扫一扫
关注微信公众号

针对Linux系统的安全漏洞与防范措施(1)
2006-08-28   enet

LINUX是一种当今世界上广为流行的免费操作系统,它与UNIX完全兼容,但以其开放性的平台,吸引着无数高等院校的学生和科研机构的人员纷纷把它作为学习和研究的对象。这些编程高手在不断完善LINUX版本中网络安全功能。下面介绍Linux的Internet安全漏洞与防范措施,希望对大家有一定的帮助。 在LINUX的Internet安全中,主要包括的就是FTP安全、电子邮件安全、Telnet安全、Web服务器安全和安全Web协议。

Web服务器安全

保护Web主机安全首先就要去掉不必要的服务。去掉不必要的服务之前首先要明确的是:你要建立的是什么类型的主机。主机有三种类型:

Intranet Web主机--无Internet连接的主机,通常与一个局域网连接。

私人或外部Web主机--与Internet相连但只对非常有限的客户提供服务的主机。

公共或牺牲Web主机--知道或不知道的用户可以通过Internet,全天候公共访问的普通Web主机。

每种不同的主机类型就决定了要提供不同的服务,不需要的服务一律屏蔽掉。这是因为将运行的服务很可能会打开安全漏洞。对于要运行的服务,就要实施访问控制,可以使用TCPWrapper工具包,这个工具提供对远程服务基于模式匹配的访问控制,可以利用它禁止或允许对某些用户的服务。减少服务后,就应在Web服务器上建立访问控制和认证。Apache是在LINUX中最流行的Web服务器。为网络访问控制建立规则,就要用到以下命令:

#Controls who can get stuff from this server. 
Order allow,deny 
Allow from all

这些命令提供了三条控制通道,allow命令控制哪台主机可以连接,deny控制哪台主机不可以连接,order命令则控制allow/deny命令执行的顺序。通过这些命令可以明确允许授权主机和阻止未授权主机。

Apache的安全设置有很多选项,这些设置已足够严格,但是选项的不同配置方法都会引起安全问题。例如,ExecCGI选项,是选择是否允许CGI程序运行,CGI程序很不安全,所以,能不用执行CGI程序,就尽量不执行。还有别的选项会有不同的问题,安装时要注意。目前Apache除了提供基本类型认证,还支持使用MD5的基于摘要的加密认证。

安全Web协议

上文所提到的安全Shell是用来防止爱打听的用户(本地或远程)用嗅探器捕获系统口令,可以极大地增强内部网络安全。但是如果把LINUX系统作为一个电子商务服务器,就必须向客户提供从服务器外部的Web浏览器向服务器建立安全连接。

一般基于Web的通信有几个弱点:

HTTP没有提供加密机制,因此第三方可以在客户和服务器之间窃听通讯。

HTTP是一个无状态协议不保存有关用户的信息,因此不能证实用户的身份。

HTTP没有提供方法来认证正在进行的会话。因此不能判断是否有第三方窃听了会话。

为了解决这些缺陷,Netscape Communications开发了安全套接层协议SSL。 安全套接层是采用RSA和DES认证与加密以及MD5完整性检查而包装起来的方法。使用这些方法,SSL解决了基于Web通讯的三个问题:

在连接期间,客户和服务器定义和交换秘密密钥,该密钥用于加密传输的数据。因此,即使SSL的通讯可被窃听,由于经过加密于是难以破解。

SSL支持公开密钥加密,因此服务器可以使用公共方案如RSA和数字签名标准(DSS)来认证用户。

服务器可以使用消息摘要算法,如MD5和SHA来检验正在进行会话的完整性,因此SSL可以防止第三方劫持会话。

SSL通过两层和两个步骤保护数据。开始,客户和服务器进行握手(与TCP握手相同)。在这一过程中,它们交换密钥并在它们之间建立并同步一个加密状态。接下来,SSL获得应用数据(在记录层)并加密数据。然后,在接收端这一过程以相反的方式执行。这些性能使得SSL成为在所控制的服务器和未知用户之间进行安全电子商务交易的出色工具电子邮件安全

热词搜索:

上一篇:Windows十四种系统故障解决方法
下一篇:针对Linux系统的安全漏洞与防范措施(2)

分享到: 收藏