增强网络安全性方法

1.7　增强网络安全性方法

众所周知，就安全性而言，Linux相对于Windows具有更多的优势。但是，不管选择哪一种Linux发行版本，在安装完成以后都应该进行一些必要的配置，来增强它的安全性。下面就通过几个步骤来加固Linux服务器。目前，许多中小用户因业务发展，不断更新或升级网络，从而造成自身用户环境差异较大，整个网络系统平台参差不齐，在服务器端大多使用Linux和Unix的，PC端使用Windows和Mac。所以在企业应用中往往是Linux，Unix和Windows操作系统共存形成异构网络。

1.安装和配置一个防火墙

一个配置适当的防火墙不仅是系统有效应对外部攻击的第一道防线，也是最重要的一道防线。在新系统第一次连接上Internet之前，防火墙就应该被安装并且配置好。防火墙配置成拒绝接收所有数据包，然后再打开允许接收的数据包，将有利于系统的安全。Linux为用户提供了一个非常优秀的防火墙工具，它就是iptables。它完全是免费的，并且可以在一台低配置的老机器上很好地运行。防火墙的具体设置方法请参见iptables的使用方法。

2.关闭无用的服务和端口

任何网络连接都是通过开放的应用端口来实现的。如果尽可能少地开放端口，就使网络攻击变成无源之水，从而大大减少了攻击者成功的机会。把Linux作为专用服务器是个明智的举措。例如，希望Linux成为Web服务器，可以取消系统内所有非必要的服务，只开启必要服务。这样做可以尽量减少后门，降低隐患，而且可以合理分配系统资源，提高整机性能。以下是几个不常用的服务。

（1）fingerd（finger服务器）报告指定用户的个人信息，包括用户名、真实姓名、Shell、目录和联系方式，它将使系统暴露在不受欢迎的情报收集活动下，应避免启动此服务。

（2）R服务（rshd，rlogin，rwhod，rexec）提供各种级别的命令，它们可以在远程主机上运行或与远程主机交互，在封闭的网络环境中登录而不再要求输入用户名和口令，相当方便。然而在公共服务器上就会暴露问题，导致安全威胁。

（3）删除不用的软件包。在进行系统规划时，总的原则是将不需要的服务一律去掉。默认的Linux就是一个强大的系统，运行了很多的服务。但有许多服务是不需要的，很容易引起安全风险。这个文件就是/etc/xinetd.conf，它制定了/usr/sbin/xinetd将要监听的服务，用户可能只需要其中的一个：ftp，其他的类如telnet，shell，login，exec，talk，ntalk，imap，finger，auth等，除非用户真的想用它，否则统统关闭。

（4）不设置默认路由。在主机中，应该严格禁止设置默认路由，即default route。建议为每一个子网或网段设置一个路由，否则其他机器就可能通过一定方式访问该主机。

（5）口令管理。口令的长度一般不要少于8个字符，口令的组成应以无规则的大小写字母、数字和符号相结合，严格避免用英语单词或词组等设置口令，而且各用户的口令应该养成定期更换的习惯。另外，口令的保护还涉及对/etc/passwd和/etc/shadow文件的保护，必须做到只有系统管理员才能访问这两个文件。安装一个口令过滤工具npasswd，能帮用户检查口令是否耐得住攻击。如果用户以前没有安装此类的工具，建议现在马上安装。如果是系统管理员，系统中又没有安装口令过滤工具，请马上检查所有用户的口令是否能被穷尽搜索到，即对用户的/etc/passwd文件实施穷尽搜索攻击。用单词作密码是根本挡不住暴力攻击的。黑客们经常用一些常用字来破解密码。曾经有一位美国黑客表示，只要用“password”这个词，就可以打开全美多数的计算机。其他常用的单词还有：account，ald，alpha，beta，computer，dead，demo，dollar，games，bod，hello，help，intro，kill，love，no，ok，okay，please，sex，secret，superuser，system，test，work，yes等。密码设置和原则如下：

①足够长，只要多为密码加一位，就可以让攻击者的难度增加10倍；

②不要用完整的单词，尽可能包括数字、标点符号和特殊字符等；

③混用大小写字符；

④经常修改；

⑤分区管理。

一个潜在的攻击，它首先就会尝试缓冲区溢出。在过去的几年中，以缓冲区溢出为类型的安全漏洞是最为常见的一种形式。更为严重的是，缓冲区溢出漏洞占了远程网络攻击的绝大多数，这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权。