新聞中心

EEPW首頁 > 嵌入式系統(tǒng) > 設(shè)計應(yīng)用 > Linux的安全漏洞與防范措施

Linux的安全漏洞與防范措施

作者: 時間:2009-07-04 來源:網(wǎng)絡(luò) 收藏
  LINUX是一種當(dāng)今世界上廣為流行的免費操作系統(tǒng),它與UNIX完全兼容,但以其開放性的平臺,吸引著無數(shù)高等院校的學(xué)生和科研機構(gòu)的人員紛紛把它作為學(xué)習(xí)和研究的對象。這些編程高手在不斷完善LINUX版本中網(wǎng)絡(luò)安全功能。下面介紹Linux的Internet安全漏洞防范措施,希望對大家有一定的幫助。

  在LINUX的Internet安全中,主要包括的就是FTP安全、電子郵件安全、Telnet安全、Web服務(wù)器安全和安全Web協(xié)議。

  FTP安全

  對LINUX網(wǎng)絡(luò)來說能實現(xiàn)傳輸文件十分重要,因此最常用的工具和協(xié)議是文件傳輸協(xié)議(FTP)。在這里簡單介紹一下FTP安全。文件傳輸協(xié)議是把文件從一個系統(tǒng)傳輸?shù)搅硪粋€系統(tǒng)的標(biāo)準(zhǔn)方法,其目的是:

 ?、俅龠M文件的共享(包括計算機的程序和數(shù)據(jù));

  ②鼓勵通過程序間接或隱含使用遠程計算機;

 ?、凼褂脩舾杏X不到主機間文件存儲系統(tǒng)的差別;

 ?、芸煽?、高效地傳輸數(shù)據(jù)。

  但是,F(xiàn)TP有幾個關(guān)鍵性的安全缺陷:

  FTP使用標(biāo)準(zhǔn)的用戶名/口令的認證方法。這就使服務(wù)器不能可靠地確定一個用戶是否他所聲稱的那個人。

  默認情況下,口令以明文方式傳輸。這就使攻擊者通過電子竊聽獲得口令。

  FTP會話沒有加密因此沒有隱蔽性。

  FTP易受的攻擊有:

  FTP的跳(bounce)攻擊。

  文件許可權(quán)限錯誤。

  SITE EXEC漏洞。

  FTP跳攻擊的目標(biāo)是配置為拒絕來自指定IP地址(或IP地址掩碼)連接的主機。通常一個入侵者的IP地址正好在限制區(qū)域,因此他不能訪問FTP服務(wù)器的目錄。為了克服這種限制,入侵者使用另一臺機器來訪問目標(biāo)機器。

  為了實現(xiàn)這種方法,入侵者向中介FTP目錄寫一個文件,該文件包含有連接到目標(biāo)機器并獲得一些文件的命令。當(dāng)該中介連接目標(biāo)主機時,使用它自己的地址(而不是入侵者的地址)。因此,目標(biāo)主機信任該連接請求并返回要求的文件。

  權(quán)限錯誤就是攻擊者發(fā)現(xiàn)目標(biāo)主機上錯誤的文件和目錄權(quán)限獲得特權(quán)甚至

  根用戶訪問權(quán)來達到入侵的目的。

  SITE EXEC漏洞就是在早期的wu-ftpd版本允許遠程用戶通過向21端口發(fā)起telnet會話獲得shell。為了檢查有沒有該漏洞,啟動一個與21端口的telnet對話并發(fā)出命令SITE EXEC。如果獲得shell,就存在該漏洞。

  FTP的安全措對于小型、封閉的、沒有與Internet連接的網(wǎng)絡(luò)(和沒有同其它局域網(wǎng)環(huán)境相連)來說是足夠了。但對廣域網(wǎng)環(huán)境(尤其是與Internet連接)的網(wǎng)絡(luò)環(huán)境來說,普通FTP實在是不安全,應(yīng)使用SSLftp。SSLftp實現(xiàn)具有SSL的FTP客戶和服務(wù)器。SSL為安全套接層,是采用RSA和DES認證和加密以及MD5會話完整性檢查的一種第三層協(xié)議和API函數(shù)。

  如同telnet一樣,F(xiàn)TP(或類似FTP的服務(wù))在LINUX網(wǎng)絡(luò)中使用最多,但正如所指明的那樣,F(xiàn)TP不真正安全。如果打算小范圍使用普通FTP,應(yīng)盡量嚴格地設(shè)置訪問權(quán)限并記錄任何事。這至少可以確??梢钥刂颇膫€主機能訪問你的FTP服務(wù)并且當(dāng)出了問題時有最近的審計跟蹤。

  電子郵件安全

  今天使用最廣的E-mail傳輸協(xié)議是簡單郵件傳輸協(xié)議(SMTP)。每天,SMTP用于傳輸成千上萬的E-mail消息到世界各地。

  SMTP服務(wù)器工作規(guī)程很少:

  接收進來的消息。

  檢查消息的地址。

  如果消息的地址為本地地址,保存消息以便檢索。

  如果是遠程地址,轉(zhuǎn)發(fā)該消息。

  SMTP服務(wù)器功能同包路由器一樣,除了SMTP服務(wù)專用于郵件。大部分SMTP服務(wù)器可以按需要存儲以及轉(zhuǎn)發(fā)消息。

  SMTP服務(wù)器在兩個不同任務(wù)上提出了安全要求:

  保護服務(wù)器以免被攻破。必須給服務(wù)器加上防護盔甲防止外部進攻,如果外部進攻成功會使進攻者未經(jīng)授權(quán)便能進入你的系統(tǒng)。

  保護SMTP服務(wù)以免錯誤使用,例如外人利用你的電子郵件服務(wù)器發(fā)送假的郵件和垃圾。

  在這當(dāng)中第二項問題更為可怕。有些人不假思索地使用未受保護的SMTP服務(wù)器來向Internet郵件帳號轉(zhuǎn)發(fā)成千份的廣告。如果他們使用了你的機器就會使網(wǎng)絡(luò)負擔(dān)過重。
linux操作系統(tǒng)文章專題:linux操作系統(tǒng)詳解(linux不再難懂)
上一頁 1 2 下一頁

關(guān)鍵詞: 安全漏洞 Linux 防范措施

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉