網(wǎng)絡安全與病毒防護講課文檔

網(wǎng)絡安全與病毒防護第一頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第1頁。25.1Linux網(wǎng)絡安全對策返回結(jié)束25.1.6日志文件的安全性

25.1.5系統(tǒng)文件的安全性

第二頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第2頁。25.1.1確保端口安全

TCP和UDP都使用端口的概念來使網(wǎng)絡數(shù)據(jù)包能夠正確指向相對應的應用程序。一臺運行的計算機幾乎總是同時有不同的應用程序在運行，相互之間必須都能夠同時通信。為了使網(wǎng)絡數(shù)據(jù)包能夠被正確地引導給相對應的應用程序，每個程序被賦予了特別的TCP或UDP端口號。進入計算機的網(wǎng)絡數(shù)據(jù)包也都包含了一個端口號，操作系統(tǒng)會根據(jù)端口號將數(shù)據(jù)包發(fā)送到相應的應用程序，就像一個海港有不同的港口或碼頭才能使不同的船只?？康较鄳奈恢?。黑客在發(fā)起攻擊前，通常會利用各種手段對目標主機的端口進行刺探和掃描，收集目標主機系統(tǒng)的相關信息（例如，目標系統(tǒng)正在使用的操作系統(tǒng)版本、提供哪些對外服務等），以決定進一步攻擊的方法和步驟。因此確保端口安全意義重大。

返回第三頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第3頁。25.1.2確保連接安全

遠程登錄和管理服務器是系統(tǒng)管理員經(jīng)常要做的工作。遠程登錄的作用就是讓用戶以模擬終端的方式連接到網(wǎng)絡上的另一臺遠程主機。一旦登錄成功，用戶就可以在遠程主機上執(zhí)行輸入的命令、控制遠程主機的運行。實現(xiàn)遠程連接的工具很多，傳統(tǒng)的工具主要有Telnet、FTP等。但Telnet、FTP本質(zhì)上非常不安全。它們在網(wǎng)絡上以“明文”方式傳遞口令和數(shù)據(jù)，使得有經(jīng)驗的黑客可以很容易地通過劫持一個會話來截獲這些重要信息。需要注意的是：當使用r系列程序（如rsh和rlogin）的時候要考慮和Telnet、FTP相同的安全問題。

返回第四頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第4頁。25.1.3確保系統(tǒng)資源安全對系統(tǒng)的各類用戶設置資源限制可以防止DOS（拒絕服務攻擊）類型的攻擊?？梢栽?etc/security/limits.conf文件中對用戶使用的內(nèi)存空間、CPU時間和最大進程數(shù)等資源的數(shù)量進行設定.

返回第五頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第5頁。25.1.4確保賬號、密碼的安全

針對賬號和密碼的攻擊是入侵系統(tǒng)的主要手段之一。事實上，一個細心的系統(tǒng)管理員可以避免很多潛在的問題，如采用強口令、有效的安全策略、加強與網(wǎng)絡用戶的溝通，分配適當?shù)挠脩魴?quán)限等。密碼安全是系統(tǒng)安全的基礎和核心。由于用戶賬號、密碼設置不當而引發(fā)的安全問題已經(jīng)占整個系統(tǒng)安全問題相當大的比重。如果密碼被破解，那么整個系統(tǒng)基本的安全機制和防范模式將受到嚴重危脅。為此用戶需要選擇強壯的密碼。

返回第六頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第6頁。25.1.5系統(tǒng)文件的安全性

給重要文件設置適當?shù)臋?quán)限對于Linux系統(tǒng)中一些比較重要的文件（如passwd、passwd-、shadow、shadow-、xinetd.conf和resolv.conf等），應賦予適當?shù)臋?quán)限，以防止被意外修改或惡意破壞。

維護重要文件的一致性創(chuàng)建用戶時，通常會分別在/home目錄下創(chuàng)建以用戶命名的主目錄，在/etc/passwd和shadow文件中按相應文件格式寫入用戶信息。但有時系統(tǒng)管理員在刪除用戶時，只刪除了三項中的某一項或兩項。

返回第七頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第7頁。25.1.6日志文件的安全性

由于操作系統(tǒng)體系結(jié)構(gòu)固有的安全隱患，即使系統(tǒng)管理員采取了各種安全措施，系統(tǒng)還是會出現(xiàn)一些新的漏洞。有經(jīng)驗的攻擊者會在漏洞被修補之前，迅速抓住機會攻破盡可能多的機器。日志是Linux安全結(jié)構(gòu)中的一個重要內(nèi)容。日志記錄了用戶對計算機、服務器、網(wǎng)絡等設備所進行的操作，同時還會記錄網(wǎng)絡連接情況和時間信息。

返回第八頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第8頁。25.2Linux下的防火墻配置返回25.2.2RedHat安全級別設置25.2.3使用iptable管理防火墻

結(jié)束25.2.1防火墻的基本概念第九頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第9頁。25.2.1防火墻的基本概念防火墻主要基于包過濾技術（PacketFilter）。包過濾技術一般工作在網(wǎng)絡層，依據(jù)系統(tǒng)內(nèi)設置的過濾規(guī)則（也稱為訪問控制表）檢查數(shù)據(jù)流中的每個數(shù)據(jù)包，并根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號、TCP/UDP目的端口號及數(shù)據(jù)包頭中的各種標志位等因素來確定是否允許數(shù)據(jù)包通過，其核心是安全策略即過濾算法的設計。使用包過濾技術可以通過簡單地規(guī)定適當?shù)亩丝谔杹磉_到阻止或允許一定類型的連接的目的，并可進一步組成一套數(shù)據(jù)包過濾規(guī)則。

返回第十頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第10頁。25.2.2RedHat安全級別設置

許多專家在配置防火墻時都遵循“先拒絕所有連接，然后允許某些非常滿足特殊規(guī)則的連接通過”的原則，這將使所有的數(shù)據(jù)流都必須經(jīng)過防火墻，最大程度地提高系統(tǒng)的安全性。

返回第十一頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第11頁。25.2.3使用iptable管理防火墻

【安全級別設置】對于建立一些簡單的防火墻規(guī)則（例如，允許從網(wǎng)絡訪問WWW服務器或FTP服務器）是很有用的。但更多復雜的防火墻規(guī)則，如在接口之間轉(zhuǎn)發(fā)數(shù)據(jù)包或進行地址偽裝，就只能通過使用iptables命令來設置。

返回第十二頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第12頁。25.3入侵檢測技術（IDS）返回25.3.1入侵檢測技術簡介25.3.3安裝Snort結(jié)束25.3.4使用Snort25.3.2Snort軟件概述

第十三頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第13頁。25.3入侵檢測技術（IDS）返回結(jié)束25.3.6配置Snort規(guī)則

25.3.5snort.conf配置文件

第十四頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第14頁。25.3.1入侵檢測技術簡介入侵檢測技術通過對系統(tǒng)或網(wǎng)絡活動的監(jiān)測，達到盡可能實時地發(fā)現(xiàn)非法入侵的目的。

返回第十五頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第15頁。25.3.2Snort軟件概述

Snort（即Snifferandmore）是一個強大的輕量級的開源IDS，也是數(shù)據(jù)包嗅探器，同時還是數(shù)據(jù)包記錄器，其作者是MartinRoesch。Snort可以在IP網(wǎng)絡上進行實時流量分析和包日志，可以對包括緩沖器溢出、端口掃描、SMB探測等多種入侵行為進行檢測。Snort遵循公共許可證GPL，只要遵守GPL的任何組織和個人都可以自由使用該軟件。

返回第十六頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第16頁。25.3.3安裝SnortSnort是基于Libpcap的入侵檢測系統(tǒng)。Libpcap是一個針對Linux或UNIX系統(tǒng)的包捕獲庫，不僅可以捕獲發(fā)往本地主機的數(shù)據(jù)包，也可以截獲發(fā)往網(wǎng)絡上其他主機的數(shù)據(jù)包，與之功能類似的Windows版本為Winpcap?？梢詮南螺dLibpcap的最新軟件包libpcap-0.8.3.tar.gz。可以從/dl/下載最新的Snort源碼包，Snort源碼包分為穩(wěn)定版和開發(fā)版，版本號分別為2.7.1和2.8.0。普通用戶只需下載穩(wěn)定版源碼包snort-.tar.gz。

返回第十七頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第17頁。25.3.4使用SnortSnort的命令格式為：snort[-options]<filteroptions>返回第十八頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第18頁。25.3.5snort.conf配置文件

snort.conf文件中記錄了每次激活Snort時的參數(shù)配置。該配置文件較長，但開發(fā)者提供了詳細的語法和指令說明，用戶可以依據(jù)示例完成配置工作。

返回第十九頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第19頁。25.3.6配置Snort規(guī)則

Snort規(guī)則是基于文本的，通常按不同的組進行分類，并存儲在Snort程序目錄或子目錄中。例如，規(guī)則文件dos.rules包含了dos攻擊相關的規(guī)則。Snort使用自己的規(guī)則語言。這種規(guī)則語言語法相對簡單，由規(guī)則頭和規(guī)則體兩部分組成。規(guī)則頭包括規(guī)則行為、協(xié)議、源信息和目的信息等。返回第二十頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第20頁。25.4OpenSSH實現(xiàn)網(wǎng)絡安全連接返回25.4.1SSH安裝結(jié)束25.4.2啟動和停止OpenSSH守護進程

25.4.3配置OpenSSH服務器25.4.4配置OpenSSH客戶第二十一頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第21頁。25.4OpenSSH實現(xiàn)網(wǎng)絡安全連接返回25.4.5使用ssh客戶端

結(jié)束25.4.6使用scp客戶端

25.4.7.使用sftp客戶端

25.4.8SSHSecureShell訪問SSH服務器

第二十二頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第22頁。25.4.1SSH安裝RedHatEnterpriseLinux5中自帶了OpenSSH軟件包。要運行OpenSSH服務器，必須首先確定安裝了正確的RPM軟件包。

返回第二十三頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第23頁。25.4.2啟動和停止OpenSSH守護進程

RedHatEnterpriseLinux5在系統(tǒng)啟動時，默認啟動OpenSSH守護進程——sshd。

返回第二十四頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第24頁。25.4.3配置OpenSSH服務器

OpenSSH的守護進程默認使用/etc/ssh/sshd_config配置文件。默認配置文件足以啟動sshd守護進程并允許SSH客戶端連接到服務器。除此之外，在/etc/ssh目錄中還有一些系統(tǒng)級配置文件。

返回第二十五頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第25頁。25.4.4配置OpenSSH客戶

在RedHatEnterpriseLinux5中，OpenSSH默認的客戶端配置文件為/etc/ssh/ssh_config。通常ssh_config文件中的默認選項適用于大多數(shù)環(huán)境。用戶只需根據(jù)需要，在此基礎上稍做修改即可。

返回第二十六頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第26頁。25.4.5使用ssh客戶端

ssh是OpenSSH所提供的遠程連接工具之一，用于登錄到遠程系統(tǒng)并執(zhí)行命令。它是Telnet、rlogin、rsh的安全替代品，可以在非安全網(wǎng)絡上的兩臺主機之間實現(xiàn)安全的加密通道。

返回第二十七頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第27頁。25.4.6使用scp客戶端

scp（securecopy，即安全復制）是一個遠程文件的安全復制程序。由于scp底層基于SSH，當ssh啟動時，scp也會默認啟動。

返回第二十八頁，共32頁。網(wǎng)絡安全與病毒防護講課文檔全文共32頁，當前為第28頁。25.4.7.使用sftp客戶端

sftp與FTP