Linux下ADSL连接网络需要注意安全问题(2)

ZDNet软件频道 时间:2009-11-05 作者: | 论坛整理 我要评论()
本文关键词:安全防范 系统安全 Linux
Linux ADSL接入用户多是从Windows“移民”过来,对Linux环境和操作即新奇又陌生,Linux有强大的网络功能,但是如果不掌握安全知识就如同三岁儿童手持黄金步行于闹市,不但不能发挥网络功能,而且会有安全危险。下面介绍一些适合Linux ADSL接入用户的安全策略。
 7.防范网络嗅探

  嗅探器技术被广泛应用于网络维护和管理方面,它工作的时候就像一部被动声纳,默默的接收看来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况,以便找出网络中的漏洞。在网络安全日益被注意的今天.我们不但要正确使用嗅探器.还要合理防范嗅探器的危害.嗅探器能够造成很大的安全危害,主要是因为它们不容易被发现。对于一个安全性能要求很严格的企业,同时使用安全的拓扑结构、会话加密、使用静态的ARP地址是有必要的。

  8.完整的日志管理

  日志文件时刻为你记录着你的系统的运行情况。当黑客光临时,也不能逃脱日志的法眼。所以黑客往往在攻击时修改日志文件,来隐藏踪迹。因此我们要限制对/var/log文件的访问,禁止一般权限的用户去查看日志文件。

  另外,我们还可以安装一个icmp/tcp日志管理程序,如iplogger,来观察那些可疑的多次的连接尝试(加icmp flood3或一些类似的情况)。还要小心一些来自不明主机的登录。 完整的日志管理要包括网络数据的正确性、有效性、合法性。对日志文件的分析还可以预防入侵。例如、某一个用户几小时内的20次的注册失败记录,很可能是入侵者正在尝试该用户的口令。

  日志配置文件的典型格式是:警告类型.危险程度 日志文件名。如果在/etc/syslog.conf文件中包含有auth.* /var/log/secure和authpriv.* /var/log/secure。一记录到文件/var/log/secure文件中。这些文件可以日后查。如果希望一发生这样的敏感事件系统就能够及时通知你,可以将日志的输出文件改为控制台,即:

  auth.* /dev/console

  这样,只要有人试图登录系统或者切换用户,你立刻都可以在控制台上得到警告。完成日志文件配置后,需要执行下面命令来使配置生效:

  kill -HUP $(cat /var/run/syslogd.pid)

  另外对于桌面用户系统的日志查看工具非常直观。工作界面见下图。

  系统日志工作界面(点击看大图)

  9.终止正进行的攻击

  假如你在检查日志文件时,发现了一个用户从你未知的主机登录,而且你确定此用户在这台主机上没有账号,此时你可能正被攻击。首先你要马上锁住此账号(在口令文件或shadow文件中,此用户的口令前加一个Ib或其他的字符)。若攻击者已经连接到系统,你应马上断开主机与网络的物理连接。如有可能,你还要进一步查看此用户的历史记录,查看其他用户是否也被假冒,攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件hosts.deny中。

  10.使用安全工具软件:

  Linux已经有一些工具可以保障服务器的安全。如bastille Linux。对于不熟悉 Linux 安全设定的使用者来说,是一套相当方便的软件,bastille Linux 目的是希望在已经存在的 Linux 系统上,建构出一个安全性的环境。

   11. 使用保留IP地址

  维护网络安全性最简单的方法是保证网络中的主机不同外界接触。最基本的方法是与公共网络隔离。然而,这种通过隔离达到的安全性策略在许多情况下是不能接受的。这时,使用保留IP地址是一种简单可行的方法,它可以让用户访问Internet同时保证一定的安全性。

  RFC 1918规定了能够用于本地 TCP/IP网络使用的IP地址范围,这些IP地址不会在Internet上路由,因此不必注册这些地址。通过在该范围分配IP地址,可以有效地将网络流量限制在本地网络内。这是一种拒绝外部计算机访问而允许内部计算机互联的快速有效的方法。 


百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134