Linux系统网络安全性问题分析及解决方案.docVIP

Linux系统网络安全性问题分析及解决方案 　　[摘要]针对Linux系统由于开放其源代码而导致其系统安全性漏洞增多的现实，在分析Linux系统的不安全因素及漏洞的基础上，重点分析提高Linux系统网络安全应用的措施，同时结合电子商务的实际应用给出网络安全解决方案，对于Linux网络应用安全防范有参考借鉴的意义。 　　[关键词]Linux系统 网络安全 解决方案 　　中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2008）0510028－01 　　 　　一、引言 　　 　　Linux 是国际互联网发展的产物。由于Linux 操作系统是免费的，因此Linux 在我国的应用领域得到很快的发展。由于投资成本的原因，许多中小企业渐渐开始使用Linux 于中小型服务器。国际互联网的发展促进了网络资源共享，与此同时也带来了许多网络安全问题。网络安全成了网络用户关心的一个热点问题。本文讨论Linux 的网络安全问题。 　　 　　二、Linux系统不安全性分析 　　 　　（1）Linux可以利用启动盘来启动计算机，或利用LILO进入单用户模式，无须使用root口令而获得root用户具有的权限。这是一个很大的安全问题，因为它使root口令失去了意义。 　　（2）Linux的口令问题。Linux存放的是用户口令明文的One Way Hash运算的结果，加上用户选择易记口令等因素，容易采用词典攻击，同时用户远程登录时传送的是口令明文，易于窃听。 　　（3）SETUID问题。SETUID是为解决某些普通用户在执行程序时须暂时获得root特权的程序执行问题，这也是一个很大的安全隐患。 　　（4）缓冲区溢出问题。当输入数据超出所分配存储空间而系统又没有对此作直接处理时将产生缓冲区溢出问题。 　　 　　三、加强Linux系统网络安全的对策分析 　　 　　（一）从系统管理入手 　　（1）口令管理。对于网络系统而言，口令是比较容易出问题的地方，作为Linux统管理员应告诉用户在设置口令时要使用安全口令并适当增加口令的长度。系统管理员要保护好/etc/shadow文件的安全，不让无关的人员获得这个文件。由于破解口令是一项很耗时间和资源的工作，所以应该使得口令文件难于破解，这样即使黑客获取了口令文件也不能轻易破解。 　　（2）用户帐户管理。在服务器上拥有一个普通账号都可以从服务器上获得大量的有用信息，这些信息都是分析系统漏洞的重要资料，账号的口令不应该和用户名相近，不应该太短或者太容易被猜测，尤其在使用TELNET时用的是明文，可以使用ssh来加密。尽量不要在服务器上开设过多的账号，经常对服务器上的账号进行整理更新，坚决剔除一切不必要的账号。 　　（二）采用防火墙技术 　　所谓防火墙是指一个能把内部计算机网络与因特网隔开的屏障，它由计算机硬件和特殊的软件有机结合而成，使内部计算机网络与因特网之间建立起一个安全网关，从而保护内部计算机网络免受外部非法用户的入侵。防火墙是阻止非授权用户进入、离开、穿过网络或主机系统一种部件或一系列部件，可以采用系统附带的工具和专用的防火墙来实现主机系统或网络安全，通过适当配置可有效地限制、保护系统以及控制局域网范围内的访问。防火墙系统一般提供如下功能:访问控制、审计、抗攻击、其他附属功能。 　　 　　三、采用加密技术 　　 　　加密技术主要是指数据传输加密和数据存储加密数。据传输加密技术是对传输中的数据流加密，常用的方法有“数据线路加密”和“端-端加密”两种。前者主要考虑数据在传输线路上的安全，而不考虑数据的信源节点与信宿节点；后者则指信息在发送端自动加密，并进入TCP/IP数据包，然后作为不可阅读和不可识别的数据穿过因特网，当这些信息一旦到达目的地，将被自动重组、解密，重新变成为可读数据。数据存储加密技术是防止信息在存储过程中的数据泄密，分为密文存储和存取控制两种。 　　 　　四、基于Linux系统的电子商务安全解决方案 　　 　　（一）电子商务安全性的漏洞分析 　　电子商务平台在Linux系统平台下进行电子网络交易，除了上述的Linux本身的不安全因素之外，还有一些其他影响因素，增加了电子商务的安全隐患: 　　（1）电子交易的联网性，容易遭受黑客的攻击，致使客户的帐号、密码等重要个人信息丢失； 　　（2）电子商务的频繁性，容易导致系统的数据缓存区溢出，从而增加信息泄漏的可能性； 　　（3）电子商务平台的JAVA脚本技术容易被攻击，造成认证欺骗，这也是客户损失的一大重要原因。 　　（二）Linux网络应用安全性解决方案分析 　　除了上述的基本的基于Linux系统的网络安全防范措施外，还可以从以下几个方面考虑，加强网络电子商务的安全性: