“拒絕服務”***
所謂“拒絕服務”***是指***採取具有破壞性的方法阻塞目標網絡的資源,使網絡暫時或永久癱瘓,從而使Linux網絡服務器無法爲正常的用戶提供服務。例如***可以利用僞造的源地址或受控的其他地方的多臺計算機同時向目標計算機發出大量、連續的TCP/IP請求,從而使目標服務器系統癱瘓。
“口令破解”***
口令安全是保衛自己系統安全的第一道防線。“口令破解”***的目的是爲了破解用戶的口令,從而可以取得已經加密的信息資源。例如***可以利用一臺高速計算機,配合一個字典庫,嘗試各種口令組合,直到最終找到能夠進入系統的口令,打開網絡資源。
“欺騙用戶”***
“欺騙用戶”***是指網絡***僞裝成網絡公司或計算機服務商的工程技術人員,向用戶發出呼叫,並在適當的時候要求用戶輸入口令,這是用戶最難對付的一種***方式,一旦用戶口令失密,***就可以利用該用戶的帳號進入系統。
“掃描程序和網絡監聽”***
許多網絡***是從掃描開始的,利用掃描工具***能找出目標主機上各種各樣的漏洞,並利用之對系統實施***。
網絡監聽也是***們常用的一種方法,當成功地登錄到一臺網絡上的主機,並取得了這臺主機的超級用戶控制權之後,***可以利用網絡監聽收集敏感數據或者認證信息,以便日後奪取網絡中其他主機的控制權。
Linux網絡安全防範策略
縱觀網絡的發展歷史,可以看出,對網絡的***可能來自非法用戶,也可能來自合法的用戶。因此作爲Linux網絡系統的管理員,既要時刻警惕來自外部的******,又要加強對內部網絡用戶的管理和教育,具體可以採用以下的安全策略。
仔細設置每個內部用戶的權限
爲了保護Linux網絡系統的資源,在給內部網絡用戶開設帳號時,要仔細設置每個內部用戶的權限,一般應遵循“最小權限”原則,也就是僅給每個用戶授予完成他們特定任務所必須的服務器訪問權限。這樣做會大大加重系統管理員的管理工作量,但爲了整個網絡系統的安全還是應該堅持這個原則。
確保用戶口令文件/etc/shadow的安全
對於網絡系統而言,口令是比較容易出問題的地方,作爲系統管理員應告訴用戶在設置口令時要使用安全口令(在口令序列中使用非字母,非數字等特殊字符)並適當增加口令的長度(大於6個字符)。系統管理員要保護好/etc/passwd和/etc/shadow這兩個文件的安全,不讓無關的人員獲得這兩個文件,這樣***利用John等程序對/etc/passwd和/etc/shadow文件進行了字典***獲取用戶口令的企圖就無法進行。系統管理員要定期用John等程序對本系統的/etc/passwd和/etc/shadow文件進行模擬字典***,一旦發現有不安全的用戶口令,要強制用戶立即修改。
加強對系統運行的監控和記錄
Linux網絡系統管理員,應對整個網絡系統的運行狀況進行監控和記錄,這樣通過分析記錄數據,可以發現可疑的網絡活動,並採取措施預先阻止今後可能發生的***行爲。如果進攻行爲已經實施,則可以利用記錄數據跟蹤和識別侵入系統的***。
合理劃分子網和設置防火牆
如果內部網絡要進入Internet,必須在內部網絡與外部網絡的接口處設置防火牆,以確保內部網絡中的數據安全。對於內部網絡本身,爲了便於管理,合理分配IP地址資源,應該將內部網絡劃分爲多個子網,這樣做也可以阻止或延緩***對整個內部網絡的***。
定期對Linux網絡進行安全檢查
Linux網絡系統的運轉是動態變化的,因此對它的安全管理也是變化的,沒有固定的模式,作爲Linux網絡系統的管理員,在爲系統設置了安全防範策略後,應定期對系統進行安全檢查,並嘗試對自己管理的服務器進行***,如果發現安全機制中的漏洞應立即採取措施補救,不給***以可乘之機。
制定適當的數據備份計劃確保系統萬無一失
沒有一種操作系統的運轉是百分之百可靠的,也沒有一種安全策略是萬無一失的,因此作爲Linux系統管理員,必須爲系統制定適當的數據備份計劃,充分利用磁帶機、光盤刻錄機、雙機熱備份等技術手段爲系統保存數據備份,使系統一旦遭到破壞或******而發生癱瘓時,能迅速恢復工作,把損失減少到最小。
11. 雪松