慎用Telnet服務

 

　　在Linux下，用Telnet進行遠程登錄時，用戶名和用戶密碼是明文傳輸?shù)模�這就有可能被在網(wǎng)上監(jiān)聽的其他用戶截獲。另一個危險是黑客可以利用Telnet登入系統(tǒng)，如果他又獲取了超級用戶密碼，則對系統(tǒng)的危害將是災難性的。因此，如果不是特別需要，不要開放Telnet服務。如果一定要開放Telnet服務，應該要求用戶用特殊的工具軟件進行遠程登錄，這樣就可以在網(wǎng)上傳送加密過的用戶密碼，以免密碼在傳輸過程中被黑客截獲。

 

　　合理設置NFS服務和NIS服務

 

　　NFS(NetworkFileSystem)服務，允許工作站通過網(wǎng)絡共享一個或多個服務器輸出的文件系統(tǒng)。但對于配置得不好的NFS服務器來講，用戶不經(jīng)登錄就可以閱讀或者更改存儲在NFS服務器上的文件，使得NFS服務器很容易受到攻擊。如果一定要提供NFS服務，要確保基于Linux的NFS服務器支持SecureRPC(SecureRemoteProcedureCall)，以便利用DES(DataEncryptionStandard)加密算法和指數(shù)密鑰交換(ExponentialKeyExchange)技術驗證每個NFS請求的用戶身份。

 

　　NIS(NetworkInformationSystem)服務，是一個分布式數(shù)據(jù)處理系統(tǒng)，它使網(wǎng)絡中的計算機通過網(wǎng)絡共享passwd文件，group文件，主機表文件和其他共享的系統(tǒng)資源。通過NIS服務和NFS服務，在整個網(wǎng)絡中的各個工作站上操作網(wǎng)絡中的數(shù)據(jù)就像在操作和使用單個計算機系統(tǒng)中的資源一樣，并且這種操作過程對用戶是透明的。但是NIS服務也有漏洞，在NIS系統(tǒng)中，不懷好意的用戶可以利用自己編寫的程序來模仿Linux系統(tǒng)中的ypserv響應ypbind的請求，從而截獲用戶的密碼。因此，NIS的用戶一定要使用ypbind的secure選項，并且不接受端口號小于1024(非特權端口)的ypserv響應。

 

　　小心配置FTP服務

 

　　FTP服務與前面講的Telnet服務一樣，用戶名和用戶密碼也是明文傳輸?shù)摹Ｒ虼耍瑸榱讼到y(tǒng)的安全，必須通過對/etc/ftpusers文件的配置，禁止root，bin，daemon，adm等特殊用戶對FTP服務器進行遠程訪問，通過對/etc/ftphosts的設定限制某些主機不能連入FTP服務器，如果系統(tǒng)開放匿名FTP服務，則任何人都可以下載文件(有時還可以上載文件)，因此，除非特別需要一般應禁止匿名FTP服務。

 

　　合理設置POP-3和Sendmail等電子郵件服務

 

　　對一般的POP-3服務來講，電子郵件用戶的口令是按明文方式傳送到網(wǎng)絡中的，黑客可以很容易截獲用戶名和用戶密碼。要想解決這個問題，必須安裝支持加密傳送密碼的POP-3服務器(即支持AuthenticatedPOP命令)，這樣用戶在往網(wǎng)絡中傳送密碼之前，可以先對密碼加密。

 

　　老版本的Sendmail郵件服務器程序存在安全隱患，為了確保郵件服務器的安全，應盡可能安裝已消除安全隱患的最新版的Sendmail服務器軟件。

 

　　加強對WWW服務器的管理，提供安全的WWW服務

 

　　當一個基于Linux系統(tǒng)的網(wǎng)站建立好之后，絕大部分用戶是通過Web服務器，利用WWW瀏覽器對網(wǎng)絡進行訪問的，因此必須特別重視Web服務器的安全，無論采用哪種基于HTTP協(xié)議的Web服務器軟件，都要特別關注CGI腳本(CommonGatewayInterface)，這些CGI腳本是可執(zhí)行程序，一般存放在Web服務器的CGI-BIN目錄下面，在配置Web服務器時，要保證CGI可執(zhí)行腳本只存放于CGI-BIN目錄中，這樣可以保證腳本的安全，且不會影響到其他目錄的安全。

 

　　最好禁止提供finger服務

 

　　在Linux系統(tǒng)下，使用finger命令，可以顯示本地或遠程系統(tǒng)中目前已登錄用戶的詳細信息，黑客可以利用這些信息，增大侵入系統(tǒng)的機會。為了系統(tǒng)的安全，最好禁止提供finger服務，即從/usr/bin下刪除finger命令。如果要保留finger服務，應將finger文件換名，或修改權限為只允許root用戶執(zhí)行finger命令。

 

　　Linux網(wǎng)絡服務安全的總結

 

　　由于Linux操作系統(tǒng)使用廣泛，又公開了源碼，因此是被廣大計算機用戶研究得最徹底的操作系統(tǒng)，而Linux本身的配置又相當?shù)膹碗s，按照前面的安全策略和保護機制，可以將系統(tǒng)的風險降到最低，但不可能徹底消除安全漏洞。

 

　　Linux網(wǎng)絡服務器的管理工具就向大家介紹完了，希望大家已經(jīng)掌握，另外，作為Linux系統(tǒng)的管理員，頭腦中一定要有安全防范意識，定期對系統(tǒng)進行安全檢查，發(fā)現(xiàn)漏洞要立即采取措施，不給黑客以可乘之機。