Linux服務(wù)器安全策略

本文格式為Word版，下載可任意編輯——Linux服務(wù)器安全策略

第一章Linux網(wǎng)絡(luò)基礎(chǔ)與Linux服務(wù)器的安全要挾

1.1.1Linux網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)1.1Linux網(wǎng)路基礎(chǔ)

1.1.1Linux網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)

Linux在服務(wù)器領(lǐng)域已經(jīng)十分成熟，其影響力日趨增大。Linux的網(wǎng)絡(luò)服務(wù)功能十分強(qiáng)大，但是由于Linux的桌面應(yīng)用和Windows相比還有一定差距，除了一些Linux專門試驗(yàn)室之外，大多數(shù)企業(yè)在應(yīng)用Linux系統(tǒng)時(shí)，往往是Linux和Windows(或UNIX)等操作系統(tǒng)共存形成的異構(gòu)網(wǎng)絡(luò)。

在一個(gè)網(wǎng)絡(luò)系統(tǒng)中，操作系統(tǒng)的地位是十分重要的。Linux網(wǎng)絡(luò)操作系統(tǒng)以高效性和靈活性而著稱。它能夠在PC上實(shí)現(xiàn)全部的UNIX特性，具有多任務(wù)、多用戶的特點(diǎn)。Linux的組網(wǎng)能力十分強(qiáng)大，它的TCP/IP代碼是最高級(jí)的。Linux不僅提供了對(duì)當(dāng)前的TCP/IP協(xié)議的完全支持，也包括了對(duì)下一代Internet協(xié)議IPv6的支持。Linux內(nèi)核還包括了IP防火墻代碼、IP防偽、IP服務(wù)質(zhì)量控制及大量安全特性。Linux的網(wǎng)絡(luò)實(shí)現(xiàn)是模仿FreeBSD的，它支持FreeBSD的帶有擴(kuò)展的Sockets(套接字)和TCP/IP協(xié)議。它支持兩個(gè)主機(jī)間的網(wǎng)絡(luò)連接和Sockets通信模型，實(shí)現(xiàn)了兩種類型的Sockets：BSDSockets和INETSockets。它為不同的通信模型提供了兩種傳輸協(xié)議，即不可靠的、基于消息的UDP傳輸協(xié)議和可靠的、基于流的TCP傳輸協(xié)議，并且都是在IP網(wǎng)際協(xié)議上實(shí)現(xiàn)的。INETSockets是在以上兩個(gè)協(xié)議及IP網(wǎng)際協(xié)議之上實(shí)現(xiàn)的，它們之間的關(guān)系如圖1-1所示。

圖1-1Linux網(wǎng)絡(luò)中的層

把握OSI網(wǎng)絡(luò)模型、TCP/IP模型及相關(guān)服務(wù)對(duì)應(yīng)的層次對(duì)于理解Linux網(wǎng)絡(luò)服務(wù)器是十分重要的。

1.1.2TCP/IP四層模型和OSI七層模型

表1-1是TCP/IP四層模型和OSI七層模型對(duì)應(yīng)表。我們把OSI七層網(wǎng)絡(luò)模型和LinuxTCP/IP四層概念模型對(duì)應(yīng)，然后將各種網(wǎng)絡(luò)協(xié)議歸類。表1-1TCP/IP四層模型和OSI七層模型對(duì)應(yīng)表

OSI七層網(wǎng)絡(luò)模型應(yīng)用層（Application）表示層（Presentation）會(huì)話層（Session）傳輸層（Transport）網(wǎng)絡(luò)層（Network）數(shù)據(jù)鏈路層（DataLink）物理層（Physical）傳輸層網(wǎng)際層網(wǎng)絡(luò)接口應(yīng)用層LinuxTCP/IP四層概念模型對(duì)應(yīng)網(wǎng)絡(luò)協(xié)議TFTP,FTP,NFS,WAISTelnet,Rlogin,SNMP,GopherSMTP,DNSTCP,UDPIP,ICMP,ARP,RARP,AKP,UUCPFDDI,Ethernet,Arpanet,PDN,SLIP,PPPIEEE802.1A,IEEE802.2到IEEE802.111．網(wǎng)絡(luò)接口

網(wǎng)絡(luò)接口把數(shù)據(jù)鏈路層和物理層放在一起，對(duì)應(yīng)TCP/IP概念模型的網(wǎng)絡(luò)接口。對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議主要是：Ethernet、FDDI和能傳輸IP數(shù)據(jù)包的任何協(xié)議。

2．網(wǎng)際層

網(wǎng)絡(luò)層對(duì)應(yīng)LinuxTCP/IP概念模型的網(wǎng)際層，網(wǎng)絡(luò)層協(xié)議管理離散的計(jì)算機(jī)間的數(shù)據(jù)傳輸，如IP協(xié)議為用戶和遠(yuǎn)程計(jì)算機(jī)提供了信息包的傳輸方法，確保信息包能正確地到達(dá)目的機(jī)器。這一過(guò)程中，IP和其他網(wǎng)絡(luò)層的協(xié)議共同用于數(shù)據(jù)傳輸，假使沒(méi)有使用一些監(jiān)視系統(tǒng)進(jìn)程的工具，用戶是看不到在系統(tǒng)里的IP的。網(wǎng)絡(luò)嗅探器Sniffers是能看到這些過(guò)程的一個(gè)裝置（它可以是軟件，也可以是硬件），它能讀取通過(guò)網(wǎng)絡(luò)發(fā)送的每一個(gè)包，即能讀取發(fā)生在網(wǎng)絡(luò)層協(xié)議的任何活動(dòng)，因此網(wǎng)絡(luò)嗅探器Sniffers會(huì)對(duì)安全造成要挾。重要的網(wǎng)絡(luò)層協(xié)議包括ARP（地址解析協(xié)議）、ICMP（Internet控制消息協(xié)議）和IP協(xié)議（網(wǎng)際協(xié)議）等。

3．傳輸層

傳輸層對(duì)應(yīng)LinuxTCP/IP概念模型的傳輸層。傳輸層提供應(yīng)用程序間的通信。其功能包括：格式化信息流；提供可靠傳輸。為實(shí)現(xiàn)后者，傳輸層協(xié)議規(guī)定接收端必需發(fā)回確認(rèn)信息，

假使分組丟失，必需重新發(fā)送。傳輸層包括TCP（TransmissionControlProtocol，傳輸控制協(xié)議）和UDP（UserDatagramProtocol，用戶數(shù)據(jù)報(bào)協(xié)議），它們是傳輸層中最主要的協(xié)議。TCP建立在IP之上，定義了網(wǎng)絡(luò)上程序到程序的數(shù)據(jù)傳輸格式和規(guī)則，提供了IP數(shù)據(jù)包的傳輸確認(rèn)、丟失數(shù)據(jù)包的重新請(qǐng)求、將收到的數(shù)據(jù)包依照它們的發(fā)送次序重新裝配的機(jī)制。TCP協(xié)議是面向連接的協(xié)議，類似于打電話，在開(kāi)始傳輸數(shù)據(jù)之前，必需先建立明確的連接。UDP也建立在IP之上，但它是一種無(wú)連接協(xié)議，兩臺(tái)計(jì)算機(jī)之間的傳輸類似于傳遞郵件：消息從一臺(tái)計(jì)算機(jī)發(fā)送到另一臺(tái)計(jì)算機(jī)，兩者之間沒(méi)有明確的連接。UDP不保證數(shù)據(jù)的傳輸，也不提供重新排列次序或重新請(qǐng)求的功能，所以說(shuō)它是不可靠的。雖然UDP的不可靠性限制了它的應(yīng)用場(chǎng)合，但它比TCP具有更好的傳輸效率。

4．應(yīng)用層

應(yīng)用層、表示層和會(huì)話層對(duì)應(yīng)LinuxTCP/IP概念模型中的應(yīng)用層。應(yīng)用層位于協(xié)議棧的頂端，它的主要任務(wù)是應(yīng)用。一般是可見(jiàn)的，如利用FTP（文件傳輸協(xié)議）傳輸一個(gè)文件，請(qǐng)求一個(gè)和目標(biāo)計(jì)算機(jī)的連接，在傳輸文件的過(guò)程中，用戶和遠(yuǎn)程計(jì)算機(jī)交換的一部分是能看到的。常見(jiàn)的應(yīng)用層協(xié)議有：HTTP，F(xiàn)TP，Telnet，SMTP和Gopher等。應(yīng)用層是Linux網(wǎng)絡(luò)設(shè)定最關(guān)鍵的一層。Linux服務(wù)器的配置文檔主要針對(duì)應(yīng)用層中的協(xié)議。TCP/IP模型各個(gè)層次的功能和協(xié)議如表1-2所示。

表1-2TCP/IP模型各個(gè)層次的功能和協(xié)議

層次名稱網(wǎng)絡(luò)接口（Host-to-NetLayer）功能負(fù)責(zé)實(shí)際數(shù)據(jù)的傳輸，對(duì)應(yīng)OSI參考模型的下兩層協(xié)議HDLC（高級(jí)鏈路控制協(xié)議）PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）SLIP（串行線路接口協(xié)議）網(wǎng)際層（Inter-networkLayer）負(fù)責(zé)網(wǎng)絡(luò)間的尋址數(shù)據(jù)傳輸，對(duì)應(yīng)OSI參考模型的第三層IP（網(wǎng)際協(xié)議）ICMP（網(wǎng)際控制消息協(xié)議）ARP（地址解析協(xié)議）RARP（反向地址解析協(xié)議）傳輸層（TransportLayer）應(yīng)用層（ApplicationLayer）負(fù)責(zé)提供可靠的傳輸服務(wù)，對(duì)應(yīng)OSI參考模型的第四層負(fù)責(zé)實(shí)現(xiàn)一切與應(yīng)用程序相關(guān)的功能，對(duì)應(yīng)OSI參考模型的上三層TCP（控制傳輸協(xié)議）UDP（用戶數(shù)據(jù)報(bào)協(xié)議）FTP（文件傳輸協(xié)議）HTTP（超文本傳輸協(xié)議）DNS（域名服務(wù)器協(xié)議）SMTP（簡(jiǎn)單郵件傳輸協(xié)議）NFS（網(wǎng)絡(luò)文件系統(tǒng)協(xié)議）

說(shuō)明：TCP/IP與OSI最大的不同在于OSI是一個(gè)理論上的網(wǎng)絡(luò)通信模型，而TCP/IP則是實(shí)際運(yùn)行的網(wǎng)絡(luò)協(xié)議。

1.1.3TCP/IP提供的主要用戶應(yīng)用程序

1.Telnet程序

Telnet程序提供遠(yuǎn)程登錄功能。2.文件傳輸協(xié)議

文件傳輸協(xié)議(FTP)允許用戶將一個(gè)系統(tǒng)上的文件復(fù)制到另一個(gè)系統(tǒng)上。3.簡(jiǎn)單郵件傳輸協(xié)議

簡(jiǎn)單郵件傳輸協(xié)議(SMTP)用于傳輸電子郵件。4.Kerberos協(xié)議

Kerberos是一個(gè)受到廣泛支持的安全性協(xié)議。5.域名服務(wù)器協(xié)議

域名服務(wù)器協(xié)議(DNS)能使一臺(tái)設(shè)備具有的普通名字轉(zhuǎn)換成某個(gè)特定的網(wǎng)絡(luò)地址。6.簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)把用戶數(shù)據(jù)報(bào)協(xié)議(UDP)作為傳輸機(jī)制，它使用和TCP/IP不同的術(shù)語(yǔ)，TCP/IP用客戶端和服務(wù)器，而SNMP用管理器(Manager)和代理(Agent)，代理提供設(shè)備信息，而管理器管理網(wǎng)絡(luò)通信。7.網(wǎng)絡(luò)文件系統(tǒng)協(xié)議

網(wǎng)絡(luò)文件系統(tǒng)協(xié)議(NFS)是由SUNMicrosystems公司開(kāi)發(fā)的一套協(xié)議，可使多臺(tái)計(jì)算機(jī)能透明地訪問(wèn)彼此的目錄。8.遠(yuǎn)程過(guò)程調(diào)用

遠(yuǎn)程過(guò)程調(diào)用(RPC)是使應(yīng)用軟件能與另一臺(tái)計(jì)算機(jī)(服務(wù)器)通信的一些函數(shù)。9.普通文件傳輸協(xié)議

普通文件傳輸協(xié)議(TFTP)是一種缺乏任何安全性的、十分簡(jiǎn)單落后的文件傳輸協(xié)議。

10.傳輸控制協(xié)議

傳輸控制協(xié)議(TCP/IP中的TCP部分)是一種數(shù)據(jù)可靠傳輸?shù)耐ㄐ艆f(xié)議。11.網(wǎng)際協(xié)議

網(wǎng)際協(xié)議(IP)負(fù)責(zé)在網(wǎng)絡(luò)上傳輸由TCP/UDP裝配的數(shù)據(jù)包。12.網(wǎng)際控制消息協(xié)議

網(wǎng)際控制消息協(xié)議負(fù)責(zé)根據(jù)網(wǎng)絡(luò)上設(shè)備的狀態(tài)發(fā)出和檢查消息，它可以將某臺(tái)設(shè)備的故障通知到其他設(shè)備。

1.1.4端口號(hào)分派

TCP和UDP采用16b的端口號(hào)來(lái)識(shí)別應(yīng)用程序。那么這些端口號(hào)是如何選擇的呢?服務(wù)器一般都是通過(guò)知名端口號(hào)來(lái)識(shí)別的。例如，對(duì)于TCP/IP實(shí)現(xiàn)來(lái)說(shuō)，每個(gè)FTP服務(wù)器的TCP端口號(hào)都是21，每個(gè)Telnet服務(wù)器的TCP端口號(hào)都是23，每個(gè)TFTP(普通文件傳輸協(xié)議)服務(wù)器的UDP端口號(hào)都是69。任何TCP/IP實(shí)現(xiàn)所提供的服務(wù)都用知名的1~1023之間的端口號(hào)。這些知名端口號(hào)由Internet號(hào)分派機(jī)構(gòu)(InternetAssignedNumbersAuthority,IANA)來(lái)管理。到1992年為止，知名端口號(hào)介于1~255之間。256~1023之間的端口號(hào)尋常都是由UNIX系統(tǒng)占用，以提供一些特定的UNIX服務(wù)，也就是說(shuō)，提供一些只有UNIX系統(tǒng)才有的，而其他操作系統(tǒng)可能不提供的服務(wù)。現(xiàn)在IANA管理1~1023之間所有的端口號(hào)。

Internet擴(kuò)展服務(wù)與UNIX特定服務(wù)之間的一個(gè)區(qū)別就是telnet和rlogin，它們二者都允許通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)登錄到其他主機(jī)上。telnet是采用端口號(hào)為23的TCP/IP標(biāo)準(zhǔn)，且?guī)缀蹩梢栽谒胁僮飨到y(tǒng)上進(jìn)行實(shí)現(xiàn)。相反，rlogin最開(kāi)始時(shí)只是為UNIX系統(tǒng)設(shè)計(jì)的(盡管大量非UNIX系統(tǒng)現(xiàn)在也提供該服務(wù))，因此在20世紀(jì)80年代初，它的端口號(hào)為513，客戶端尋常對(duì)它所使用的端口號(hào)并不關(guān)心，只須保證該端口號(hào)在本機(jī)上是唯一的即可。客戶端口號(hào)又稱做臨時(shí)端口號(hào)(即存在時(shí)間很短暫)，這是由于它尋常只是在用戶運(yùn)行該客戶程序時(shí)才存在，而服務(wù)器則只要主機(jī)開(kāi)著，其服務(wù)就運(yùn)行。

大多數(shù)TCP/IP實(shí)現(xiàn)給臨時(shí)端口分派1024~5000之間的端口號(hào)。大于5000的端口號(hào)是為其他服務(wù)器預(yù)留的(Internet上并不常用的服務(wù))。我們可以在后面看見(jiàn)大量給臨時(shí)端口分派端口號(hào)的例子。大多數(shù)Linux系統(tǒng)的文件/etc/services都包含了人們熟知的端口號(hào)。為了找到telnet服務(wù)，