Linux是一个多用户的系统,黑客们为了在攻击中隐藏自己,往往选择Linux系统作为首先攻击的对象,作为一个Linux用户,时刻要防止攻击,要从下面的11各方面着手:
1. 关闭无用的端口
任何网络连接都是通过开放的应用端口来实现的。如果我们尽可能少地开放端口,就使网络攻击变成无源之水。首先检查你的inetd.conf文件。inetd在某些端口上守侯,准备为你提供必要的服务。如果某人开发出一个特殊的inetd守护程序,这里就存在一个安全隐患。你应当在inetd.conf文件中注释掉那些永不会用到的服务(如:echo、gopher、rsh、rlogin、rexec、talk、ntalk、pop-2、 finger等)。
2.不设置缺省路由
在主机中应该严格禁止设置缺省路由,即default route。建议为每一个子网或网段设置一个路由,否则其他机器就可能通过一定方式访问该主机。
3.口令管理
口令的长度一般不要少于8个字符,口令的组成应以无规则的大小写字母、数字和符号相结合,严格避免用英语单词或词组等设置口令,而且各用户的口令应该养成定期更换的习惯。另外,口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护,必须做到只有系统管理员才能访问这2个文件。安装一个口令过滤工具加npasswd,能帮你检查你的口令是否耐得住攻击。如果你以前没有安装此类的工具,建议你现在马上安装。
4.分区管理
一个潜在的攻击,它首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区纪录数据,如log文件和email,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还有建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。
5.谨慎使用.rhosts文件
.rhosts文件中存储的是可以直接远程访问本系统的主机及用户名。当你用telnet命令或r*命令(如rlogin,rcp等)来远程访问本系统时系统首先检查.rhosts文件中是否存有你此时的主机名和用户名。当找到你的主机名和用户名后,它将允许你直接访问它,而不需输入口令。当黑客一旦攻破你的系统,他必将要在你的系统中留下一个供他日后自由出入的后门。只要他将自己的主机名和用户名写进.rhosts文件,就达到了这一目的。
所以我们要时刻检查我们的orhosts文件,一旦发现里面出现莫名其妙的主机名和用户名,马上删除它们。
6.日志管理
日志文件时刻为你记录着你的系统的运行情况。当黑客光临时,也不能逃脱日志的法眼。所以黑客往往在攻击时修改日志文件,来隐藏踪迹。因此我们要限制对/var/log文件的访问,禁止一般权限的用户去查看日志文件。
7. 终止正进行的攻击
假如你在检查日志文件时发现了一个用户从你未知的主机登录,而且你确定此用户在这台主机上没有帐号,此时你可能正被攻击。首先你要马上锁住此帐号(在口令文件或shadow文件中此用户的口令前加一个Ib或其他的字符)。若攻击者已经连接到系统,你应马上断开主机与网络的物理连接。加有可能,你还要进一步查看此用户的历史记录,查看其他用户是否也被假冒,攻击者是否拥有根权限。杀掉此用户的所有.进程并把此主机的ip地址掩码加到文件hosts.deny中。
8.防范身边的攻击
如果你的身边躲藏有攻击的人,要做到对他们的防范难上加难。要避免此类情况的发生,最简单的方法是改变机器中BioS的配置,使机器的启动顺序改为硬盘第一序,并为你的B10S设置一个口令。
9.使用保留IP地址
使用保留IP地址是一种简单可行的方法,它可以让用户访问Internet同时保证一定的安全性。
RFC 1918规定了能够用于本地 TCP/IP网络使用的IP地址范围,这些IP地址不会在Internet上路由,因此不必注册这些地址。通过在该范围分配IP地址,可以有效地将网络流量限制在本地网络内。这是一种拒绝外部计算机访问而允许内部计算机互联的快速有效的方法。
保留IP地址范围如下所示、
---- 10.0.0.0 - 10.255.255.255
---- 172.16.0.0 - 172.31.255.255
---- 192.168.0.0 - 192.168.255.555
来自保留IP地址的网络交通不会经过Internet路由器,因此被赋予保留IP地址的任何计算机不能从外部网络访问。但是,这种方法同时也不允许用户访问外部网络。IP伪装可以解决这一问题。
10.补丁问题
你应该经常到你所安装的Linux系统发行商的主页上去找最新的补丁。例如:对于Redhat系统而言可以在:http://www.redhat.com/corp/support/errata/上找到补丁。 幸运的是,在Redhat6.1以后的版本带有一个自动升级工具up2date,它能自动够测定哪些rpm包需要升级,然后自动从Redhat的站点下载并完成安装。
作者:曹江华
