25网络安全与病毒防护

返回
25.3.3 安装Snort
Snort是基于Libpcap的入侵检测系统。Libpcap是 一个针对Linux或UNIX系统的包捕获库，不仅可以捕 获发往本地主机的数据包，也可以截获发往网络上其 他主机的数据包，与之功能类似的Windows版本为 Winpcap。可以从http://www.tcpdump.org下载Libpcap的 最新软件包libpcap-0.8.3.tar.gz。 可以从http://www.snort.org/dl/下载最新的Snort源 码包，Snort源码包分为稳定版和开发版，版本号分别 为2.7.1和2.8.0。普通用户只需下载稳定版源码包snort2.7.0.1.tar.gz。 返回
在Red Hat Enterprise Linux 5中，OpenSSH默认 的客户端配置文件为/etc/ssh/ssh_config。通常 ssh_config文件中的默认选项适用于大多数环 境。用户只需根据需要，在此基础上稍做修改 即可。
返回
25.4.5 使用ssh客户端
ssh是OpenSSH所提供的远程连接工具之一，用 于登录到远程系统并执行命令。它是Telnet、 rlogin、rsh的安全替代品，可以在非安全网络 上的两台主机之间实现安全的加密通道。
返回
25.1.3 确保系统资源安全
对系统的各类用户设置资源限制可以防止DOS（拒绝服 务 攻 击 ） 类 型 的 攻 击 。 可 以 在 /etc/security/limits.conf 文件中对用户使用的内 存空间、CPU时间和最大进程数等资源的数量进行设定.
返回
25.1.4 确保账号、密码的安全
返回
25.4 OpenSSH实现网络安全 连接
25.4.1 SSH安装 25.4.2 启动和停止OpenSSH守护进程
25.4.3 配置OpenSSH服务器
25.4.4 配置OpenSSH客户
返回 结束
25.4 OpenSSH实现网络安全 连接
25.4.5 使用ssh客户端 25.4.6 使用scp客户端 25.4.7. 使用sftp客户端 25.4.8 SSH Secure Shell访问SSH服务器
25.5.4 常见病毒的分析与预 防
随着计算机网络尤其是Internet的推广普及，病 毒家族又出现一系列新成员，其中一些病毒危 害极为严重，在很短的时间内就会给用户造成 巨大损失。这些“后起之秀”多数以互联网为 依托，并随着互联网的传播，其破坏力也迅速 扩大增强，目前已成为最为流行的病毒种类。 如果不加以正确防治，将给计算机系统安全带 来严重损害。
返回
25.2 Linux下的防火墙配置
25.2.1 防火墙的基本概念 25.2.2 Red Hat安全级别设置 25.2.3 使用iptable管理防火墙
返回 结束
25.2.1 防火墙的基本概念
防火墙主要基于包过滤技术（Packet Filter）。包过滤 技术一般工作在网络层，依据系统内设置的过滤规则 （也称为访问控制表）检查数据流中的每个数据包， 并根据数据包的源地址、目的地址、TCP/UDP源端口 号、TCP/UDP目的端口号及数据包头中的各种标志位 等因素来确定是否允许数据包通过，其核心是安全策 略即过滤算法的设计。使用包过滤技术可以通过简单 地规定适当的端口号来达到阻止或允许一定类型的连 接的目的，并可进一步组成一套数据包过滤规则。 返回
25.2.2 Red Hat安全级别设置
许多专家在配置防火墙时都遵循“先拒绝所有连接， 然后允许某些非常满足特殊规则的连接通过”的原则， 这将使所有的数据流都必须经过防火墙，最大程度地 提高系统的安全性。
返回
25.2.3 使用iptable管理防火 墙
【安全级别设置】对于建立一些ຫໍສະໝຸດ Baidu单的防火墙规则 （例如，允许从网络访问WWW服务器或FTP服务器） 是很有用的。但更多复杂的防火墙规则，如在接口之 间转发数据包或进行地址伪装，就只能通过使用 iptables命令来设置。
返回
25.4.8 使用SSH Secure Shell访问SSH服务器
在Windows下采用OpenSSH方式访问SSH服务 器，可以使用Windows下专门的软件——SSH Secure Shell。
返回
25.5 计算机病毒与防护
25.5.1 计算机病毒种类 25.5.2 计算机病毒特征
25.5.3 计算机病毒的危害性
网络安全与病毒防护
25.1 Linux网络安全对策
25.2 Linux下的防火墙配置
25.3 入侵检测技术（IDS）
25.4 OpenSSH实现网络安全连接
25.5 计算机病毒与防护
结束
25.1 Linux网络安全对策
25.1.1 确保端口安全 25.1.2 确保连接安全
25.1.3 确保系统资源安全
入侵检测技术通过对系统或网络活动的监测，达到尽 可能实时地发现非法入侵的目的。
返回
25.3.2 Snort软件概述
Snort（即Sniffer and more）是一个强大的轻量级的开 源IDS，也是数据包嗅探器，同时还是数据包记录器， 其作者是Martin Roesch。Snort可以在IP网络上进行实 时流量分析和包日志，可以对包括缓冲器溢出、端口 扫描、SMB探测等多种入侵行为进行检测。Snort遵循 公共许可证GPL，只要遵守GPL的任何组织和个人都 可以自由使用该软件。
25.1.6 日志文件的安全性
由于操作系统体系结构固有的安全隐患，即使系 统管理员采取了各种安全措施，系统还是会出现一些 新的漏洞。有经验的攻击者会在漏洞被修补之前，迅 速抓住机会攻破尽可能多的机器。 日志是Linux安全结构中的一个重要内容。日志记 录了用户对计算机、服务器、网络等设备所进行的操 作，同时还会记录网络连接情况和时间信息。
针对账号和密码的攻击是入侵系统的主要手段之一。 事实上，一个细心的系统管理员可以避免很多潜在的 问题，如采用强口令、有效的安全策略、加强与网络 用户的沟通，分配适当的用户权限等。 密码安全是系统安全的基础和核心。由于用户账号、 密码设置不当而引发的安全问题已经占整个系统安全 问题相当大的比重。如果密码被破解，那么整个系统 基本的安全机制和防范模式将受到严重危胁。为此用 户需要选择强壮的密码。 返回
25.3.4 使用Snort
Snort的命令格式为：snort options>
[-options] <filter
返回
25.3.5 snort.conf配置文件
snort.conf文件中记录了每次激活Snort时的参数 配置。该配置文件较长，但开发者提供了详细 的语法和指令说明，用户可以依据示例完成配 置工作。
25.5.4 常见病毒的分析与预防
返回 结束
25.5.1 计算机病毒种类
按照计算机病毒的性能及特点，计算机病 毒的分类方法有许多种。即使是同一种病毒也 可能有多种不同的分法。 按照计算机病毒的破坏情况分类 按照计算机病毒的链结方式分类 按寄生方式分为引导型、病毒文件型病毒 和复合型病毒 。
返回
25.4.6 使用scp客户端
scp（secure copy，即安全复制）是一个远程文 件的安全复制程序。由于scp底层基于SSH，当 ssh启动时，scp也会默认启动。
返回
25.4.7. 使用sftp客户端
sftp与FTP类似，是一个交互式的文件传输程序， 由于底层采用了SSH，因此可以在加密通道上 完成文件传输。
返回
25.4.3 配置OpenSSH服务器
OpenSSH的守护进程默认使用 /etc/ssh/sshd_config配置文件。默认配置文件足 以启动sshd守护进程并允许SSH客户端连接到 服务器。除此之外，在/etc/ssh目录中还有一些 系统级配置文件。
返回
25.4.4 配置OpenSSH客户
返回
25.1.2 确保连接安全
远程登录和管理服务器是系统管理员经常要做的工 作。远程登录的作用就是让用户以模拟终端的方式连 接到网络上的另一台远程主机。一旦登录成功，用户 就可以在远程主机上执行输入的命令、控制远程主机 的运行。 实现远程连接的工具很多，传统的工具主要有 Telnet、FTP 等。但 Telnet、FTP 本质上非常不安全。 它们在网络上以“明文”方式传递口令和数据，使得 有经验的黑客可以很容易地通过劫持一个会话来截获 这些重要信息。需要注意的是：当使用r系列程序（如 rsh 和 rlogin）的时候要考虑和 Telnet、FTP 相同的安 全问题。 返回
25.1.5 系统文件的安全性
给重要文件设置适当的权限 对于Linux系统中一些比较重要的文件（如passwd、 passwd-、shadow、shadow-、xinetd.conf和resolv.conf 等），应赋予适当的权限，以防止被意外修改或恶意 破坏。 维护重要文件的一致性 创建用户时，通常会分别在/home目录下创建以用 户命名的主目录，在/etc/passwd和shadow文件中按相 应文件格式写入用户信息。但有时系统管理员在删除 用户时，只删除了三项中的某一项或两项。 返回
返回
25.3 入侵检测技术（IDS）
25.3.1 入侵检测技术简介 25.3.2 Snort软件概述 25.3.3 安装Snort 25.3.4 使用Snort
返回 结束
25.3 入侵检测技术（IDS）
25.3.5 snort.conf配置文件
25.3.6 配置Snort规则
返回
结束
25.3.1 入侵检测技术简介
返回
25.3.6 配置Snort规则
Snort规则是基于文本的，通常按不同的组进 行分类，并存储在 Snort 程序目录或子目录中。 例如，规则文件dos.rules包含了dos攻击相关 的规则。 Snort使用自己的规则语言。这种规则语言 语法相对简单，由规则头和规则体两部分组成。 规则头包括规则行为、协议、源信息和目的信 息 等。
返回
25.5.2 计算机病毒特征
计算机病毒一般具有以下特点： 隐蔽性 传染性 潜伏性 破坏性 可触发性
返回
25.5.3 计算机病毒的危害性
计算机病毒的危害性主要体现在病毒的破坏作用， 主要表现在以下几个方面。 破坏文件分配表，造成磁盘数据的丢失。 占用大量内存可用空间，导致内存空间不足。 占用大量CPU时间，造成系统瘫痪。 破坏系统硬件，造成计算机损坏。 删除或恶意修改磁盘文件。 造成网络阻塞。 非法获取用户敏感信息（如账号、密码）。 返回
返回 结束
25.4.1 SSH安装
Red Hat Enterprise Linux 5中自带了OpenSSH软 件包。要运行OpenSSH服务器，必须首先确定 安装了正确的RPM软件包。
返回
25.4.2 启动和停止OpenSSH 守护进程
Red Hat Enterprise Linux 5在系统启动时，默认 启动OpenSSH守护进程——sshd。
25.1.4 确保账号、密码的安全
返回 结束
25.1 Linux网络安全对策
25.1.5 系统文件的安全性
25.1.6 日志文件的安全性
返回
结束
25.1.1 确保端口安全
TCP 和 UDP 都使用端口的概念来使网络数据包能够正确指向相对 应的应用程序。一台运行的计算机几乎总是同时有不同的应用程 序在运行，相互之间必须都能够同时通信。为了使网络数据包能 够被正确地引导给相对应的应用程序，每个程序被赋予了特别的 TCP或UDP端口号。进入计算机的网络数据包也都包含了一个端口 号，操作系统会根据端口号将数据包发送到相应的应用程序，就 像一个海港有不同的港口或码头才能使不同的船只停靠到相应的 位置。 黑客在发起攻击前，通常会利用各种手段对目标主机的端口 进行刺探和扫描，收集目标主机系统的相关信息（例如，目标系 统正在使用的操作系统版本、提供哪些对外服务等），以决定进 一步攻击的方法和步骤。因此确保端口安全意义重大。