網(wǎng)絡(luò)安全與病毒防護(hù)

網(wǎng)絡(luò)安全與病毒防護(hù)第1頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.1Linux網(wǎng)絡(luò)安全對(duì)策返回25.1.1確保端口安全

25.1.2確保連接安全25.1.3確保系統(tǒng)資源安全

結(jié)束25.1.4確保賬號(hào)、密碼的安全

第2頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.1Linux網(wǎng)絡(luò)安全對(duì)策返回結(jié)束25.1.6日志文件的安全性

25.1.5系統(tǒng)文件的安全性

第3頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.1.1確保端口安全

TCP和UDP都使用端口的概念來(lái)使網(wǎng)絡(luò)數(shù)據(jù)包能夠正確指向相對(duì)應(yīng)的應(yīng)用程序。一臺(tái)運(yùn)行的計(jì)算機(jī)幾乎總是同時(shí)有不同的應(yīng)用程序在運(yùn)行，相互之間必須都能夠同時(shí)通信。為了使網(wǎng)絡(luò)數(shù)據(jù)包能夠被正確地引導(dǎo)給相對(duì)應(yīng)的應(yīng)用程序，每個(gè)程序被賦予了特別的TCP或UDP端口號(hào)。進(jìn)入計(jì)算機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包也都包含了一個(gè)端口號(hào)，操作系統(tǒng)會(huì)根據(jù)端口號(hào)將數(shù)據(jù)包發(fā)送到相應(yīng)的應(yīng)用程序，就像一個(gè)海港有不同的港口或碼頭才能使不同的船只?？康较鄳?yīng)的位置。黑客在發(fā)起攻擊前，通常會(huì)利用各種手段對(duì)目標(biāo)主機(jī)的端口進(jìn)行刺探和掃描，收集目標(biāo)主機(jī)系統(tǒng)的相關(guān)信息（例如，目標(biāo)系統(tǒng)正在使用的操作系統(tǒng)版本、提供哪些對(duì)外服務(wù)等），以決定進(jìn)一步攻擊的方法和步驟。因此確保端口安全意義重大。

返回第4頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.1.2確保連接安全

遠(yuǎn)程登錄和管理服務(wù)器是系統(tǒng)管理員經(jīng)常要做的工作。遠(yuǎn)程登錄的作用就是讓用戶以模擬終端的方式連接到網(wǎng)絡(luò)上的另一臺(tái)遠(yuǎn)程主機(jī)。一旦登錄成功，用戶就可以在遠(yuǎn)程主機(jī)上執(zhí)行輸入的命令、控制遠(yuǎn)程主機(jī)的運(yùn)行。實(shí)現(xiàn)遠(yuǎn)程連接的工具很多，傳統(tǒng)的工具主要有Telnet、FTP等。但Telnet、FTP本質(zhì)上非常不安全。它們?cè)诰W(wǎng)絡(luò)上以“明文”方式傳遞口令和數(shù)據(jù)，使得有經(jīng)驗(yàn)的黑客可以很容易地通過(guò)劫持一個(gè)會(huì)話來(lái)截獲這些重要信息。需要注意的是：當(dāng)使用r系列程序（如rsh和rlogin）的時(shí)候要考慮和Telnet、FTP相同的安全問(wèn)題。

返回第5頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.1.3確保系統(tǒng)資源安全對(duì)系統(tǒng)的各類(lèi)用戶設(shè)置資源限制可以防止DOS（拒絕服務(wù)攻擊）類(lèi)型的攻擊?？梢栽?etc/security/limits.conf文件中對(duì)用戶使用的內(nèi)存空間、CPU時(shí)間和最大進(jìn)程數(shù)等資源的數(shù)量進(jìn)行設(shè)定.

返回第6頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.1.4確保賬號(hào)、密碼的安全

針對(duì)賬號(hào)和密碼的攻擊是入侵系統(tǒng)的主要手段之一。事實(shí)上，一個(gè)細(xì)心的系統(tǒng)管理員可以避免很多潛在的問(wèn)題，如采用強(qiáng)口令、有效的安全策略、加強(qiáng)與網(wǎng)絡(luò)用戶的溝通，分配適當(dāng)?shù)挠脩魴?quán)限等。密碼安全是系統(tǒng)安全的基礎(chǔ)和核心。由于用戶賬號(hào)、密碼設(shè)置不當(dāng)而引發(fā)的安全問(wèn)題已經(jīng)占整個(gè)系統(tǒng)安全問(wèn)題相當(dāng)大的比重。如果密碼被破解，那么整個(gè)系統(tǒng)基本的安全機(jī)制和防范模式將受到嚴(yán)重危脅。為此用戶需要選擇強(qiáng)壯的密碼。

返回第7頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.1.5系統(tǒng)文件的安全性

給重要文件設(shè)置適當(dāng)?shù)臋?quán)限對(duì)于Linux系統(tǒng)中一些比較重要的文件（如passwd、passwd-、shadow、shadow-、xinetd.conf和resolv.conf等），應(yīng)賦予適當(dāng)?shù)臋?quán)限，以防止被意外修改或惡意破壞。

維護(hù)重要文件的一致性創(chuàng)建用戶時(shí)，通常會(huì)分別在/home目錄下創(chuàng)建以用戶命名的主目錄，在/etc/passwd和shadow文件中按相應(yīng)文件格式寫(xiě)入用戶信息。但有時(shí)系統(tǒng)管理員在刪除用戶時(shí)，只刪除了三項(xiàng)中的某一項(xiàng)或兩項(xiàng)。

返回第8頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.1.6日志文件的安全性

由于操作系統(tǒng)體系結(jié)構(gòu)固有的安全隱患，即使系統(tǒng)管理員采取了各種安全措施，系統(tǒng)還是會(huì)出現(xiàn)一些新的漏洞。有經(jīng)驗(yàn)的攻擊者會(huì)在漏洞被修補(bǔ)之前，迅速抓住機(jī)會(huì)攻破盡可能多的機(jī)器。日志是Linux安全結(jié)構(gòu)中的一個(gè)重要內(nèi)容。日志記錄了用戶對(duì)計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)等設(shè)備所進(jìn)行的操作，同時(shí)還會(huì)記錄網(wǎng)絡(luò)連接情況和時(shí)間信息。

返回第9頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.2Linux下的防火墻配置返回25.2.2RedHat安全級(jí)別設(shè)置25.2.3使用iptable管理防火墻

結(jié)束25.2.1防火墻的基本概念第10頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.2.1防火墻的基本概念防火墻主要基于包過(guò)濾技術(shù)（PacketFilter）。包過(guò)濾技術(shù)一般工作在網(wǎng)絡(luò)層，依據(jù)系統(tǒng)內(nèi)設(shè)置的過(guò)濾規(guī)則（也稱為訪問(wèn)控制表）檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包，并根據(jù)數(shù)據(jù)包的源地址、目的地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)及數(shù)據(jù)包頭中的各種標(biāo)志位等因素來(lái)確定是否允許數(shù)據(jù)包通過(guò)，其核心是安全策略即過(guò)濾算法的設(shè)計(jì)。使用包過(guò)濾技術(shù)可以通過(guò)簡(jiǎn)單地規(guī)定適當(dāng)?shù)亩丝谔?hào)來(lái)達(dá)到阻止或允許一定類(lèi)型的連接的目的，并可進(jìn)一步組成一套數(shù)據(jù)包過(guò)濾規(guī)則。

返回第11頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.2.2RedHat安全級(jí)別設(shè)置

許多專(zhuān)家在配置防火墻時(shí)都遵循“先拒絕所有連接，然后允許某些非常滿足特殊規(guī)則的連接通過(guò)”的原則，這將使所有的數(shù)據(jù)流都必須經(jīng)過(guò)防火墻，最大程度地提高系統(tǒng)的安全性。

返回第12頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.2.3使用iptable管理防火墻

【安全級(jí)別設(shè)置】對(duì)于建立一些簡(jiǎn)單的防火墻規(guī)則（例如，允許從網(wǎng)絡(luò)訪問(wèn)WWW服務(wù)器或FTP服務(wù)器）是很有用的。但更多復(fù)雜的防火墻規(guī)則，如在接口之間轉(zhuǎn)發(fā)數(shù)據(jù)包或進(jìn)行地址偽裝，就只能通過(guò)使用iptables命令來(lái)設(shè)置。

返回第13頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.3入侵檢測(cè)技術(shù)（IDS）返回25.3.1入侵檢測(cè)技術(shù)簡(jiǎn)介25.3.3安裝Snort結(jié)束25.3.4使用Snort25.3.2Snort軟件概述

第14頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.3入侵檢測(cè)技術(shù)（IDS）返回結(jié)束25.3.6配置Snort規(guī)則

25.3.5snort.conf配置文件

第15頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.3.1入侵檢測(cè)技術(shù)簡(jiǎn)介入侵檢測(cè)技術(shù)通過(guò)對(duì)系統(tǒng)或網(wǎng)絡(luò)活動(dòng)的監(jiān)測(cè)，達(dá)到盡可能實(shí)時(shí)地發(fā)現(xiàn)非法入侵的目的。

返回第16頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.3.2Snort軟件概述

Snort（即Snifferandmore）是一個(gè)強(qiáng)大的輕量級(jí)的開(kāi)源IDS，也是數(shù)據(jù)包嗅探器，同時(shí)還是數(shù)據(jù)包記錄器，其作者是MartinRoesch。Snort可以在IP網(wǎng)絡(luò)上進(jìn)行實(shí)時(shí)流量分析和包日志，可以對(duì)包括緩沖器溢出、端口掃描、SMB探測(cè)等多種入侵行為進(jìn)行檢測(cè)。Snort遵循公共許可證GPL，只要遵守GPL的任何組織和個(gè)人都可以自由使用該軟件。

返回第17頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.3.3安裝SnortSnort是基于Libpcap的入侵檢測(cè)系統(tǒng)。Libpcap是一個(gè)針對(duì)Linux或UNIX系統(tǒng)的包捕獲庫(kù)，不僅可以捕獲發(fā)往本地主機(jī)的數(shù)據(jù)包，也可以截獲發(fā)往網(wǎng)絡(luò)上其他主機(jī)的數(shù)據(jù)包，與之功能類(lèi)似的Windows版本為Winpcap?？梢詮南螺dLibpcap的最新軟件包libpcap-0.8.3.tar.gz。可以從/dl/下載最新的Snort源碼包，Snort源碼包分為穩(wěn)定版和開(kāi)發(fā)版，版本號(hào)分別為2.7.1和2.8.0。普通用戶只需下載穩(wěn)定版源碼包snort-.tar.gz。

返回第18頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.3.4使用SnortSnort的命令格式為：snort[-options]<filteroptions>返回第19頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.3.5snort.conf配置文件

snort.conf文件中記錄了每次激活Snort時(shí)的參數(shù)配置。該配置文件較長(zhǎng)，但開(kāi)發(fā)者提供了詳細(xì)的語(yǔ)法和指令說(shuō)明，用戶可以依據(jù)示例完成配置工作。

返回第20頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.3.6配置Snort規(guī)則

Snort規(guī)則是基于文本的，通常按不同的組進(jìn)行分類(lèi)，并存儲(chǔ)在Snort程序目錄或子目錄中。例如，規(guī)則文件dos.rules包含了dos攻擊相關(guān)的規(guī)則。Snort使用自己的規(guī)則語(yǔ)言。這種規(guī)則語(yǔ)言語(yǔ)法相對(duì)簡(jiǎn)單，由規(guī)則頭和規(guī)則體兩部分組成。規(guī)則頭包括規(guī)則行為、協(xié)議、源信息和目的信息等。返回第21頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.4OpenSSH實(shí)現(xiàn)網(wǎng)絡(luò)安全連接返回25.4.1SSH安裝結(jié)束25.4.2啟動(dòng)和停止OpenSSH守護(hù)進(jìn)程

25.4.3配置OpenSSH服務(wù)器25.4.4配置OpenSSH客戶第22頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.4OpenSSH實(shí)現(xiàn)網(wǎng)絡(luò)安全連接返回25.4.5使用ssh客戶端

結(jié)束25.4.6使用scp客戶端

25.4.7.使用sftp客戶端

25.4.8SSHSecureShell訪問(wèn)SSH服務(wù)器

第23頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.4.1SSH安裝RedHatEnterpriseLinux5中自帶了OpenSSH軟件包。要運(yùn)行OpenSSH服務(wù)器，必須首先確定安裝了正確的RPM軟件包。

返回第24頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.4.2啟動(dòng)和停止OpenSSH守護(hù)進(jìn)程

RedHatEnterpriseLinux5在系統(tǒng)啟動(dòng)時(shí)，默認(rèn)啟動(dòng)OpenSSH守護(hù)進(jìn)程——sshd。

返回第25頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.4.3配置OpenSSH服務(wù)器

OpenSSH的守護(hù)進(jìn)程默認(rèn)使用/etc/ssh/sshd_config配置文件。默認(rèn)配置文件足以啟動(dòng)sshd守護(hù)進(jìn)程并允許SSH客戶端連接到服務(wù)器。除此之外，在/etc/ssh目錄中還有一些系統(tǒng)級(jí)配置文件。

返回第26頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.4.4配置OpenSSH客戶

在RedHatEnterpriseLinux5中，OpenSSH默認(rèn)的客戶端配置文件為/etc/ssh/ssh_config。通常ssh_config文件中的默認(rèn)選項(xiàng)適用于大多數(shù)環(huán)境。用戶只需根據(jù)需要，在此基礎(chǔ)上稍做修改即可。

返回第27頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.4.5使用ssh客戶端

ssh是OpenSSH所提供的遠(yuǎn)程連接工具之一，用于登錄到遠(yuǎn)程系統(tǒng)并執(zhí)行命令。它是Telnet、rlogin、rsh的安全替代品，可以在非安全網(wǎng)絡(luò)上的兩臺(tái)主機(jī)之間實(shí)現(xiàn)安全的加密通道。

返回第28頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.4.6使用scp客戶端

scp（securecopy，即安全復(fù)制）是一個(gè)遠(yuǎn)程文件的安全復(fù)制程序。由于scp底層基于SSH，當(dāng)ssh啟動(dòng)時(shí)，scp也會(huì)默認(rèn)啟動(dòng)。

返回第29頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.4.7.使用sftp客戶端

sftp與FTP類(lèi)似，是一個(gè)交互式的文件傳輸程序，由于底層采用了SSH，因此可以在加密通道上完成文件傳輸。

返回第30頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.4.8使用SSHSecureShell訪問(wèn)SSH服務(wù)器

在Windows下采用OpenSSH方式訪問(wèn)SSH服務(wù)器，可以使用Windows下專(zhuān)門(mén)的軟件——SSHSecureShell。

返回第31頁(yè)，共33頁(yè)，2023年，2月20日，星期二25.5計(jì)算機(jī)病毒與防護(hù)返回25.5