Linux网络管理及应用-第11章.pptVIP

* * Linux网络管理及应用 第11章 Linux 安全防范 一、Linux安全检查列表 添加用户密码 读、写和执行权限 保护root账号 使用受信任的软件 获得软件的更新 使用安全的应用程序 使用限制性的防火墙 仅仅启动你所需要的服务 限制对服务的访问 检查用户自身系统 监控用户的系统 使用SELinux 二、使用密码保护 1.如何创建强密码 强密码主要是指利用随机字符组合生成的密码。 创建方式有: 使用长密码 组合字母、数字和符号 使用易于记忆但难以被他人猜出的字词和短语 2.如何创建易于记忆的强密码 3.要避免的密码策略 避免顺序或重复的字符 避免任何语言的字典单词 避免各处均使用一个密码 避免使用联机存储 三、检查日志文件 在Linux系统中，日志文件是其系统的一个重要组成部分。简单地说，日志就是操作系统或应用程序用来记录所发生的事件并保存这些记录以供日后查看的过程。 四、防范攻击 1.防范拒绝服务攻击（DOS攻击） (1)常见的拒绝服务攻击的方法 利用传输协议上的缺陷，发送畸形的数据包，导致目标主机无法处理而拒绝服务。 利用主机上服务程序的漏洞，发送特殊格式的数据导致服务处理错误而拒绝服务。 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通信。 利用受害主机上服务的缺陷，提交大量的请求将主机的资源耗尽，使受害主机无法接收新的请求。 (2)一些常见的攻击及其防御方法 “泪滴”（teardrop） “泪滴”也被称为分片攻击，它是一种典型的利用TCP/IP协议的问题进行的拒绝服务攻击的方式，由于第一个实现这种攻击的程序的名称为Teardrop，所以这种攻击被称为“泪滴”。 面对这种形式的攻击，可以两种防范的方法： 对服务器应用最新的服务包，一定程度上防御攻击对服务器造成的崩溃； 对防火墙进行设置，让分段包在经过防火墙的时候就进行重组，而转发它们给服务器。 泪滴攻击示意图 SYN“洪水”攻击 基于TCP协议的主机在进行一次TCP连接之前需要进行三次“握手”的连接过程。SYN“洪水”攻击就是利用三次“握手”的这个特征来发动攻击的。如下图所示。 对于缓解这种攻击的方法便是通过对防火墙的设置，让防火墙来过滤来自同一主机的后续连接。 Smurf放大攻击 Smurf放大攻击是一种特殊的拒绝服务攻击。它攻击方法就是利用IP欺骗和ICMP回复以引起目标主机网络阻塞从而实现拒绝服务攻击。由于不容易根据攻击情况反向追踪攻击者，所以对于这种攻击难以防范。Smurf放大攻击就是利用发往广播地址的数据包会被网络中所有的主机接收并处理这点来进行攻击的。如下图所示。 Smurf攻击示意图 2.防范分布式拒绝服务攻击（DDOS攻击） 目前，许多的拒绝服务攻击逐步由单一的攻击发展成为多台主机同时对目标主机进行协同式的攻击，这种攻击方式被称为分布式拒绝服务攻击（DDOS攻击）。 在进行分布式拒绝服务攻击前，攻击者必须先控制大量的无关的傀儡主机用于安装进行拒绝式攻击的软件。分布式拒绝服务攻击的软件一般分为守护程序与服务端软件，这些程序可以协调分散在互联网各处的主机共同完成对一台目标主机的攻击的操作，从而使得目标主机遭受到来自不同地方的许多主机的攻击。  分布式拒绝服务攻击示意图 五、入侵检测 入侵检测(intrusion detection)是使用自动化和智能化工具来实时检测入侵企图的一种操作；它是指对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统是防火墙的有效补充。它通过收集、分析计算机系统、计算机网络介质上的各种有用信息帮助系统管理员发现攻击并进行响应。 入侵检测系统主要可分为三类： 基于主机的入侵检测系统(Host Intrusion Detection System，HIDS) 基于网络的入侵检测系统(Network Intrusion Detection System，NIDS) 基于分布式的入侵检测系统(Distributed Intrusion Detection System，DIDS) 六、使用SELinux加固服务器 SELinux的全称是Security-Enhanced Linux，是由美国国家安全局（NSA）开发的访问控制体制。它建立了一个“tagart”策略专注于保护那些容易受到攻击的服务，而不是创建一个控制Linux系统方方面面的策略。 SELinux可以最大限度地保证Linux系统的安全。NSA推出的SELinux安全体系结构称为Flask，在这个结构中，安全性策略的逻辑和通用接口一起封装在与操作系统独立的组件中，这个单独的组件称为安全服务器。