鸟哥的linux私房菜 鸟哥的 Linux 私房菜----认识网络安全推荐.docVIP

鸟哥的linux私房菜 鸟哥的 Linux 私房菜----认识网络安全 鸟哥的 Linux 私房菜 为取得较佳浏览结果，请爱用 firefox 浏览本网页 | 繁体主站 | 简体主站 | 基础篇 | 服务器 | 企业应用 | 桌面应用 | 安全管理 | 讨论板 | 酷学园 | 书籍戡误 | 鸟哥我 | 昆山资传 | 认识网络安全 切换分辨率为 800x600 最近更新日期：2006/09/06 本文已不再维护，更新文章请参考这里 在介绍了『网络基础』、『限制联机 port number 』、『网络升级套件』之后，再来准备要上 Internet 了吗？！如果只是想要上 Internet 去浏览，那么自然没有问题，如果是想要对 Internet 开放网络服务，那么最好还是先认识一下网络安全会比较好一些。什么？套件也更新了， port 也关闭了，还需要认识什么网络安全啊？！呵呵！当然啦！因为难保我们的主机不会被新的套件漏洞以及阻断式攻击 (DoS)所困扰啊！在这个章节里面，我们会稍微介绍一些基础的网络防护观念，尤其是系统管理员应该要做的事情吶！ 1. 网络封包联机进入主机的流程 1.1 封包进入主机的流程 1.2 主机能作的保护：权限设定、套件更新、SELinux 2. 主机的细部权限规划：ACL 的使用 2.1 什么是 ACL ？ 2.2 如何启动 ACL？ 2.3 ACL 的设定技巧： getfacl , setfacl 3. 一些常见的攻击手法与主机的保护方式 4. 被入侵后的修复工作 4.1 网管人员的额外技巧与任务 4.2 入侵恢复工作 5. 重点回顾 6. 课后练习 7. 参考数据 8. 针对本文的建议：/viewtopic.php?p=114062 网络封包联机进入主机的流程 在这一章当中，我们要讨论的是，当来自一个网络上的联机要求想进入我们的主机时， 这个网络封包在进入主机实际取得数据的整个流程是如何？了解了整个流程之后， 你才会发现：原来系统操作的基本概念是如此的重要！ 而你也才会了解要如何保护你的主机安全吶！闲话少说，咱们赶紧来瞧一瞧先。 封包进入主机的流程 在网络基础章节当中我们谈到过目前的网络架构主要是 TCP/IP 为主， 而绝大部分的网络联机是双向的，其中又以 TCP 封包为代表。 另外，根据 Server/Client 的联机方向与 TCP/IP 的概念，我们会知道建立一条可靠的网络联机需要一组 Socket Pair 的辅助， 亦即成对的来源与目标之 IP 与 port 啰，以使联机的两端可以顺利的连接到相对的应用软件上。 上面谈到的这些都是属于网络的基础概念，在这里我们要谈的是，那么要让这个 TCP 封包顺利的进入到 Linux 主机上， 然后使用 port 所对应的软件来存取系统的文件系统资源时，还得要经过哪些关卡呢？ 举例来说，如果你的 Linux 主机有开启 WWW 的 port 80 网络服务，而 port 80 是由一个名称为 httpd 的程序所启动的，这个程序的配置文件为 httpd.conf ，那么 Client 的联机要进入到你 Linux 主机的 WWW 时， 会经过什么阶段呢？基本上，会经过如下图的几个阶段： 图一、网络封包进入本机的流程顺序 封包过滤防火墙：IP Filtering 或 Net Filter 要进入 Linux 本机的封包都会先通过 Linux 核心的预设防火墙，就是称为 IP Filter 或 Net Filter 的咚咚， 简单的说，就是 iptables 这个软件所提供的防火墙功能。iptables 这个 Linux 默认的防火墙软件可以针对网络封包的 IP, port, MAC, 以及联机状态如 SYN, ACK 等数据进行分析， 以过滤不受欢迎的网络封包呢！举例来说，如果有个 IP 为 aaa.bbb.ccc.ddd 是个恶意网站来源， 那你就可以透过 iptables 抵挡来自该 IP 的网络封包的联机，以达到基本的主机防火墙功能。 这部份我们会在下一章深入了解。 第二层防火墙：TCP Wrappers 通过 IP Filter 之后，网络封包会开始接受 Super daemons 及 TCP_Wrappers 的检验，那个是什么呢？ 呵呵！说穿了就是 /etc/hosts.allow 与 /etc/hosts.deny 的配置文件功能啰。 这个功能也是针对 TCP 的 Header 进行再次的分析，同样你可以设定一些机制来抵制某些 IP 或 Port ，好让来源端的封包被丢弃或通过检验； 服务 (daemon) 的功能： 前面这两个动作基本上是 Linux 默认的功能，而这第三个步骤就是属于软件功能了。 举例来说，你可以在 httpd