基于Linux系統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)安全管理與攻防對策

王承毅

摘 要：Linux系統(tǒng)的研發(fā)與應(yīng)用，為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)發(fā)展帶來新的機(jī)遇與挑戰(zhàn)。Linux系統(tǒng)內(nèi)部開源型、自由型的運(yùn)營模式為計(jì)算機(jī)設(shè)備與網(wǎng)絡(luò)系統(tǒng)搭建對接平臺，以保證操作人員可通過系統(tǒng)來對網(wǎng)絡(luò)資源進(jìn)行定向搜查。但從網(wǎng)絡(luò)運(yùn)營體系來講，安全風(fēng)險(xiǎn)問題一直是技術(shù)人員的攻克難點(diǎn)，網(wǎng)絡(luò)信息的動態(tài)化運(yùn)行將嚴(yán)重增加網(wǎng)絡(luò)安全體系的防控負(fù)擔(dān)，令計(jì)算機(jī)使用者面臨數(shù)據(jù)信息泄漏的風(fēng)險(xiǎn)。基于此，本文以Linux系統(tǒng)為出發(fā)點(diǎn)，指出計(jì)算機(jī)網(wǎng)絡(luò)安全管理中存在的問題，并對網(wǎng)絡(luò)體系下的攻防對策進(jìn)行深度分析。

關(guān)鍵詞：Linux系統(tǒng);計(jì)算機(jī)網(wǎng)絡(luò);安全管理;攻防對策

中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A文章編號：1003-5168（2019）29-0032-03

Computer Network Security Management and Attack and

Defense Countermeasures Based on Linux System

WANG Chengyi

（School of Science， Jiangsu University of Science and Technology，Zhenjiang Jiangsu 212003）

Abstract： The development and application of Linux system brings new opportunities and challenges for the development of computer network system. The open source and free operation mode of Linux system establishes a docking platform for computer equipment and network system， so as to ensure that operators can conduct directional search on network resources through the system. However， from the perspective of network operation system， security risk has always been a difficult problem for technicians to overcome， the dynamic operation of network information will seriously increase the prevention and control burden of the network security system， causing computer users to face the risk of data information leakage. Based on this， this paper took Linux system as the starting point， pointed out the problems existing in the computer network security management， and made an in-depth analysis of the attack and defense countermeasures under the network system.

Keywords： Linux system;computer networks;safety management;offensive and defensive strategies

Linux作為一種開放式、免費(fèi)式的操作系統(tǒng)，依托于系統(tǒng)內(nèi)的穩(wěn)定性、安全性、荷載性和資源利用性等，在行業(yè)市場中占據(jù)較大的份額[1，2]。在Linux系統(tǒng)的實(shí)際應(yīng)用過程中，用戶可在網(wǎng)絡(luò)上查找到系統(tǒng)自身的運(yùn)行程序、數(shù)字化工具等，如halt、shutdown、init和reboot等指令。此等共享資源為用戶對Linux系統(tǒng)的操控提供一定的便利，但同時(shí)也為黑客提供攻擊渠道。黑客通過服務(wù)響應(yīng)攻擊、密碼破解攻擊、溢出攻擊、IP地址隱藏攻擊等，可對Linux系統(tǒng)進(jìn)行大范圍攻擊，對用戶的數(shù)據(jù)信息資源造成嚴(yán)重威脅。為此，技術(shù)人員應(yīng)積極研發(fā)有效的防控技術(shù)，為用戶本身提供信息安全保障。

1 Linux系統(tǒng)特性論述

Linux作為Unix操作系統(tǒng)的運(yùn)行平臺，其內(nèi)控中心為宏內(nèi)核，對于當(dāng)前主流操控系統(tǒng)的混合內(nèi)核來講，宏內(nèi)核框架以其簡化式信息處理形式維系市場上的受眾比。在發(fā)展過程中，Linux系統(tǒng)依托Unix操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、GNU計(jì)劃等來實(shí)現(xiàn)運(yùn)營。在運(yùn)行過程中，操作系統(tǒng)內(nèi)控程序之間的響應(yīng)時(shí)間以毫秒為單位，在高速處理模塊的支持下，可令系統(tǒng)完成任務(wù)調(diào)度、抽象化管理等。Linux系統(tǒng)支持32位、64位的硬件，在數(shù)據(jù)信息化的影響，Linux系統(tǒng)也對自身的結(jié)構(gòu)框架進(jìn)行優(yōu)化，以確保系統(tǒng)可對數(shù)據(jù)信息進(jìn)行高效率處理，令依托于數(shù)據(jù)信息運(yùn)營的內(nèi)控系統(tǒng)不會出現(xiàn)崩潰現(xiàn)象。Linux系統(tǒng)經(jīng)過1.0、2.0、2.4、2.6的換代升級，具備更優(yōu)質(zhì)的操控服務(wù)，在網(wǎng)絡(luò)用戶優(yōu)化的條件下，系統(tǒng)流暢度、操控度得到極大的提升，內(nèi)核式系統(tǒng)迎來更多的用戶。

Linux系統(tǒng)在運(yùn)行過程中可支持多用戶端操控，其內(nèi)部模塊化處理形式令各用戶之間的操控行為不會受到影響[3-5]。同時(shí)，系統(tǒng)內(nèi)部的個(gè)性化設(shè)置模塊可令用戶通過參數(shù)設(shè)定來滿足自身閱讀需求，在多線程網(wǎng)絡(luò)計(jì)算模式下，可精準(zhǔn)地執(zhí)行用戶指令，以提升問題的解決效率。

Linux系統(tǒng)具備很高的穩(wěn)定性和安全性，其系統(tǒng)內(nèi)部的用戶賬號信息是以數(shù)據(jù)節(jié)點(diǎn)形式進(jìn)行存儲的，為用戶信息提供安全防護(hù)體系。在Linux系統(tǒng)中，用戶與密碼是分開存儲的，用戶名在passwd文件中，而密碼則是在shadow文件中。shadow文件是由操控系統(tǒng)直接保護(hù)的，在非計(jì)算機(jī)用戶進(jìn)行讀取時(shí)，如果密碼指令輸入不正確，將無法令shadow文件進(jìn)行響應(yīng)。此外，Linux系統(tǒng)內(nèi)的文件權(quán)限一般分為三個(gè)階段，即用戶組、定義文件、使用權(quán)限，通過對計(jì)算機(jī)用戶信息進(jìn)行多維度分析，當(dāng)系統(tǒng)身份認(rèn)證成功后，系統(tǒng)才可正確執(zhí)行用戶指令操控。

2 Linux系統(tǒng)下的計(jì)算機(jī)網(wǎng)絡(luò)安全問題

2.1 服務(wù)響應(yīng)攻擊

服務(wù)響應(yīng)攻擊是黑客慣用的一種攻擊形式，其通過破壞用戶獲取信息資源的對接通道，令網(wǎng)絡(luò)服務(wù)體系處于無法運(yùn)行狀態(tài)，令Linux系統(tǒng)無法對用戶的指令行為進(jìn)行反饋與操作，進(jìn)而使用戶無法接受到系統(tǒng)給予的服務(wù)[6]。例如，黑客在進(jìn)行網(wǎng)絡(luò)攻擊時(shí)，可通過源地址的偽造、控制多臺計(jì)算機(jī)等形式，對目標(biāo)用戶傳輸大量的數(shù)據(jù)指令請求，當(dāng)請求協(xié)議超出系統(tǒng)自身的運(yùn)行能力時(shí)，服務(wù)器將無法運(yùn)行。從服務(wù)響應(yīng)攻擊手段來看，其一般分為簡單型、DNS型、FTP型等攻擊模式，此類攻擊是由網(wǎng)絡(luò)協(xié)議傳輸為出發(fā)點(diǎn)進(jìn)行網(wǎng)絡(luò)干擾的，其可對網(wǎng)絡(luò)體系中的協(xié)議層進(jìn)行多角度攻擊，但從安全系數(shù)來看，服務(wù)響應(yīng)攻擊屬于低級攻擊范圍。

2.2 密碼破解攻擊

密碼破解攻擊是指對用戶操控系統(tǒng)的密碼進(jìn)行破解，再以用戶的身份登錄電腦，以獲取系統(tǒng)內(nèi)的加密資源。計(jì)算機(jī)系統(tǒng)的密碼設(shè)定是用戶個(gè)人信息的基礎(chǔ)保障體系，用戶通過設(shè)定相應(yīng)的登錄密碼來與系統(tǒng)建立對接操控途徑，密碼設(shè)置分為三個(gè)安全等級，低級密碼為簡單的數(shù)字組合，中級密碼為數(shù)字、字母組合，而高級密碼則為符號、數(shù)字、密碼組合。大部分用戶設(shè)定密碼時(shí)，一般以簡單的數(shù)字組合為主，且電腦用戶登錄界面設(shè)定一般為記住密碼形式。黑客在對用戶密碼進(jìn)行破解時(shí)則以密碼中蘊(yùn)含的字節(jié)為主，通過界定攻擊形式、混合攻擊形式、字典攻擊形式等，對用戶密碼進(jìn)行逐層破譯。黑客在利用程序攻擊時(shí)主要對各類密碼組合與用戶登錄程序點(diǎn)進(jìn)行單項(xiàng)連接，以此來對密碼進(jìn)行驗(yàn)證。

2.3 溢出攻擊

溢出攻擊形式是在網(wǎng)絡(luò)信息傳輸?shù)木彌_區(qū)對字節(jié)進(jìn)行攻擊，在數(shù)據(jù)信息運(yùn)行過程中，字符串內(nèi)的毗鄰單元將形成單元存儲空間，如攻擊者對某一字符段進(jìn)行覆蓋，則嚴(yán)重降低系統(tǒng)的容錯(cuò)性，導(dǎo)致系統(tǒng)對覆蓋區(qū)域的字節(jié)無法進(jìn)行識別，令系統(tǒng)面臨著死機(jī)的風(fēng)險(xiǎn)。

2.4 IP地址隱藏攻擊

IP地址隱藏攻擊是以傳輸協(xié)議的不可逆工作機(jī)理為漏洞，利用偽造的IP地址對協(xié)議進(jìn)行存儲。黑客在攻擊過程中通過同等計(jì)算機(jī)設(shè)備的覆蓋功能，利用已有的計(jì)算機(jī)替代另一臺計(jì)算機(jī)設(shè)備，在IP地址的定向偽造下，令協(xié)議傳輸通過相應(yīng)的數(shù)據(jù)查詢，以此來令計(jì)算機(jī)設(shè)備實(shí)現(xiàn)同步處理。在此類攻擊模式下，可對原有計(jì)算機(jī)設(shè)備上的密碼指令進(jìn)行復(fù)制，并通過另一臺計(jì)算機(jī)設(shè)備進(jìn)行遠(yuǎn)程操控，當(dāng)原有密碼指令被破解后，遠(yuǎn)程操控的計(jì)算機(jī)在登錄界面時(shí)無需經(jīng)過密碼驗(yàn)證。

2.5 監(jiān)聽攻擊

監(jiān)聽攻擊是指黑客對局域網(wǎng)絡(luò)體系下的計(jì)算機(jī)設(shè)備進(jìn)行登錄，取得該計(jì)算機(jī)設(shè)備的各項(xiàng)用戶權(quán)益，然后控制計(jì)算機(jī)設(shè)備施行監(jiān)聽形式，以對各類敏感信息資源進(jìn)行盜取。

2.6 誘導(dǎo)式攻擊

誘導(dǎo)式攻擊是指通過認(rèn)證界面來對用戶進(jìn)行信息指令傳輸。黑客將攻擊行為偽裝成公司、服務(wù)商、技術(shù)類客服等，向計(jì)算機(jī)設(shè)備發(fā)出呼叫，如用戶接受呼叫時(shí)，則黑客通過言語引導(dǎo)，令用戶填寫密碼。除此之外，用戶還會通過郵件的形式向用戶索取密碼，如用戶不具備辨識能力，對自身系統(tǒng)的指令密碼進(jìn)行填寫，在黑客獲取密碼時(shí)，將自動切斷用戶與系統(tǒng)之間的聯(lián)系，然后進(jìn)入計(jì)算機(jī)設(shè)備中對信息資源進(jìn)行盜取。

3 Linux系統(tǒng)下的計(jì)算機(jī)網(wǎng)絡(luò)安全防范措施

3.1 用戶安全防護(hù)體系

為進(jìn)一步加強(qiáng)Linux系統(tǒng)的安全性能，用戶體系應(yīng)作為首要防護(hù)任務(wù)。在對自身系統(tǒng)進(jìn)行密碼設(shè)定時(shí)，用戶應(yīng)對Linux系統(tǒng)內(nèi)的root權(quán)限進(jìn)行合理設(shè)定，由于root本身是超級用戶的一種，其每一項(xiàng)管理行為均代表著程序執(zhí)行的必然性。為此，在設(shè)定root權(quán)限指令時(shí)，應(yīng)嚴(yán)格按照相應(yīng)的指令進(jìn)行設(shè)定，此外，用戶應(yīng)避免在不同計(jì)算機(jī)下登錄自身特有的服務(wù)器。

Linux系統(tǒng)對用戶進(jìn)行定義時(shí)，同一系統(tǒng)內(nèi)的不同用戶建立網(wǎng)絡(luò)地址，系統(tǒng)管理員應(yīng)對該類用戶進(jìn)行模塊設(shè)定，對此類用戶開放相應(yīng)的權(quán)限功能，并依據(jù)用戶的功能來正確劃分組項(xiàng)。在設(shè)定權(quán)限時(shí)，應(yīng)賦予用戶ftp權(quán)限，以此來將賬號登錄設(shè)定進(jìn)行隔離，并將系統(tǒng)內(nèi)的文件信息查詢記錄轉(zhuǎn)移到系統(tǒng)的secure文件中，管理人員將定期查詢文件內(nèi)的數(shù)據(jù)信息，如發(fā)現(xiàn)可疑文件，應(yīng)及時(shí)處理。在對密碼進(jìn)行存儲設(shè)置時(shí)，計(jì)算機(jī)用戶應(yīng)適當(dāng)增加密碼難度，可采用數(shù)字、字母、符號組合的形式對密碼進(jìn)行設(shè)定。與此同時(shí)，系統(tǒng)管理員應(yīng)對用戶名文件夾passwd、密碼文件夾shadow進(jìn)行權(quán)限設(shè)定，禁止無關(guān)人員對此類文件進(jìn)行查探。此種方法的設(shè)定可對用戶密碼口令進(jìn)行隱藏，令黑客找不到相應(yīng)的攻擊切入點(diǎn)。此外，系統(tǒng)管理人員應(yīng)不定期模仿黑客的攻擊手段，對passwd、shadow文件進(jìn)行定向攻擊，如發(fā)現(xiàn)攻擊難度降低，應(yīng)及時(shí)對密碼進(jìn)行修改。

3.2 文件安全防護(hù)體系

建立文件安全防護(hù)體系主要是對系統(tǒng)中的重要文件進(jìn)行加密與權(quán)限設(shè)定。在加密過程中，通過key程序產(chǎn)生密鑰，然后將文件所對應(yīng)的公鑰定向傳輸?shù)较到y(tǒng)用戶端手中，當(dāng)用戶下載完指定類文件時(shí)，系統(tǒng)將依據(jù)反饋指令信息來進(jìn)行私鑰解密，以此來防止黑客利用字節(jié)進(jìn)行覆蓋式攻擊。在權(quán)限設(shè)定過程中，利用chgrp指令對文件的閱讀模式進(jìn)行設(shè)定，當(dāng)文件傳輸?shù)接脩舳藭r(shí)，用戶依據(jù)文件權(quán)限參數(shù)的設(shè)定，對其中某一部分內(nèi)容進(jìn)行瀏覽，以增強(qiáng)文件讀取的安全性。

3.3 系統(tǒng)安全防護(hù)體系

系統(tǒng)安全防護(hù)體系的設(shè)定一般以內(nèi)部服務(wù)漏洞、網(wǎng)絡(luò)協(xié)議傳輸、日志文件等為主，以此來為Linux系統(tǒng)建立合理的安全保障機(jī)制。

3.3.1 系統(tǒng)防火墻設(shè)定。在Linux系統(tǒng)運(yùn)行的過程中，其開源式的工作機(jī)理增加網(wǎng)絡(luò)協(xié)議傳輸?shù)耐该餍?，為此，防火墻的設(shè)定則是對網(wǎng)絡(luò)安全體系進(jìn)行安全防護(hù)，令數(shù)據(jù)信息的傳輸點(diǎn)進(jìn)行隱蔽，以防止非授權(quán)訪問對系統(tǒng)帶來的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)防火墻的設(shè)定可作為Linux系統(tǒng)的第一道安全屏障，其內(nèi)部協(xié)議的定向阻斷模式可對軟件中存在的運(yùn)行漏洞進(jìn)行填補(bǔ)，為用戶的各項(xiàng)操作行為提供安全保障。

3.3.2 服務(wù)簡化。在Linux系統(tǒng)安裝初期，內(nèi)部自設(shè)定程序包含較多的網(wǎng)絡(luò)服務(wù)，服務(wù)端口過多，將增加信息泄露的風(fēng)險(xiǎn)。為此，用戶在對Linux系統(tǒng)進(jìn)行清理時(shí)，應(yīng)查看系統(tǒng)內(nèi)的inetd文件夾，并將文件夾中含有的各類信息與系統(tǒng)運(yùn)行模式進(jìn)行比對。當(dāng)文件夾內(nèi)的程序處于閑置狀態(tài)時(shí)，應(yīng)對此類服務(wù)內(nèi)容進(jìn)行刪除處理，以便簡化系統(tǒng)，提升系統(tǒng)運(yùn)營質(zhì)量。

3.3.3 利用日志文件對系統(tǒng)進(jìn)行清查。在Linux系統(tǒng)運(yùn)行的過程中，管理人員應(yīng)對系統(tǒng)內(nèi)產(chǎn)生的日志文件進(jìn)行記錄與分析，例如，對文件產(chǎn)生的時(shí)間進(jìn)行維度定位，并對歷史登錄信息、注銷時(shí)間等進(jìn)行聯(lián)動確認(rèn)，然后依據(jù)文件的參數(shù)基準(zhǔn)對各項(xiàng)信息行為進(jìn)行驗(yàn)證，以此來提高Linux系統(tǒng)的運(yùn)行質(zhì)量。

4 結(jié)語

本文論述了Linux系統(tǒng)特性，指出Linux系統(tǒng)下的計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全問題，并給予解決策略。通過用戶安全防護(hù)體系、文件安全防護(hù)體系、系統(tǒng)安全防護(hù)體系的建設(shè)，人們可以為Linux系統(tǒng)建立多維化防控體系，以最大限度地規(guī)避安全風(fēng)險(xiǎn)。在未來的發(fā)展過程中，技術(shù)研發(fā)人員可制定出智能化、自動化的網(wǎng)絡(luò)監(jiān)管技術(shù)，以此來凈化網(wǎng)絡(luò)空間，為用戶數(shù)據(jù)信息的安全提供基礎(chǔ)保障。

參考文獻(xiàn)：

[1]孫泉，姚連瑞.基于計(jì)算機(jī)網(wǎng)絡(luò)信息安全中虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用研究[J].計(jì)算機(jī)產(chǎn)品與流通，2019（10）：71.

[2]李雙林.局域網(wǎng)環(huán)境下計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)技術(shù)應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2019（10）：7-8.

[3]于曉飛.新環(huán)境下的計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防火墻技術(shù)應(yīng)用研究[J].職業(yè)，2019（28）：122-123.

[4]呂志軍.淺析計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略[J].計(jì)算機(jī)產(chǎn)品與流通，2019（8）：59.

[5]李球真.計(jì)算機(jī)網(wǎng)絡(luò)信息安全中虛擬專用網(wǎng)絡(luò)技術(shù)應(yīng)用研究[J].科技資訊，2019（23）：13.

[6]余韜.大數(shù)據(jù)背景下計(jì)算機(jī)網(wǎng)絡(luò)信息安全問題及對策研究[J].現(xiàn)代經(jīng)濟(jì)信息，2019（14）：361.