防范5.8.12 DoS/DDoS功能 1125.8.13 使用分布式DNS负载均衡 112 5.8.14 防范DNS服务器网络 1135.8.15 配置防火墙 1135.9 本章小结 113第6章Web服务器的安全策略 114 6.1 Web服务器软件Apache简介 114 6.1.1 Apache的发展历史 1146.1.2 市场情况 1156.1.3 Apache的工作原理 1166.1.4 Apache服务器的特点 1176.2 Apache服务器面临的安全问题 118 6.2.1 HTTP拒绝服务 1186.2.2 缓冲区溢出 1196.2.3 攻击者获得root权限 1196.3 配置一个安全的Apache服务器 119 6.3.1 勤打补丁 1196.3.2 隐藏和伪装Apache的版本 1206.3.3 建立一个安全的目录结构 1206.3.4 为Apache使用专门的用户和6.3.4 用户组 1216.3.5 Web目录的访问策略 1216.3.6 Apache服务器访问控制方法 1226.3.7 管理Apache服务器访问日志 122 6.3.8 Apache服务器的密码保护 1306.3.9 减少CGI和SSI风险 1326.3.10 让Apache服务器在“监牢”6.3.10 中运行 1336.3.11 使用SSL加固Apache 1356.3.12 Apache服务器防范DoS 1406.3.13 利用LDAP对Apache进行认证 140 6.3.14 其他安全工具 1416.4 本章小结 142第7章电子邮件服务器的安全策略 143 7.1 电子邮件系统的组成和相关协议 143 7.1.1 操作系统 1447.1.2 邮件传输代理MTA 1447.1.3 邮件分发代理MDA 1467.1.4 邮件用户代理MUA 1467.1.5 电子邮件服务器协议及其7.1.5 相关命令 1467.2 电子邮件服务器的工作原理 1527.2.1 电子邮件的工作流程 1527.2.2 电子邮件的历史 1537.2.3 电子邮件地址的组成 1537.2.4 电子邮件系统和DNS的联系 154 7.3 电子邮件服务器面临的安全隐患 155 7.3.1 Linux病毒 1557.3.2 网络攻击 1557.3.3 垃圾邮件及其防范 1557.4 安装安全的Sendmail服务器 1597.4.1 安装Sendmail服务器 1597.4.2 提高Sendmail的防垃圾邮件能力 160 7.4.3 其他保护Sendmail的安全措施 162 7.4.4 配置基于Sendmail的Webmail 163 7.4.5 增强Webmail邮件服务器的安全 167 7.4.6 监控Sendmail的日志文件 1687.5 安装安全的Postfix服务器 1697.5.1 安装Postfix服务器 1697.5.2 保护Postfix服务器 1737.5.3 自动监控Postfix 邮件服务器 1747.6 本章小结 177第8章FTP服务器的安全策略 1788.1 FTP的工作原理 1788.1.1 FTP简介 1788.1.2 FTP的功能 1798.1.3 FTP服务器登录方式的分类 179 8.1.4 FTP的工作原理 1798.1.5 FTP的典型消息和子命令 1818.1.6 Linux服务器端的主要FTP软件 184 8.2 FTP服务器面临的安全隐患 1858.2.1 缓冲区溢出攻击 1858.2.2 数据嗅探 1858.2.3 匿名访问缺陷 1858.2.4 访问漏洞 1868.3 配置安全的Wu-ftpd服务器 1868.3.1 配置Wu-ftpd服务器 1868.3.2 Wu-ftpd服务器的配置文件8.3.2 /etc/ftpaccess 1878.3.3 其他配置文件 1908.3.4 增强Wu-ftpd服务器安全性的8.3.4 方法 1918.4 配置安全的ProFTPD服务器 1958.4.1 配置ProFTPD服务器 1958.4.2 增强ProFTPD服务器安全性的8.4.2 方法 1988.5 配置安全的Vsftpd服务器 2078.5.1 快速构建Vsftpd服务器 2078.5.2 Vsftpd配置文件 2088.5.3 Vsftpd的设置选项 2098.5.4 通过Web浏览器管理Vsftpd8.5.4 服务器 2158.5.5 分析Vsftpd服务器的日志文件 217 8.5.6 使用BlockHosts对抗暴力破解 218 8.5.7 在RHEL 4.0下安装支持SSL的8.5.7 最新版本的Vsftpd 2188.5.8 使用quota为ftpuser加入磁盘8.5.8 限额 2188.6 安全使用客户端工具 2198.6.1 命令行模式 2198.6.2 图形界面模式(gFTP) 2208.7 本章小结 221第9章Samba服务器的安全策略 222 9.1 Samba简介 2229.1.1 什么是Samba 2229.1.2 Samba的历史起源 2229.1.3 SMB协议 2239.1.4 为什么使用Samba 2239.1.5 Samba 软件包的功能 2249.2 安装配置Samba服务器 2259.2.1 安装Samba服务器 2259.2.2 Samba配置文件 2259.2.3 设置Samba密码文件 2299.2.4 启动Samba服务器 2309.2.5 测试Samba配置文件 2309.2.6 在Windows环境测试RHEL 4.09.2.6 默认配置 2319.3 配置Samba服务器共享文件及9.3 打印机 2339.3.1 配置文件共享 2339.3.2 配置共享打印机 2349.3.3 在Linux环境下应用Samba服务 235 9.4 其他配置Samba的方法和用好9.4 Linux 下的网络邻居 2369.4.1 图形化配置工具system-config-9.4.1 samba 2369.4.2 使用SW A T管理工具管理Samba 239 9.4.3 其他工具 2419.4.4 用好Linux下的网络邻居 2419.5 Samba服务器面临的安全隐患 2459.5.1 非法访问数据 2459.5.2 计算机病毒 2459.5.3 Samba文件服务器的安全级别 245 9.6 提升Samba服务器的安全性 2469.6.1 不要使用明语密码 2469.6.2 尽量不使用共享级别安全 2469.6.3 尽量不要浏览器服务访问 2469.6.4 通过网络接口控制Samba访问 247 9.6.5 通过主机名称和IP地址列表9.6.5 控制Samba访问 2479.6.6 使用pam_smb对Windows NT/2000 9.6.6 服务器的用户进行验证 2479.6.7 为Samba配置防范病毒软件 2489.6.8 使用Iptables防火墙保护Samba 249 9.6.9 使用Gsambad管理监控Samba9.6.9 服务器 2499.6.10 使用SSL加固Samba 2529.7 本章小结 252第10章NFS服务器的安全策略 25310.1 NFS服务器的工作原理 25310.1.1 NFS简介 25310.1.2 为何使用NFS 25410.1.3 NFS协议 25410.1.4 什么是RPC(Remote10.1.4 Procedure Call) 25510.2 安装配置NFS服务器 25710.2.1 NFS网络文件的系统结构 257 10.2.2 配置/etc/exports文件 25810.2.3 激活服务portmap和nfsd 25910.2.4 exportfs 命令 25910.2.5 检验目录/var/lib/nfs/xtab 25910.2.6 showmount 25910.2.7 观察激活的端口号 26010.2.8 NFS服务器的启动和停止 260 10.3 NFS的图形化配置 26010.3.1 NFS服务器配置窗口 26110.3.2 添加NFS共享 26110.3.3 常规选项 26210.3.4 用户访问 26210.3.5 编辑NFS共享 26310.4 NFS的客户端配置 26310.4.1 使用mount命令 26410.4.2 扫描可以使用的NFS Server10.4.2 目录 26510.4.3 卸载NFS网络文件系统 26510.4.4 应用实例 26510.4.5 其他挂载NFS文件系统的方法 266 10.5 NFS服务器面临的安全隐患 267 10.6 提升NFS服务器的安全性 26710.6.1 使用tcp_wrappers 26710.6.2 注意配置文件语法错误 26710.6.3 使用Iptables防火墙 26710.6.4 把开放目录限制为只读权限 268 10.6.5 禁止对某些目录的访问 26810.6.6 root Squashing访问问题 26810.6.7 使用nosuid和noexec选项 268 10.6.8 保护portmap的安全性 26910.6.9 保留ACL 26910.7 本章小结 270第11章DHCP服务器的安全策略 271 11.1 DHCP服务器的工作原理 27111.1.1 DHCP简介 27111.1.2 为什么使用DHCP 27111.1.3 DHCP的工作流程 27211.1.4 DHCP的设计目标 27311.2 安装DHCP服务器 27311.2.1 DHCP配置文件 27311.2.2 配置实例 27411.2.3 启动DHCP服务器 27611.2.4 设置DHCP客户端 27811.3 DHCP服务器的故障排除 27911.3.1 客户端无法获取IP地址 27911.3.2 DHCP客户端程序和DHCP11.3.2 服务器不兼容 28011.4 提升DHCP服务器的安全性 280 11.4.1 管理监控DHCP服务器 28011.4.2 让DHCP服务器在监牢中运行 282 11.4.3 提供备份的DHCP设置 28411.5 本章小结 285第12章Squid服务器的安全策略 286 12.1 代理服务器的工作原理 28612.1.1 各种代理服务器的比较 28612.1.2 Squid工作原理和流程图 28712.1.3 代理服务器的优点 28812.1.4 代理服务器的分类及特点 289 12.2 配置安全的Squid代理服务器 289 12.2.1 Squid的启动 29012.2.2 Squid的配置文件 29012.2.3 Squid的命令参数 29112.3 代理服务器面临的安全隐患 293 12.3.1 客户端非法访问不良网站 293 12.3.2 计算机病毒 29412.4 提升Squid代理服务器的安全性 294 12.4.1 控制对客户端访问 29412.4.2 管理代理服务器端口 29612.4.3 使用用户认证 29612.5 全面监控Squid代理服务器12.5 的运行 29712.6 关注Squid代理服务器的日志 301 12.6.1 Squid日志格式 30212.6.2 分析access.log日志文件 30212.6.3 使用Linux命令 30212.6.4 使用专业软件分析 30312.7 为Squid代理服务器串联HA VP 307 12.8 本章小结 308第13章SSH服务器的安全策略 309 13.1 SSH服务器的工作原理 30913.1.1 传统远程登录的安全隐患 309 13.1.2 SSH能保护什么 30913.1.3 SSH服务器和客户端工作流程 310 13.2 安装配置OpenSSH服务器 31113.2.1 安装与启动OpenSSH 31113.2.2 配置文件 31213.3 SSH服务器面临的安全隐患 315 13.3.1 软件漏洞 31513.3.2 口令暴力破解 31513.3.3 SSH所不能防范的网络攻击 315 13.3.4 OpenSSH中可能安放有13.3.4 特洛伊木马 31513.4 提升SSH服务器的安全性 31613.4.1 升级旧版本 31613.4.2 使用xinetd模式运行OpenSSH 316 13.4.3 使用BlockHosts对抗暴力破解 317 13.4.4 使用TCP会绕程序 31713.4.5 管理SSH监听端口 31813.4.6 关闭Telnet服务 31913.4.7 禁止root用户登录SSH服务器 319 13.4.8 启用防火墙保护OpenSSH13.4.8 服务器 31913.4.9 使用Protocol 2 31913.4.10 不使用r系列命令 31913.4.11 修改配置文件 32013.5 如何安全应用SSH客户端 32113.5.1 安全应用Linux下的SSH13.5.1 客户端 32113.5.2 生成密钥对 32513.5.3 命令测试 32613.5.4 使用Windows SSH客户端登录13.5.4 OpenSSH服务器 32813.6 本章小结 334第14章Linux防火墙 33514.1 防火墙简介 33514.1.1 什么是防火墙 33514.1.2 防火墙的功能 33514.1.3 防火墙技术分类 33614.2 Linux 防火墙 33814.2.1 Linux防火墙的历史 33814.2.2 Netfilter/Iptables 系统是如何14.2.2 工作的 33914.2.3 Iptables的基础 34014.2.4 建立规则和链 34614.3 Iptables配置实战 35014.3.1 初试化配置方案 35014.3.2 Web服务器设置 35114.3.3 DNS服务器设置 35114.3.4 邮件服务器Sendmail设置 35114.3.5 不回应ICMP封包 35114.3.6 防止IP Spoofing 35114.3.7 防止网络扫描 35214.3.8 允许管理员以SSH方式连接到14.3.8 防火墙修改设定 35214.3.9 快速构架Linux个人防火墙 352 14.4 升级Iptables控制BT 35614.4.1 P2P应用现状 35714.4.2 下载软件 35714.4.3 安装 35714.4.4 测试 35714.4.5 使用 35914.5 本章小结 359第15章Linux网络环境下的VPN构建 360 15.1 VPN概述 36015.1.1 VPN定义 36015.1.2 VPN的功能 36115.1.3 VPN的分类 36115.1.4 VPN的隧道协议 36215.2 Linux下的主要VPN技术 36415.2.1 IPSec(Internet Protocol15.2.1 Security) 36415.2.2 PPP OVER SSH 36415.2.3 CIPE(Crypto IP15.2.3 Encapsulation) 36415.2.4 PPTP 36415.3 构建基于CIPE技术的15.3 Linux VPN 36515.3.1 CIPE概述 36515.3.2 使用Red Hat Linux 的网络管理15.3.2 工具来配置CIPE VPN 36615.3.3 通过配置文件配置CIPE VPN 369 15.4 构建基于PPTP技术的15.4 Linux VPN 37315.4.1 PPTP以及Poptop简介 37315.4.2 PPP简介 37315.4.3 在Linux2.4内核下安装配置15.4.3 PPTP服务器 37415.4.4 在Linux2.6内核下安装配置15.4.4 PPTP服务器 37815.4.5 Linux下PPTP客户端连接15.4.5 VPN服务器 37915.5 构建基于SSH VNC技术的15.5 Linux VPN 38215.5.1 VNC技术概述 38215.5.2 使用NHC+SSH建立Linux和15.5.2 Windows的安全隧道 38315.5.3 使用SSHTools实现Linux下15.5.3 远程VPN办公 38515.5.4 VNC服务器维护技巧 39015.6 构建基于IPSec技术的15.6 Linux VPN 39215.6.1 IPSec及IKE简介 39215.6.2 在RHEL 4.0配置IPSec 39215.7 本章小结 395第16章使用IDS保护Linux服务器 396 16.1 什么是IDS 39616.1.1 IDS定义 39616.1.2 IDS的工作流程 39616.1.3 IDS部署的位置 39716.1.4 IDS的功能 39816.1.5 IDS(入侵检测系统)模型 398 16.1.6 IDS分类 39916.2 Linux下配置基于主机的IDS 399 16.2.1 RPM包管理器作为一种IDS 399 16.2.2 其他基于主机的IDS 40016.2.3 安装配置Tripwire 40116.3 Linux下配置基于网络的IDS 403 16.3.1 什么是基于网络的IDS 40316.3.2 Snort简介 40416.4 Snort的安装配置 40416.4.1 配置IDS的网络拓扑结构 405 16.4.2 安装Snort 40616.4.3 建立Snort数据库 40616.4.4 安装配置ACID 40716.4.5 配置Apache服务器用户认证 407 16.4.6 建立Snort规则 40816.4.7 启动Apache和MySQL16.4.8 服务进程 40816.4.8 为Snort创建专用的用户和组16.4.8 来启动Snort 40816.4.9 使用Web浏览器监控Snort 409 16.5 建立分布式Snort入侵检测系统 40916.5.1 安装SnortCenter3 40916.5.2 修改配置文件 41016.5.3 snortcenter-agent下载配置步骤 410 16.5.4 完成配置 41016.6 本章小结 411第17章Linux网络监控策略 41317.1 安装配置MRTG监控Linux17.1 网络 41317.1.1 SNMP简介和MRTG监控过程 413 17.1.2 Linux下MRTG的安装与配置 414 17.1.3 建立MRTG监控中心 41517.1.4 MRTG软件的不足和RRDTool的17.1.4 对比 41617.2 安装配置NTOP监控Linux网络 417 17.2.1 P2P对于网络流量提出挑战 417 17.2.2 NTOP的安装 41917.2.3 软件使用方法 42217.3 NTOP的安全策略 42717.3.1 经常查看NTOP的进程和日志 428 17.3.2 进行Web访问认证 42817.3.3 加密连接NTOP 42917.3.4 NTOP使用技巧和总结 43017.4 本章小结 431第18章Linux常用安全工具 43218.1 使用SAINT执行安全审核 43218.1.1 什么是SAINT 43218.1.2 工作模式 43318.1.3 安装SAINT 43318.1.4 SAINT设置 43418.1.5 启动SAINT 43518.2 使用端口扫描软件Nmap 43918.2.1 Nmap简介 43918.2.2 使用Nmap 43918.2.3 nmap命令实例 43918.2.4 Nmap图形前端 44218.2.5 Nmap使用注意事项 44218.3 使用网络数据采集分析工具18.3 Tcpdump 44218.3.1 Tcpdump简介 44218.3.2 Tcpdump的安装 44318.3.3 Tcpdump的命令行选项 44318.3.4 Tcpdump的过滤表达式 44418.3.5 Tcpdump过滤数据包实例 445 18.3.6 Tcpdump的输出结果 44518.4 使用Ethereal分析网络数据 44718.4.1 Ethereal简介 44718.4.2 安装Ethereal 44718.4.3 使用Ethereal 44718.5 使用EtherApe分析网络流量 451 18.5.1 EtherApe简介 45118.5.2 EtherApe软件下载安装 45218.5.3 EtherApe软件使用方法 45218.6 使用GnuPGP进行数据加密 45418.6.1 GnuPGP简介 45418.6.2 GnuPGP安装 45418.6.3 生成密钥 45418.6.4 查看密钥 45518.6.5 公钥的使用 45518.6.6 GnuPGP应用实例(软件包18.6.6 签名验证) 45618.6.7 GnuPGP应用实例(在Mutt中18.6.7 使用GnuPG) 45618.7 其他安全工具简介 45618.7.1 密码分析工具John the ripper 456 18.7.2 系统管理工具sudo 45718.7.3 开放源代码风险评估工具18.7.3 Nessus 45718.7.4 网络瑞士军刀Netcat 45718.7.5 网络探测工具Hping2 45718.7.6 列出打开的文件命令工具LSOF 457 18.7.7 强大的无线嗅探器Kismet 45718.7.8 802.11 WEP密码破解工具18.7.8 AirSnort 45718.7.9 安全管理员的辅助工具SARA 458 18.7.10 高级的traceroute 工具18.7.10 Firewalk 45818.7.11 主动操作系统指纹识别工具18.7.11 XProbe2 45818.8 本章小结 458第19章防范嗅探器攻击和Linux病毒 459 19.1 防范嗅探器攻击 45919.1.1 嗅探器攻击原理 45919.1.2 嗅探器的检测技术 46019.1.3 嗅探器的安全防范 46119.2 Linux病毒的防范 46319.2.1 Linux病毒的历史 46319.2.2 Linux平台下的病毒分类 46419.2.3 Linux病毒的防治 46519.2.4 Linux防病毒软件 46519.2.5 安装配置f-prot反病毒软件 466 19.3 本章小结 474第20章Linux数据备份恢复技术 475 20.1 Linux备份恢复基础 47520.1.1 什么是备份 47520.1.2 备份的重要性 47620.2 Linux备份恢复策略 47620.2.1 备份前需考虑的因素 47620.2.2 备份介质的选择 47620.2.3 Linux备份策略 47820.2.4 确定要备份的内容 47920.2.5 Linux常用备份恢复命令 48020.3 Linux常用备份恢复工具 48520.3.1 Xtar 48620.3.2 Kdat 48720.3.3 Taper 48720.3.4 Arkeia 48820.3.5 Ghost for Linux 48920.3.6 mkCDrec 49020.3.7 NeroLINUX 49120.3.8 K3b 49220.3.9 KOnCD 49320.3.10 CD Creator 49320.3.11 X-CD-Roast 49420.3.12 webCDcreator 49520.3.13 rsync 49620.3.14 mirrordir 49620.3.15 partimage 49620.3.16 dvdrecord 49720.3.17 DVD+RW-Tools 49820.4 Linux备份恢复实例 49920.4.1 用mirrordir做硬盘分区镜像 499 20.4.2 使用partimage备份恢复20.4.2 Linux分区 50020.4.3 Linux异构网络中共享光盘刻录 509 20.5 本章小结 522附录A使用Linux帮助信息 523附录B Linux用户和用户组管理命令 534 附录C Linux文件处理命令 547附录D Linux网络设备管理命令 569附录E Linux进程管理命令 584附录F Linux磁盘管理维护命令 594附录G Linux设备管理命令 606附录H Linux其他常用命令 616。

服务器安全策略

服务器安全策略

服务器安全策略第一点:服务器安全策略的重要性服务器作为企业或个人数据存储和业务运行的核心,其安全性至关重要。

一个完整的服务器安全策略不仅能保护数据免受外部攻击,还能防范内部威胁,确保业务的持续稳定运行。

1.1 防御外部攻击服务器经常面临各种外部攻击,如DDoS攻击、SQL注入、跨站脚本攻击等。

制定有效的安全策略可以提前预防和应对这些攻击。

例如,通过定期更新和修补系统漏洞,使用防火墙和入侵检测系统来监控和阻止恶意流量,以及部署病毒防护软件来防止恶意软件的感染。

1.2 防范内部威胁内部威胁同样不容忽视,可能来自不当行为的员工或有意图的攻击者。

为了防范内部威胁,服务器安全策略应包括对员工进行安全意识培训,严格控制权限分配,实施最小权限原则,定期审计访问日志,确保及时发现异常行为。

1.3 数据保护数据是服务器的灵魂,因此数据保护是安全策略的重要组成部分。

这包括定期备份数据,确保数据在遭受攻击时能够迅速恢复;对敏感数据进行加密,防止数据泄露或被未授权访问;以及实施数据访问控制,确保只有授权用户才能访问特定数据。

1.4 合规性和法规遵守根据企业所在地的法律法规,服务器安全策略还必须符合特定的安全标准和要求。

例如,某些行业可能要求对患者信息进行特殊保护,而其他行业则可能有关于金融交易数据的规定。

合规性的考虑是确保企业不会因违反法律法规而遭受法律诉讼或罚款。

第二点:实施服务器安全策略的最佳实践为了确保服务器安全策略的有效实施,需要遵循一系列最佳实践,这些实践涵盖了从硬件选择到日常运维的各个方面。

2.1 硬件和基础设施安全服务器的硬件选择直接关系到其安全性能。

使用高安全性能的硬件,例如具有硬件安全模块(HSM)的服务器,可以增强数据保护能力。

此外,物理安全也非常重要,应确保服务器托管环境符合安全标准,如实施严格的出入控制、视频监控和环境安全措施。

2.2 系统配置和加固服务器的安全性在很大程度上取决于其操作系统和应用程序的配置。

linux服务器的安全配置策略

linux服务器的安全配置策略
Linux服务器的安全配置策略是非常重要的,因为服务器是许多网络服务和工作负载的集中点,因此需要采取一系列措施来保护它。

以下是
一些基本的Linux服务器安全配置策略:
1. 更新和补丁管理:确保服务器及其软件包(如操作系统、Web服务器、数据库等)都是最新版本,并安装所有安全补丁。

2. 防火墙设置:设置防火墙规则以限制对服务器的访问。

这包括只允
许必要的网络接口和端口,并关闭不必要的服务。

3. 用户和组管理:限制对服务器的访问权限,只允许必要的用户和组
访问。

使用强密码策略,并定期更改密码。

4. 文件权限:确保文件和目录的权限设置正确,以防止未经授权的访问。

5. 远程访问控制:限制远程访问服务器的数量和类型,并使用安全的
远程访问协议(如SSH)。

6. 日志管理:记录所有活动和错误日志,以便于故障排除和安全审计。

7. 限制根访问:禁用root用户默认登录,并限制只有必要的情况下
才使用root权限。

8. 加密和备份:使用加密存储和备份策略来保护敏感数据。

定期备份
数据,并确保备份的安全存储。

9. 防病毒软件:安装并定期更新防病毒软件,以防止恶意软件攻击服
务器。

10. 安全审计和监控:实施安全审计和监控策略,以确保服务器始终
处于安全状态。

可以使用安全监控工具(如防火墙日志分析器)来监
视和分析服务器活动。

此外,还需要考虑定期进行安全审计和风险评估,以确保服务器始终
处于最佳安全状态。

总之,确保您的Linux服务器遵循上述最佳实践,以提高安全性并降低风险。

服务器安全策略范文

服务器安全策略范文一、物理安全1.服务器放置:将服务器放置在安全的物理环境下,禁止将服务器放置在易受损或易受盗的地方。

建议将服务器放置在专用服务器机房或安全的数据中心。

2.设备安全:服务器所在机房应配备安全系统,包括门禁系统、监控摄像头、报警系统等,确保设备安全。

3.进出记录:对于进入机房的人员需要进行身份验证,并记录他们的姓名、进出时间等信息,以便追踪和控制服务器访问权限。

二、操作系统安全1. 操作系统选择:选择安全性能好、开放源代码的操作系统,如Linux。

及时更新操作系统的安全补丁和更新程序。

2.安全设置:将服务器操作系统进行安全加固,并设置合理的账户、密码策略,避免使用弱密码或者固定默认密码。

3.权限管理:使用管理员账户管理服务器,授予最小权限原则,每个用户只能访问其需要的资源,且通过访问控制列表(ACL)限制远程访问。

4. 登录安全:限制允许登录的IP地址范围,禁止使用root账户登录远程服务器,使用SSH密钥登录代替传统的用户名和密码登录。

5.文件系统安全:使用强大的加密算法对服务器文件系统进行加密,禁止未授权的访问和修改。

6.监控日志:启用日志功能并设置日志自动轮换功能,记录服务器的操作和事件,及时发现异常行为和安全事件。

三、网络安全1.防火墙:在服务器和外部网络之间设置防火墙,限制非必要的流量,过滤恶意流量和攻击。

2.网络设备安全:对网络设备进行安全加固,限制非必要的端口和服务,禁止不必要的远程管理。

3.网络隔离:将内外网进行物理隔离,禁止外网访问服务器的敏感端口。

4.加密传输:使用安全协议和加密技术,如SSL/TLS等,对服务器和用户之间的通信进行加密保护,防止信息被窃取和篡改。

5.DDOS防护:配置DDOS防护设备或服务,保护服务器免受分布式拒绝服务攻击。

6.系统监控:定期检查服务器的网络连接、传输速率、流量分布等情况,以便及时发现和阻止异常行为。

四、应用安全1.应用升级:定期对服务器上的应用程序进行安全漏洞检测和升级,确保应用程序的最新补丁已经安装。

linux系统安全配置基线

linux系统安全配置基线Linux系统的安全配置基线是指为了保护系统免受各种威胁和攻击,所采取的一系列配置措施和安全策略。

一个良好的安全配置基线可以有效减少系统被攻击的风险,并保护系统的机密性、完整性和可用性。

以下是一些常见的Linux系统安全配置基线措施:1.更新和升级软件:定期更新和升级操作系统和软件包,以获取最新的安全补丁和修复漏洞。

2.禁用不必要的服务和端口:关闭不需要的网络服务和端口,只保留必要的服务,以减少系统暴露在外部的风险。

3.配置强密码策略:设置密码复杂性和长度要求,包括大写字母、小写字母、数字和特殊字符的组合,并定期要求密码更换。

4.设置账户锁定策略:在一定的登录尝试失败次数后,锁定用户账户,以防止恶意破解密码。

5.使用防火墙:配置和启用系统防火墙,限制进入和离开系统的网络连接,只允许必要的通信。

6.禁用root远程登录:禁止root账户通过SSH远程登录系统,使用普通用户登录后再通过su或sudo提升权限。

7.文件和目录权限设置:将敏感文件和目录设置为只有root用户或授权用户可读写,限制其他用户的访问权限。

8.定期备份数据:定期备份系统数据和配置,以防止数据丢失或系统故障时能够恢复系统。

9.启用日志记录:启用系统的日志记录功能,并定期检查和分析日志文件,及时发现异常行为和攻击行为。

10.安装和配置入侵检测系统(IDS):通过安装和配置IDS,可以实时监控系统的网络流量和行为,并发现潜在的入侵行为。

11.限制物理访问:对于物理服务器,限制只有授权人员可以访问服务器,并监控系统进出的人员和设备。

12.安全审计和漏洞扫描:定期进行安全审计和漏洞扫描,发现系统中的安全隐患和漏洞,并及时修复。

13.加密通信:通过使用SSL / TLS等加密协议,保障网络通信的机密性和完整性。

14.安装安全软件和工具:安装合适的安全软件和工具,如防病毒软件、入侵检测系统、防火墙等,增强系统的安全性。

linux系统安全配置基线

linux系统安全配置基线Linux系统安全配置基线一、概述Linux系统是广泛应用于服务器和个人计算机的操作系统,为了保障系统的安全性,需要进行安全配置。

本文将介绍Linux系统安全配置的基线要求,包括密码策略、用户权限管理、网络安全、日志审计等方面。

二、密码策略1. 密码长度:设置密码最小长度为8个字符,建议包括大小写字母、数字和特殊字符,并定期更换密码。

2. 密码复杂度:要求密码包含大小写字母、数字和特殊字符,不允许使用常见的弱密码。

3. 密码锁定:设置密码锁定策略,限制密码输入错误次数,并设置锁定时间,以防止暴力破解。

三、用户权限管理1. 最小权限原则:给予用户最小权限,避免赋予过高的权限,以减少潜在的安全风险。

2. 禁用不必要的账户:禁用或删除不再使用的账户,避免被攻击者利用。

3. 定期审核权限:定期审查用户的权限,及时撤销不必要的权限。

四、网络安全1. 防火墙配置:配置防火墙规则,只开放必要的端口,限制对系统的非法访问。

2. 网络服务安全:关闭不必要的网络服务,只保留必要的服务,并对其进行定期更新和安全加固。

3. 网络连接监控:监控网络连接情况,及时发现异常连接,并采取相应的安全措施。

4. 网络流量分析:对网络流量进行分析,发现异常流量和攻击行为,采取相应的防御措施。

五、日志审计1. 启用日志功能:启用系统日志功能,记录关键事件和操作,以便后期审计和溯源。

2. 日志存储和保护:将日志存储在安全的地方,并设置合适的权限,防止被篡改或删除。

3. 日志监控和告警:监控日志内容,及时发现异常事件,并设置告警机制,及时采取应对措施。

六、软件更新和补丁管理1. 及时更新软件:定期更新操作系统和应用软件,及时修补已知漏洞,以提高系统的安全性。

2. 自动更新设置:配置自动更新策略,保证系统能够及时获取最新的安全补丁。

七、文件和目录权限控制1. 文件权限设置:合理设置文件和目录的权限,避免敏感文件被非授权用户访问。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

TCP(控制传输协议) UDP(用户数据报协议)
负责实现一切与应用程序相关的功能,对应 OSI 参考 模型的上三层
FTP(文件传输协议) HTTP(超文本传输协议) DNS(域名服务器协议) SMTP(简单邮件传输协议) NFS(网络文件系统协议)
说明
TCP/IP 与 OSI 最大的不同在于 OSI 是一个理论上的网络通信模型,而 TCPSI 七层模型
表 1-1 是 TCP/IP 四层模型和 OSI 七层模型对应表。我们把 OSI 七层网络模型和 Linux TCP/IP 四 层概念模型对应,然后将各种网络协议归类。
表 1-1 TCP/IP 四层模型和 OSI 七层模型对应表
OSI 七层网络模型 应用层(Application) 表示层(Presentation) 会话层(Session) 传输层(Transport) 网络层(Network) 数据链路层(Data Link) 物理层(Physical) 传输层 网际层 网络接口 应用层 Linux TCP/IP 四层概念模型 对应网络协议 TFTP, FTP, NFS, WAIS Telnet, Rlogin, SNMP, Gopher SMTP, DNS TCP, UDP IP, ICMP, ARP, RARP, AKP, UUCP FDDI, Ethernet, Arpanet, PDN, SLIP, PPP IEEE 802.1A, IEEE 802.2 到 IEEE 802.11
第1章
Linux 网络基础与 Linux 服务器的安全威胁
它能读取通过网络发送的每一个包,即能读取发生在网络层协议的任何活动, 因此网络嗅探器 Sniffers 会对安全造成威胁。重要的网络层协议包括 ARP(地址解析协议)、ICMP(Internet 控制消息协议)和 IP 协议(网际协议)等。 3.传输层 传输层对应 Linux TCP/IP 概念模型的传输层。传输层提供应用程序间的通信。其功能包括:格式 化信息流;提供可靠传输。为实现后者,传输层协议规定接收端必须发回确认信息,如果分组丢失, 必须重新发送。 传输层包括 TCP (Transmission Control Protocol, 传输控制协议) UDP 和 (User Datagram Protocol,用户数据报协议),它们是传输层中最主要的协议。TCP 建立在 IP 之上,定义了网络上程 序到程序的数据传输格式和规则,提供了 IP 数据包的传输确认、丢失数据包的重新请求、将收到的数 据包按照它们的发送次序重新装配的机制。TCP 协议是面向连接的协议,类似于打电话,在开始传输 数据之前,必须先建立明确的连接。UDP 也建立在 IP 之上,但它是一种无连接协议,两台计算机之 间的传输类似于传递邮件:消息从一台计算机发送到另一台计算机,两者之间没有明确的连接。UDP 不保证数据的传输,也不提供重新排列次序或重新请求的功能,所以说它是不可靠的。虽然 UDP 的不 可靠性限制了它的应用场合,但它比 TCP 具有更好的传输效率。 4.应用层 应用层、表示层和会话层对应 Linux TCP/IP 概念模型中的应用层。应用层位于协议栈的顶端,它 的主要任务是应用。一般是可见的,如利用 FTP(文件传输协议)传输一个文件,请求一个和目标计 算机的连接,在传输文件的过程中,用户和远程计算机交换的一部分是能看到的。常见的应用层协议 有:HTTP,FTP,Telnet,SMTP 和 Gopher 等。应用层是 Linux 网络设定最关键的一层。Linux 服务 器的配置文档主要针对应用层中的协议。TCP/IP 模型各个层次的功能和协议如表 1-2 所示。
3
服务器安全策略详解
网络应用程序
用户 内核
BSD Sockets
Sockets 界面
INET Sockets
TCP
UDP
协议层
IP
PPP 网络设备
SLIP
Ethernet
ARP
图 1-1
Linux 网络中的层
掌握 OSI 网络模型、 TCP/IP 模型及相关服务对应的层次对于理解 Linux 网络服务器是非常重要的。
1.网络接口 网络接口把数据链路层和物理层放在一起, 对应 TCP/IP 概念模型的网络接口。 对应的网络协议主 要是:Ethernet、FDDI 和能传输 IP 数据包的任何协议。 2.网际层 网络层对应 Linux TCP/IP 概念模型的网际层,网络层协议管理离散的计算机间的数据传输,如 IP 协议为用户和远程计算机提供了信息包的传输方法, 确保信息包能正确地到达目的机器。 这一过程中, IP 和其他网络层的协议共同用于数据传输,如果没有使用一些监视系统进程的工具,用户是看不到在 系统里的 IP 的。网络嗅探器 Sniffers 是能看到这些过程的一个装置(它可以是软件,也可以是硬件), 4
实际运行的网络协议。
5
服务器安全策略详解
1.1.3
TCP/IP 提供的主要用户应用程序
1.Telnet 程序 Telnet 程序提供远程登录功能。 2.文件传输协议 文件传输协议(FTP)允许用户将一个系统上的文件复制到另一个系统上。 3.简单邮件传输协议 简单邮件传输协议(SMTP)用于传输电子邮件。 4.Kerberos 协议 Kerberos 是一个受到广泛支持的安全性协议。 5.域名服务器协议 域名服务器协议(DNS)能使一台设备具有的普通名字转换成某个特定的网络地址。 6.简单网络管理协议 简单网络管理协议(SNMP)把用户数据报协议(UDP)作为传输机制,它使用和 TCP/IP 不同的 术语,TCP/IP 用客户端和服务器,而 SNMP 用管理器(Manager)和代理(Agent),代理提供设备信 息,而管理器管理网络通信。 7.网络文件系统协议 网络文件系统协议(NFS)是由 SUN Microsystems 公司开发的一套协议,可使多台计算机能透明 地访问彼此的目录。 8.远程过程调用 远程过程调用(RPC)是使应用软件能与另一台计算机(服务器)通信的一些函数。 9.普通文件传输协议 普通文件传输协议(TFTP)是一种缺乏任何安全性的、非常简单落后的文件传输协议。 10.传输控制协议 传输控制协议(TCP/IP 中的 TCP 部分)是一种数据可靠传输的通信协议。 11.网际协议 网际协议(IP)负责在网络上传输由 TCP/UDP 装配的数据包。 12.网际控制消息协议 网际控制消息协议负责根据网络上设备的状态发出和检查消息,它可以将某台设备的故障通知到 其他设备。
1.1.4 端口号分配
TCP 和 UDP 采用 16bit 的端口号来识别应用程序。那么这些端口号是如何选择的呢? 6
第1章
Linux 网络基础与 Linux 服务器的安全威胁
服务器一般都是通过知名端口号来识别的。 例如, 对于 TCP/IP 实现来说, 每个 FTP 服务器的 TCP 端口号都是 21,每个 Telnet 服务器的 TCP 端口号都是 23,每个 TFTP(普通文件传输协议)服务器的 UDP 端口号都是 69。任何 TCP/IP 实现所提供的服务都用知名的 1~1 023 之间的端口号。这些知名端 口号由 Internet 号分配机构(Internet Assigned Numbers Authority, IANA)来管理。到 1992 年为止,知 名端口号介于 1~255 之间。256~1 023 之间的端口号通常都是由 UNIX 系统占用,以提供一些特定的 UNIX 服务,也就是说,提供一些只有 UNIX 系统才有的,而其他操作系统可能不提供的服务。现在 IANA 管理 1~1 023 之间所有的端口号。 Internet 扩展服务与 UNIX 特定服务之间的一个差别就是 telnet 和 rlogin,它们二者都允许通过计 算机网络登录到其他主机上。 telnet 是采用端口号为 23 的 TCP/IP 标准, 且几乎可以在所有操作系统上 进行实现。相反,rlogin 最开始时只是为 UNIX 系统设计的(尽管许多非 UNIX 系统现在也提供该服 务),因此在 20 世纪 80 年代初,它的端口号为 513,客户端通常对它所使用的端口号并不关心,只 须保证该端口号在本机上是唯一的即可。客户端口号又称做临时端口号(即存在时间很短暂),这是 因为它通常只是在用户运行该客户程序时才存在,而服务器则只要主机开着,其服务就运行。 大多数 TCP/IP 实现给临时端口分配 1 024~5 000 之间的端口号。大于 5 000 的端口号是为其他服 务器预留的(Internet 上并不常用的服务)。我们可以在后面看见许多给临时端口分配端口号的例子。 大多数 Linux 系统的文件/etc/services 都包含了人们熟知的端口号。为了找到 telnet 服务,可以运行以 下语句:“grep telnet /etc/services”。表 1-3 是一些常用 TCP 服务和端口。
第1章
Linux 网络基础与 Linux 服务器的安全威胁
第 1 章 Linux 网络基础与 Linux 服务器的安全威胁
本章要点
◆ ◆ ◆ ◆ Linux 网络基础 Linux 的 TCP/IP 网络配置 分级解析对 Linux 服务器的攻击 开源软件网络安全概述
1.1 Linux 网络基础
1.1.1 Linux 网络结构的特点
Linux 在服务器领域已经非常成熟,其影响力日趋增大。Linux 的网络服务功能非常强大,但是由 于 Linux 的桌面应用和 Windows 相比还有一定差距,除了一些 Linux 专门实验室之外,大多数企业在 应用 Linux 系统时,往往是 Linux 和 Windows(或 UNIX)等操作系统共存形成的异构网络。 在一个网络系统中,操作系统的地位是非常重要的。Linux 网络操作系统以高效性和灵活性而著 称。 它能够在 PC 上实现全部的 UNIX 特性, 具有多任务、 多用户的特点。 Linux 的组网能力非常强大, 它的 TCP/IP 代码是最高级的。Linux 不仅提供了对当前的 TCP/IP 协议的完全支持,也包括了对下一 代 Internet 协议 IPv6 的支持。Linux 内核还包括了 IP 防火墙代码、IP 防伪、IP 服务质量控制及许多安 全特性。Linux 的网络实现是模仿 FreeBSD 的,它支持 FreeBSD 的带有扩展的 Sockets(套接字)和 TCP/IP 协议。它支持两个主机间的网络连接和 Sockets 通信模型,实现了两种类型的 Sockets:BSD Sockets 和 INET Sockets。它为不同的通信模型提供了两种传输协议,即不可靠的、基于消息的 UDP 传输协议和可靠的、基于流的 TCP 传输协议,并且都是在 IP 网际协议上实现的。INET Sockets 是在 以上两个协议及 IP 网际协议之上实现的,它们之间的关系如图 1-1 所示。