慎用Telnet服務(wù)

 

　　在Linux下，用Telnet進(jìn)行遠(yuǎn)程登錄時，用戶名和用戶密碼是明文傳輸?shù)�，這就有可能被在網(wǎng)上監(jiān)聽的其他用戶截獲。另一個危險是黑客可以利用Telnet登入系統(tǒng)，如果他又獲取了超級用戶密碼，則對系統(tǒng)的危害將是災(zāi)難性的。因此，如果不是特別需要，不要開放Telnet服務(wù)。如果一定要開放Telnet服務(wù)，應(yīng)該要求用戶用特殊的工具軟件進(jìn)行遠(yuǎn)程登錄，這樣就可以在網(wǎng)上傳送加密過的用戶密碼，以免密碼在傳輸過程中被黑客截獲。

 

　　合理設(shè)置NFS服務(wù)和NIS服務(wù)

 

　　NFS(NetworkFileSystem)服務(wù)，允許工作站通過網(wǎng)絡(luò)共享一個或多個服務(wù)器輸出的文件系統(tǒng)。但對于配置得不好的NFS服務(wù)器來講，用戶不經(jīng)登錄就可以閱讀或者更改存儲在NFS服務(wù)器上的文件，使得NFS服務(wù)器很容易受到攻擊。如果一定要提供NFS服務(wù)，要確保基于Linux的NFS服務(wù)器支持SecureRPC(SecureRemoteProcedureCall)，以便利用DES(DataEncryptionStandard)加密算法和指數(shù)密鑰交換(ExponentialKeyExchange)技術(shù)驗(yàn)證每個NFS請求的用戶身份。

 

　　NIS(NetworkInformationSystem)服務(wù)，是一個分布式數(shù)據(jù)處理系統(tǒng)，它使網(wǎng)絡(luò)中的計算機(jī)通過網(wǎng)絡(luò)共享passwd文件，group文件，主機(jī)表文件和其他共享的系統(tǒng)資源。通過NIS服務(wù)和NFS服務(wù)，在整個網(wǎng)絡(luò)中的各個工作站上操作網(wǎng)絡(luò)中的數(shù)據(jù)就像在操作和使用單個計算機(jī)系統(tǒng)中的資源一樣，并且這種操作過程對用戶是透明的。但是NIS服務(wù)也有漏洞，在NIS系統(tǒng)中，不懷好意的用戶可以利用自己編寫的程序來模仿Linux系統(tǒng)中的ypserv響應(yīng)ypbind的請求，從而截獲用戶的密碼。因此，NIS的用戶一定要使用ypbind的secure選項，并且不接受端口號小于1024(非特權(quán)端口)的ypserv響應(yīng)。

 

　　小心配置FTP服務(wù)

 

　　FTP服務(wù)與前面講的Telnet服務(wù)一樣，用戶名和用戶密碼也是明文傳輸?shù)摹Ｒ虼�，為了系統(tǒng)的安全，必須通過對/etc/ftpusers文件的配置，禁止root，bin，daemon，adm等特殊用戶對FTP服務(wù)器進(jìn)行遠(yuǎn)程訪問，通過對/etc/ftphosts的設(shè)定限制某些主機(jī)不能連入FTP服務(wù)器，如果系統(tǒng)開放匿名FTP服務(wù)，則任何人都可以下載文件(有時還可以上載文件)，因此，除非特別需要一般應(yīng)禁止匿名FTP服務(wù)。

 

　　合理設(shè)置POP-3和Sendmail等電子郵件服務(wù)

 

　　對一般的POP-3服務(wù)來講，電子郵件用戶的口令是按明文方式傳送到網(wǎng)絡(luò)中的，黑客可以很容易截獲用戶名和用戶密碼。要想解決這個問題，必須安裝支持加密傳送密碼的POP-3服務(wù)器(即支持AuthenticatedPOP命令)，這樣用戶在往網(wǎng)絡(luò)中傳送密碼之前，可以先對密碼加密。

 

　　老版本的Sendmail郵件服務(wù)器程序存在安全隱患，為了確保郵件服務(wù)器的安全，應(yīng)盡可能安裝已消除安全隱患的最新版的Sendmail服務(wù)器軟件。

 

　　加強(qiáng)對WWW服務(wù)器的管理，提供安全的WWW服務(wù)

 

　　當(dāng)一個基于Linux系統(tǒng)的網(wǎng)站建立好之后，絕大部分用戶是通過Web服務(wù)器，利用WWW瀏覽器對網(wǎng)絡(luò)進(jìn)行訪問的，因此必須特別重視Web服務(wù)器的安全，無論采用哪種基于HTTP協(xié)議的Web服務(wù)器軟件，都要特別關(guān)注CGI腳本(CommonGatewayInterface)，這些CGI腳本是可執(zhí)行程序，一般存放在Web服務(wù)器的CGI-BIN目錄下面，在配置Web服務(wù)器時，要保證CGI可執(zhí)行腳本只存放于CGI-BIN目錄中，這樣可以保證腳本的安全，且不會影響到其他目錄的安全。

 

　　最好禁止提供finger服務(wù)

 

　　在Linux系統(tǒng)下，使用finger命令，可以顯示本地或遠(yuǎn)程系統(tǒng)中目前已登錄用戶的詳細(xì)信息，黑客可以利用這些信息，增大侵入系統(tǒng)的機(jī)會。為了系統(tǒng)的安全，最好禁止提供finger服務(wù)，即從/usr/bin下刪除finger命令。如果要保留finger服務(wù)，應(yīng)將finger文件換名，或修改權(quán)限為只允許root用戶執(zhí)行finger命令。

 

　　Linux網(wǎng)絡(luò)服務(wù)安全的總結(jié)

 

　　由于Linux操作系統(tǒng)使用廣泛，又公開了源碼，因此是被廣大計算機(jī)用戶研究得最徹底的操作系統(tǒng)，而Linux本身的配置又相當(dāng)?shù)膹?fù)雜，按照前面的安全策略和保護(hù)機(jī)制，可以將系統(tǒng)的風(fēng)險降到最低，但不可能徹底消除安全漏洞。

 

　　Linux網(wǎng)絡(luò)服務(wù)器的管理工具就向大家介紹完了，希望大家已經(jīng)掌握，另外，作為Linux系統(tǒng)的管理員，頭腦中一定要有安全防范意識，定期對系統(tǒng)進(jìn)行安全檢查，發(fā)現(xiàn)漏洞要立即采取措施，不給黑客以可乘之機(jī)。