Linux操作系统的安全防护

３禁止缺省路 由 ．
应该严格禁止设 置缺省路 由， 为每一个子 网或网段设置一个路 建议 由， 避免其它机器可能通过一定方式访 问该主机 。
制造者也开始攻击 Ｌｎｘ系统 。 ｉｕ （） １感染 Ｅ Ｆ格式文件的病毒 Ｌ 这类病 毒以 Ｅ Ｆ格式 的文件 为主要感染 目标 ， 过汇编或者 Ｃ可 Ｌ 通 以写 出能感染 Ｅ Ｆ Ｌ 文件的病毒 。在 防范此类病毒时， 我们要注意管理好 自己 Ｌ ｕ 系统 中的各种文件的权 限， 别要 注意的是在做 日常操 作时 ｉｘ ｎ 特 不要使用 ｒ ｔ ｏ 账号 ， ｏ 不要运行来历不 明的可执行 文件 ， 以免无 意中触发 了含病毒的文件从而传染到整个系统中。 （ ２脚本 病 毒 脚本病毒是指使用 ｓｅ 等脚本语言 编写 的病毒。此类病毒编写较 ｈｌ ｌ 为简单 ， 不需要具有很高深的知识， 很容易就实现对系统 进行破坏， 比如 删除文件 、 破坏 系统正常运行 、 甚至下载安装木马等。但 它传播性不强 ， 通常是在本机上造成破坏。防范此类 病毒也是要 注意不要随便运行 来 源不明的脚本 ， 同时 ， 要严格控制对 ｒ ｔ ｏ 权限的使用 。 ｏ （） ３蠕虫病毒 Ｌ ｕ 下的蠕虫病毒与 Ｗｉ ｏ ｓ 的蠕虫病 毒类似 ， 常利用一 些 ｉｘ ｎ ｎ ｗ下 ｄ 通 系统 和服务的漏洞来进行传播可以独立运行 ， 并将 自 身传播到 另外 的计 算机 上去 。防范此类病毒要及时更新系统的漏洞。此外 ， 还可 以配合 防 火墙规则来限制蠕虫病毒 的传播 。 （） 门程 序 ４后 后 门程序也可以被看 成广义 的病毒 ， Ｌｎｘ平 台 上也非 常活跃 。 在 ｉｕ
一
１ ．使 用 Ｏ Ｅ Ｓ Ｈ代 替 Ｆ ’ Ｔ ｌｅ １ ＰＮＳ １ Ｐ和 ｅ ｔ ｎ 我们通常使用 的网络传输程序 Ｆ Ｐ和 Ｔ ｌ ｔ 常不安全 ， Ｔ ｅ ｅ非 ｎ 因为它们 在网络上用 明文传送 口令和数据 ， 黑客利用嗅探器非常容易截获这些 口
令和数据。通过使用 Ｓ Ｈ， 户可以把所有 传输的数据进 行加密 ， 样 Ｓ 用 这 即使网络中的黑客能够劫持用户所 传输 的数据 ， 如果不能解密 的话 ， 也 不能对数据传输构成真正的威胁 。另外 ， 传输 的数 据是经过压缩 的， 所 以可以加快传输的速度。ＳＨ有很多功能， Ｓ 它既 可以代替 Ｔ ｌｅ， ｅ ｔ又可以 ｎ 为 ｆ Ｐ提供一个安全的“ Ｔ ｒ 传输通道 ” 。在不安 全的网路通 信环境 中， 它 提供 了很强 的验证（ ｕｈｎｉａｏ ） ａｔｅｔ ｔ ｎ 机制与非常安全的通信环境 。 ｃｉ
４ 口令管理 ．
口令的长度一般不要少 于 ８个字 符， 口令 的组成应以无规则 的大小 写字母 、 数字和符号相结合 ， 严格避免用英语单词或词组等设 置 口 。养 令 成定期更换 口令 的习惯。另外 ， 口令 的保 护还涉及 到ｇ／ ｔ ｐｓ ｄ和 ￣ ｅ ／ ａｓ ｃ ｗ ／ ｅｃｓａｏ ｔ ｈｄｗ文件 的保护 ， ／ 必须做到只有系统管理员才能访问这 ２个文件。
１１ ４ 中国电子商务 ● ２ １ ０ ０ ０・ ３
中图分类号： Ｐ １ 文献标识码 ： 文章编号 ：０ ９— ０ ７ ２ １ ）３— １４一 ｌ Ｔ３６ Ａ １０ ４ ６ （０ ０ ０ ０ １ Ｏ
从 Ｌ ｕ 操作系统 出现 至今 ， ｉｘ ｎ 由于其优秀 的架构和 开源 的特 性 ， 众 多的企业和个 人开 始使 用 Ｌｎｘ 随着 Ｌｎｘ用户 的增加 ， ｉ ， ｕ ｉ ｕ 越来 越 多的 Ｌｎ ｘ系统连接到局域网和广域 网上 ， ｉｕ 增加 了受攻 击的可能， 系统的安 对 全带来隐患。所 以， Ｌ ｕ 安装完成 以后 ， 在 ｉｘ ｎ 应该进 行一些必要 的配置 ， 来增强其安全性 。 我们可以通过几个步骤来设置安全 的 Ｌｎ ｘ系统 。 ｉｕ
日 志文件时刻记 录着 系统的运行情 况。因此我们要 限制对 日志文 件的访问 ， 禁止一般权限 的用户去查看 日志文件 。另外还可以创建一 台 服务器专门存放 日志文件 ， 以通过检查 日志来发现存在的问题 。 可
１． ２ 备份 重要的文件
很 多木 马 、 蠕虫和后 门都会用替换 重要文件的办法隐藏 自己， 以 所 定期将系统 中最重要和常用 的命令 以及文件备份是很好得习惯。
１ 安装防火墙 ．
防火墙不仅是系统有效应对外部攻击的第源自文库道 防线 ， 也是最重 要的 道防线。在新系统第一次 连接 上 Ｉｔｒｅ 之前 ， ｎｅｎｔ 防火 墙就应该被 安装 并且配置好 。防火墙配置成拒绝接收所有数据包 ， 然后再打开允许接 收 的数据包， 将有利于系统 的安 全。Ｈｎｘ为我们提供 了一个 非常优 秀的 ｕ
一
免费防火墙工具 ｉｔ ｌｓ ｐａ ｅ。 ｂ
２ 关 闭无 用 的 端 口和 服 务 ．
任何 网络连接都是通过开放 的应用端 口来 实现的。我们应该 只开 放提供 服务 的端 口， 闭其他所有不需要的端 口， 关 从而大大减少攻击。 取消系统内所 有非必要 的服务 ， 只开启必要服务 。这样做可 以尽 量 减少后门， 降低隐患 ， 并且可 以合理分配系统资源 ， 提高性能。
防范此类病毒可以借助 一些软件 来进行 ， 比如 ｅｋｏ ｋ Ｒ ｒ ｔ ｔ 可 以 ｈｒ ｔｔ 、 ｏ ｉ ｏ ｉ ｏｋｓ 发现蠕虫 、 后门等。 （） 它 病 毒 ５其 除了针对 Ｈｎｘ的病毒之外 ， ｕ 还要注意到许多 Ｗｉｄｗ 病毒会存在 于 ｎｏ ｓ Ⅱｎｘ ｕ 的文件系统 中， ， ｗ ｎｏ ｓ 当然 这类 ｉ ｗ 病毒是不会在 Ｌ ｕ 中发作的， ｄ ｉｘ ｎ 但 它们有机会传递到 Ｗｉｄｗ 系统 中。所以在 Ｌｎｘ系统 中也需要能查找 ｎｏ ｓ ｉｕ 和杀除 Ｗｉ ｏ ｓ ｎ ｗ 病毒。防范此类病毒需要使用一些专门的杀毒软件。 ｄ
Ｌｎｘ ｉｕ 操作 系统的安全 防护
安 龙 甘 肃林 业 职 业 技 术 学 院 ７ １２ ４００
【 要】ｉｕ操 作 系统是 目 摘 Ｌ ｘ ｎ 前普遍使用的一种操作 系统 ， 本文针 对 Ｌｎｘ ｉ 操作 系统中常见 的安全 隐患提 出了解决办法和建议。 ｕ 【 关键词】 ｎｘ 操作 系统 安全 Ｈｕ
一
８ 使用安全工具软件 ．
新版的 Ｌｎ ｘ ｉｕ 增加 了一个名 为 Ｓ Ｌｎ ｘ 安全 加强 的 Ｌｎ ｘ 的 内核 Ｅ ｉｕ （ ｉｕ ） 模块 ， 目的在于增强开发代码的 Ｌ ｕ ｉ ｘ内核 ， ｎ 以提供更强 的保 护措施 ， 我 么可以利用该模块对 Ｌｎｘ的文件系统权限作更加细致 的规划 。 ｉｕ
５ 分区管理 ．
个潜在的攻击 ， 它首先就会 尝试缓 冲区溢出。而缓 冲区溢出漏洞 占了远程网络攻击的绝大多数 ， 了防止此类攻击 ， 为 我们从安装 系统时 就应该注意， 为特殊 的应用程序单独划 分一个分 区， 特别是可 以产 生大 量 日志的程序 ， 并建 议 为／ ｏ ｅ 独分 一 个 区， 而 避免 了部分 针 对 ｈｍ 单 从 Ｌ ｕ 分 区溢出的恶意攻击 。 ｉｘ ｎ
ｌ． ３ 补丁 问题
应用程序在执行 的过程 中难免会 出现一些安全性 的问题或者程序 本身 的漏洞 ， 所以 ， 需要经常到系统发行商的主页上去找最新 的补 丁， 将 软件保持在最新的版本。 结束语 ： 经过上述安全实施 ， 会使得系统的安全性得到很大程度上 的保证。但 是， 正如没有牢不可破的盾一样， 没有任何的系统是绝对安全的。所 以， 我们 定要提高安全防范的意识， 尽最大的 努力使系统稳定正常的运行。 参考文献 ： ［］ １ 鸟哥． 乌哥 的 ｌ ｕ 私房菜［ ． ｉｘ ｎ Ｍ］ 人民邮电出版社． ［ ］Ｔ同路人． ｉ ｘ ２Ｉ Ｌ ｕ 标准学习教程 ［ ． ｎ Ｍ］ 人民邮电出版社．
９ 合理选择 Ｌｎｘ版本 ． ｉ ｕ
对于服务器使用 的 Ｌ ｕ 版本 ， ｉｘ ｎ 既不 使用最新 的发行 版本 ， 不选 也 择太老的版本 。应当使用比较成熟版本 ， 保证服务器的稳定运行 。
１ ． ｉ ｘ病毒防范 ０ Ｌｎ ｕ
Ｌｎｘ ｉ 一直被认 为是 比较安全 的操作 系统 ， ｕ 很少发 现有 病毒传 播。 但是 ， 随着越来越多的服务器、 工作站 和个 人电脑使用 Ｌｎｘ ｉ 软件 ， 毒 ｕ 病
６ 防 范 网络 嗅探 ．
嗅探器技术被广泛应用 于网络维护和管理方 面， 帮助 网络管理员 深
入了解 网络当前的运 行状况 ， 以便找出网络中的漏洞 。但嗅探器本身 能 够造成很大的安全危害 ， 我们 不但耍正确使 用嗅探器 ， 要合理防范 嗅 还 探器 的危害 。
７ 完整的 日志管理 ．
Ａｂ ｔ ｃ ： ｎ ｘ ｉ ｃ ｒｅ ｔ ｄ ｌ ｓ ｄ ｉ ｎ ｏ ｅ ａ ｉ ｇ ｓ ｓｅ ， ｈ ｓ ａ ｔ ｌ ｒｖ ｄ ｏｕ ｉ ｎ ｎ ｒ ｐ ｓ ｌ ｆ ｒｔ ｅ Ｌｉｕ ｏ ｓｒ ｔ Ｌｉ ｕ ｓ ｕ ｒ ｎ ｌ ｗｉ ｅｙ ｕ ｅ ｎ ａ ｐ ｒ ｔ ｙ ｔｍ Ｔ ｉ ｒｉ ｅ ｐ ｏ ｉ ｅ ｓ ｌ ｔ ｓａ ｄ ｐ ｏ ｏ ａ ｓ ｏ ｈ ｎ ｘ ｃ ｍｍｏ ｅ ｕ ｉ ｒ ｂ ｅ ． ａ ｙ ｎ ｃ ｏ ｎ ｓ ｃ ｒ ｙ ｐ ｏ ｌ ｍｓ ｔ Ｋｅ ｏ ｄ ： ｉ ｕ Ｏ ｒ ｔ ｇ Ｓ ｓ ｍ； ｅ ｕ ｔ ｙ ｗ ｒ ｓ Ｌ ｎ ｘ； ｐｅ ａｉ ｙ ｔ ｎ ｅ Ｓ ｃ ｒｙ ｉ