mydear的博客 中小企业选择Linux利用系统网.docVIP

mydear的博客 中小企业选择Linux利用系统网 mydear的博客：中小企业选择Linux利用系统网络安全 2010-11-23|Tag：21世纪是网络时代，在当今的科技洪流中，中小企业怎样才华保护好自己的系统安全呢?于是很多企业安装了Linux利用系统。在Linux利用系统中怎样才华构建安全的网络呢?这里为你讲解Linux利用系统网络安全。 如今许多中小用户因业务发展，不断更新或升级网络，从而造成自身用户环境差别较大，整个网络系统平台乱七八糟，服务器端大多接纳Linux系统的，而PC端使用Windows系统。所以在企业应用中往往是Linux/Unix和Windows利用系统共存形成异构网络。 中小企业由于缺少经验丰富的Linux网络治理员和安全产物采购资金，所以对于网络安全经常缺乏缺乏全面的考虑。笔者将从服务器安全、网络设备的安全、接入互联网的安全和内部网络的安全四个方面来解决企业的烦恼。 ◆一、服务器安全： 1.封闭无用的端口 任何网络连接都是通过开放的应用端口来实现的。假如我们尽可能少地开放端口，就使网络攻击变成无源之水，从而大大减少了攻击者乐成的机会。 首先检查你的inetd.conf文件。inetd在某些端口上守侯，预备为你提供必要的服务。假如某人开发出一个特殊的inetd守护步伐，这里就存在一个安全隐患。你应当在inetd.conf文件中注释掉那些永不会用到的服务(如：echo、gopher、rsh、rlogin、rexec、ntalk、finger等)。注释除非绝对需要，你一定要注释掉rsh、rlogin和rexec，而telnet建议你使用更为安全的ssh来取代，然后杀掉lnetd进程。这样inetd不再监控你机器上的守护步伐，从而杜绝有人利用它来窃取你的应用端口。你最好是下载一个端口扫描步伐扫描你的系统，假如发现有你不知道的开放端口，马上找到正使用它的进程，从而判定是否封闭它们。 2.删除不消的软件包 在进行系统规划时，总的原则是将不需要的服务一律去掉。默认的Linux就是一个强大的系统，运行了很多的服务。但有许多服务是不需要的，很轻易引起安全风险。这个文件就是/etc/inetd.conf，它制定了/usr/sbin/inetd将要监听的服务，你可能只需要其中的两个：telnet和ftp，其它的类如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth等，除非你真的想用它，否则统统封闭。 3.不设置缺省路由 在主机中，应该严格禁止设置缺省路由，即defaultroute.建议为每一个子网或网段设置一个路由，否则其它机器就可能通过一定方式访问该主机 4.口令治理 口令的长度一般不要少于8个字符，口令的组成应以无规则的巨细写字母、数字和符号相结合，严格避免用英语单词或词组等设置口令，而且各用户的口令应该养成定期更换的习惯。另外，口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护，必须做到只有系统治理员才华访问这2个文件。安装一个口令过滤工具加npasswd，能帮你检查你的口令是否耐得住攻击。假如你以前没有安装此类的工具，建议你现在马上安装。假如你是系统治理员，你的系统中又没有安装口令过滤工具，请你马上检查所有用户的口令是否能被穷尽搜索到，即对你的/ect/passwd文件实施穷尽搜索攻击。 5.分区治理 一个潜伏的攻击，它首先就会实验缓冲区溢出。在过去的几年中，以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是，缓冲区溢出漏洞占了远程网络攻击的绝大多数，这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权！ 为了防止此类攻击，我们从安装系统时就应该留意。假如用root分区记录数据，如log文件，就可能因为拒绝服务产生大量日志或垃圾邮件，从而导致系统崩溃。所以建议为/var开辟单独的分区，用来存放日志和邮件，以避免root分区被溢出。最好为特殊的应用步伐单独开一个分区，特别是可以产生大量日志的步伐，还建议为/home单独分一个区，这样他们就不能填满/分区了，从而就避免了部分针对Linux分区溢出的恶意攻击。 6.防范网络嗅探： 嗅探器技术被广泛应用于网络维护和治理方面，它工作的时候就像一部被动声纳，默默的接收看来自网络的各种信息，通过对这些数据的分析，网络治理员可以深入了解网络当前的运行状况，以便找出网络中的漏洞。在网络安全日益被留意的今天。我们不但要正确使用嗅探器。还要公道防范嗅探器的危害。嗅探器能够造成很大的安全危害，主要是因为它们不轻易被发现。对于一个安全性能要求很严格的企业，同时使用安全的拓扑结构、会话加密、使用静态的ARP地址是有必要的。 7.完整的日志治理 日志