《[工学]Linux系统的安全》由会员分享,可在线阅读,更多相关《[工学]Linux系统的安全(57页珍藏版)》请在金锄头文库上搜索。
1、 平顶山学院 软件学院课程议题Linux系统的安全平顶山学院 软件学院学习目标 通过本节内容希望您能够:了解网络安全的基本概念了解网络安全的基本概念了解了解LinuxLinux系统的基本安全机制系统的基本安全机制理解包过滤防火墙的工作原理理解包过滤防火墙的工作原理熟悉防火墙的配置方法熟悉防火墙的配置方法16.1 网络安全基础知识l网络安全从其本质上来讲就是网络上的信息安 全,其所涉及的领域相当广泛。l网络安全是指网络系统的硬件、软件及其系统 中的数据受到保护,不受偶然的或者恶意的原 因而遭到破坏、更改、泄露,系统连续可靠正 常地运行,网络服务不中断。16.1.1 网络安全解释l运行系统安全,即
2、保证信息处理和传输系统的 安全。l网络上系统信息的安全。l网络上信息传播的安全,即信息传播后的安全 。l网络上信息内容的安全,即讨论的狭义的“信 息安全”。16.1.1 网络安全解释l计算机网络安全的含义是通过各种计算机、网 络、密码技术和信息安全技术,保护在公用通 信网络中传输、交换和存储信息的机密性、完 整性和真实性,并对信息的传播及内容具有控 制能力。网络安全的结构层次包括:物理安全 、安全控制和安全服务。16.1.2 网络安全的特征l保密性是指信息不泄露给非授权的用户、实体或过程 ,或供其利用的特性。l完整性是指数据未经授权不能进行改变的特性,即信 息在存储或传输过程中保持不被修改、不
3、被破坏和丢 失的特性。l可用性是指可被授权实体访问并按需求使用的特性, 即当需要时应能存取所需的信息。网络环境下拒绝服 务、破坏网络和有关系统的正常运行等都属于对可用 性的攻击。l可控性是指对信息的传播及内容具有控制能力。16.1.3 对网络安全的威胁l非授权访问(Unauthorized Access)指一个 非授权用户的入侵。l信息泄露(Disclosure of Information)指造成 将有价值的和高度机密的信息暴露给无权访问 该信息的人的所有问题。l拒绝服务(Denial of Service)指使系统难以 或不能继续执行任务的所有问题。平顶山学院 软件学院(1)Linux系统
4、的用户帐号(2)Linux系统的日志文件日志是了解Linux系统运行情况的唯一方法。系统 管理员要合理利用Linux系统的日志文件,监控好 系统的运行。常用的日志文件有以下三个:16.1.4 Linux的基本安全机制 平顶山学院 软件学院1)/var/log/lastlog文件:该文件记录最后进入Linux系统的用 户信息,有登录时间、是否登录成功等信息。合法用户再次登 录系统后可以使用lastlog命令查看lastlog文件,对比用户上 次登录系统时间等情况,确定是否与实际用机情况一致,从而 发现该用户帐号是否被盗用过。 2)/var/log/secure文件:该文件为系统管理员提供系统开通
5、 开始所有用户的登录时间和登录地点,以便管理员更好进行设 置。 3)/var/log/wtmp文件:该文件也是记录用户的登录信息,包 括当前和历史上登录到系统的用户的登录时间、登录地点和注 销时间等信息。可以使用last命令查看。平顶山学院 软件学院(3)Linux系统的文件系统权限在Linux系统中,每一个文件或目录都有3组属性, 分别定义文件或目录的所有者、同组内其他用户和 剩余所有用户的使用权限。这些权限包括可读、可 写、可执行、允许SUID等。Linux文件系统的安全 主要是通过设置文件或目录的这3组权限来实现的。 其中,SUID的程序是以超级用户权限运行的程序, 可以做任何超级用户可
6、以做的事,这样有更多的机 会出现安全隐患。平顶山学院 软件学院(1)Linux系统可能遇到的安全情况1)黑客攻击和破解 2)电子欺骗 3)拒绝服务攻击 4)病毒 5)扫描程序攻击16.1.5 Linux可能受到的攻击和防 范平顶山学院 软件学院(2)设计安全策略 1)保护物理环境安全物理环境安全除了指计算机硬件的安全外一般还包括三方面 的内容:保护基本输入输出系统、在引导-加载器级别保障 Linux安全和使用系统显示锁。 2)确保用户口令的安全性 3)检查文件系统的安全性 4)设置好内部用户的权限(权限最小原则) 5)加强对系统运行的监控和记录 6)数据备份平顶山学院 软件学院保护基本输入输出
7、系统:所有的计算机都有机器级别的代码, 用来决定计算机怎样引导以及操作系统怎样与硬件进行信息通 信。我们通常所用的PC机中称之为基本输入输出系统(BIOS )。在引导-加载器级别保障Linux安全:大多数Linux引导加载器 允许设置引导口令。可用LILO设置口令并进行限定性设置。使用系统显示锁:运行了桌面程序的任何版本的Linux系统都有 显示锁。带有显示锁的机器搁置一段时间后,就显示屏幕保护 程序,锁住桌面显示,且只有输入正确口令才能返回桌面。平顶山学院 软件学院 如果要打开系统安全级别配置工具有两种方法:一是从桌面依次选择“主菜单”-“系统设置”-“安全级别”;二是在系统终端提示符下输入
8、“redhat-config-securitylevel”。 打开后的系统安全级别配置工具如图16-1所示。16.1.6 Linux系统安全级别及 设置平顶山学院 软件学院图16-1 “安全级别配置”对话 框平顶山学院 软件学院1. 高级“高级”选项是安全级别最高的一种,如果用户需要把系统接入 Internet,并且不作服务器运行,那么,把系统的安全级别设置为“ 高级”是最安全的选择。如果选择“高级”选项,系统只接受默认设置的连接,并允许这些 连接。默认情况下允许的连接包括两种连接: DNS回应 DHCP 不允许的连接如下: 活跃状态FTP IRC DCC 文件传输 RealAudio 远程X
9、窗口系统客户 平顶山学院 软件学院2. 中级如果你想允许RealAudio之类资源的访问,但仍要堵塞普通系统 服务的访问,可以选择 “中级”选项。同时还可以选择“定制”来允许 具体指定的服务穿过防火墙。如果选择“中级”选项,防火墙不允许 远程机器访问用户系统上的某些资源。默认情况下不允许的连接如 下: 低于1023的端口 NFS服务器端口 为远程X客户机设立的本地X窗口系统显示 X字体服务器端口 3. 无防火墙“无防火墙”选项是安全级别最低的一种设置,在这种情况下防火 墙不做任何安全检查将给予完全的访问权。不推荐用户选用该级别 ,除非用户所在网络绝对可信。平顶山学院 软件学院在图16-1所示安
10、全级别配置对话框中还有 两个基本的设置内容:一是“信任的设备”; 二是“允许进入”。 1. 信任的设备选择“信任的设备”列表中的任何一个将会允 许你的系统接受来自这一设备的全部通信, 它不受防火墙规则的限制。如果你想限制某 一接口上的通信,则不能选择它。 平顶山学院 软件学院2. 允许进入1)WWW(HTTP)HTTP协议被Apache(或其它万维网服务器)用来进行网页服务。如果用 户打算向公众开放自己的万维网服务器,请启用该选项。2)FTPFTP协议是用于在网络机器间传输文件的协议。如果用户打算使自己的 FTP服务器可被公开利用,则启用该选项。3)SSHSecure Shell(SSH)是用
11、来在远程机器上登录及执行命令的一组工具 。如果用户打算使用SSH工具通过防火墙来访问自己的机器,启用该选项。平顶山学院 软件学院4)DHCP如果允许进入的 DHCP 查询和回应,系统将会允许任何使用 DHCP 来判定其IP地址的网络接口。DHCP通常是启用的。5)邮件(SMTP)如果用户需要允许远程主机直接连接到自己的机器来发送邮件,启 用该选项。如果想从ISP服务器中收取POP3或IMAP邮件,或者使用 的是Fetchmail之类的工具,不要启用该选项。6)TelnetTelnet是用来在远程机器上登录的协议。Telnet通信是不加密的 ,几乎没有提供任何防止来自网络刺探之类的安全措施。建议
12、不要允 许进入的Telnet访问。平顶山学院 软件学院16.2防火墙基本概念 防火墙是指隔离在本地网络和外界网络之 间的一道防御系统,或者说就是管理进入 到网域内主机(或者说网域)的数据包的一 种机制。 分为硬件防火墙与软件防火墙。 软件防火墙是保护系统网络安全的一套软 件(或称为机制)。平顶山学院 软件学院Internal NetworkFirewall平顶山学院 软件学院16.2.2 防火墙的作用 防火墙是网络安全的屏障 防火墙可以强化网络安全策略 对网络存取和访问进行监控审计 防止内部信息的外泄平顶山学院 软件学院16.2.3 防火墙的三种类型 数据包过滤型防火墙 应用级网关型防火墙 代
13、理服务型防火墙平顶山学院 软件学院 数据包过滤型防火墙数据包过滤(Packet Filtering)技术是在网络层对数据包 进行选择,选择的依据是系统内设置的过滤逻辑,被称 为访问控制列表(Access Control List)。数据包过滤防火墙逻辑简单,价格便宜,易于安装和使 用,网络性能和透明性好,通常安装在路由器上。平顶山学院 软件学院 应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应 用层上建立协议过滤和转发功能。 它针对特定的网 络应用服务协议使用指定的数据过滤逻辑,并在过 滤的同时,对数据包进行必要的分析、登记和统计 ,形成报告。平
14、顶山学院 软件学院 代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道。 其特点是将所有跨越防火墙的网络通信链路分为两段。 防火墙内外计算机系统间应用层的“链接”, 由两个终止 代理服务器上的“链接”来实现,外部计算机的网络链路 只能到达代理服务器, 从而起到了隔离防火墙内外计算 机系统的作用。此外,代理服务对过往的数据包进行分析、注册登 记, 形成报告,同时当发现被攻击迹象时会向网络管理 员发出警报,并保留攻击痕迹平顶山学院 软件学院Internal Network代理服务器平顶山学院 软件学院平顶山学院 软件学院16.3 使用Linux架构包过滤防 火墙 包
15、过滤就是用一个软件查看所流经的数据 包的头部(header),由此决定整个数据包 是否允许通过。 在Linux系统下,包过滤功能是内建于核心 的,同时还有一些可以运用于数据包之上 的技巧,不过最常用的依然是查看包头以 决定是否允许通过。平顶山学院 软件学院8.3.1 包过滤型防火墙的工 作原理 包过滤规则必须被包过滤设备端口存储起来 当包到达时,对数据包的头部进行语法分析。 包过滤规则以特殊的方式存储。 若一条规则阻止包传输或接受,则此包不允许。 若一条规则允许包传输或接受,则此包被继续处 理。 若包不满足任何一条规则,此包被阻止。平顶山学院 软件学院存储包过滤规则分析包报头字段IP、UDP、
16、TCP应用下一个包规则包规则是否允许传输包规则是否阻止传输是否是最后一个包规 则否是否否允许包阻止包是是平顶山学院 软件学院Y拒绝Y是否匹配 规则条件1 ?允许N拒绝允许是否匹配 规则条件2 ?拒绝是否匹配 最后一个 条件 ?YYNYY允许隐含拒绝NY拒绝是否匹配 规则条件1 ?允许N允许是否匹配 规则条件2 ?拒绝是否匹配 最后一个 条件 ?YNY允许隐含拒绝N丢弃拒绝Y是否匹配 规则条件1 ?N拒绝是否匹配 规则条件2 ?拒绝是否匹配 最后一个 条件 ?YNY隐含拒绝N丢弃平顶山学院 软件学院ipfwadm (应用于2.0内核)ipchains (应用于2.2内核)iptables (应用于2.4内核)16
