1、題目：Linux安全性分析論文關鍵詞Linux系統網絡安全解決方案論文摘要針對Linux系統由于開放其源代碼而導致其系統安全性漏洞增多的現實，在分析Linux系統的不安全因素及漏洞 的基礎上，重點分析提高Linux系統網絡安全應用的措施，同時結合商務的實際應用給出網絡安全解決方案，對于Linux網絡應 用安全防范有參考借鑒的意義。一、Linux的基本特點Linux操作系統支持所有現代操作系統應該具備的功能，包括以下方面：網絡協議、硬盤配額支持、全部的源代碼、國際化的字 體和鍵盤、作業控制、數學協處理器仿真、內存保護、多平臺、多處理器、多用戶、多任務、共享的庫文件、支持多種文件系 統、虛擬控制臺

2、、虛擬內存。其主要特點如下：1）自由軟件，開放源代碼。2）有很好的靈活性。3）它是真正的多用戶、多任務操作系統4）全面支持網絡服務。5）支持中文。6）能同時支持圖形界面和命令行操作。二、Linux系統不安全性分析（1）Linux可以利用啟動盤來啟動，或利用LILO進入單用戶模式，無須使用root 口令而獲得root用戶具有的權限。這是 一個很大的安全問題，因為它使root 口令失去了意義。（2）Linux的口令問題。Linux存放的是用戶口令明文的One Way Hash運算的結果，加上用戶選擇易記口令等因素，容易 采用詞典攻擊，同時用戶遠程登錄時傳送的是口令明文，易于竊聽。（3）SETUID

3、問題。SETUID是為解決某些普通用戶在執行程序時須暫時獲得root特權的程序執行問題，這也是一個很大 的安全隱患。（4）緩沖區溢出問題。當輸入數據超出所分配存儲空間而系統又沒有對此作直接處理時將產生緩沖區溢出問題。（5）掃描工具：對系統進行掃描，檢測主機是否存在安全漏洞，盡管它本身不進行攻擊，但它可以配置成自動攻擊的惡意腳本來進行攻擊。所以要檢查日志文件看端口是否被掃描過，以確保安全。（6）拒絕服務性攻擊：主要是含有虛假源地址的大量包發送到一個或多個主機上，在一個能夠多路廣播的網絡中，將導致 許多主機響應每一個包，結果使整個網絡充滿了包，使系統忙于應付。通常，低速上網的用戶進入到位于高速網絡

4、中的主機， 安裝攻擊性工具，并從這臺主機上發動攻擊。三、加強Linux系統網絡安全的對策分析（一）從系統入手（1）口令管理。對于網絡系統而言，口令是比較容易出問題的地方，作為Linux統管理員應告訴用戶在設置口令時要使用 安全口令并適當增加口令的長度。系統管理員要保護好/etc/shadow文件的安全，不讓無關的人員獲得這個文件。由于破解口令是 一項很耗時間和資源的工作，所以應該使得口令文件難于破解，這樣即使黑客獲取了口令文件也不能輕易破解。（2）用戶帳戶管理。在服務器上擁有一個普通賬號都可以從服務器上獲得大量的有用信息，這些信息都是分析系統漏洞的 重要資料，賬號的口令不應該和用戶名相近，不應

5、該太短或者太容易被猜測，尤其在使用TELNET時用的是明文，可以使用ssh 來加密。盡量不要在服務器上開設過多的賬號，經常對服務器上的賬號進行整理更新，堅決剔除一切不必要的賬號。（二）采用防火墻技術所謂防火墻是指一個能把內部與因特網隔開的屏障，它由計算機硬件和特殊的軟件有機結合而成，使內部計算機網絡與因 特網之間建立起一個安全網關，從而保護內部計算機網絡免受外部非法用戶的入侵。防火墻是阻止非授權用戶進入、離開、穿過網絡或主機系統一種部件或一系列部件，可以采用系統附帶的工具和專用的防火墻 來實現主機系統或網絡安全，通過適當配置可有效地限制、保護系統以及控制局域網范圍內的訪問。防火墻系統一般提供如

6、下 功能:訪問控制、抗攻擊、其他附屬功能。三、采用加密技術加密技術主要是指數據傳輸加密和數據存儲加密數。據傳輸加密技術是對傳輸中的數據流加密，常用的方法有數據線路加 密”和“端-端加密”兩種。前者主要考慮數據在傳輸線路上的安全，而不考慮數據的信源節點與信宿節點；后者則指信息在發送端 自動加密，并進入TCP/IP數據包，然后作為不可閱讀和不可識別的數據穿過因特網，當這些信息一旦到達目的地，將被自動重 組、解密，重新變成為可讀數據。數據存儲加密技術是防止信息在存儲過程中的數據泄密，分為密文存儲和存取控制兩種。四、入侵監測入侵監測通常分為異常、誤用兩種。異常監測通過對系統用戶正常行為建立特征模型，在

7、實際運行中的行為與之比較，來判 斷是否產生異常行為，這種方法可發現未知的入侵方式。誤用監測收集已有的入侵方法建立特征模型，一旦發現實際運行中的 行為與之相符，就認為發現了入侵，這種方法只能發現已知的入侵方式。通常誤用監測要求很高的攻擊經驗，不能發現未知的 攻擊方法，與之相比，異常監測對攻擊經驗要求不是很高，又能發現未知攻擊行為，所以我們選擇異常方式的入侵監測。五、審計模塊審計的對象主要是：利用識別與確證機制如注冊過程，將某個客體引入某個用戶的地址空間，如打開文件，刪除客體，計 算機操作員、系統管理員、系統安全管理員進行的操作。對于每個記錄下來的事件，審計記錄應該能夠識別出：事件發生的日 期與時

8、間，產生這一事件的用戶，事件的類型以及該事件成功與否，事件的主客體的安全等級。六、禁止客體重用客體重用主要有內存客體重用和外存儲設備上的客體重用，對它們作如下處理：（1）禁止內存客體重用：針對內存客體重用的現象，需要在用戶進程申請內存空間時對該空間中的原有信息進行清除，這樣就 使下一個申請到該空間的用戶無法得到上一個用戶的遺留信息。（2）禁止外存儲設備上的客體重用：用戶無法簡單地通過系統分配文件資源來獲得該資源中原有的信息，但可以通過其他手段 直接對磁盤進行存取而繞過文件系統的控制。因此有必要對被釋放的文件所對應的磁盤區域中的信息進行破壞。在文件被刪除 時可在對應的磁盤空間寫入無用信息即可防止

9、外存儲設備上的客體重用。七、基于Linux系統的商務安全解決方案（一）電子商務安全性的漏洞分析電子商務平臺在Linux系統平臺下進行電子網絡交易，除了上述的Linux本身的不安全因素之外，還有一些其他影響因素，增 加了電子商務的安全隱患：（1）電子交易的聯網性，容易遭受黑客的攻擊，致使客戶的帳號、密碼等重要個人信息丟失；（2）電子商務的頻繁性，容易導致系統的數據緩存區溢出，從而增加信息泄漏的可能性；（3）電子商務平臺的JAVA腳本技術容易被攻擊，造成認證欺騙，這也是客戶損失的一大重要原因。（二）Linux網絡應用安全性解決方案分析除了上述的基本的基于L inux系統的網絡安全防范措施外，還可以

10、從以下幾個方面考慮，加強網絡電子商務的安全性（1）加強密鑰的應用。保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。現在，一些專用密鑰 加密和公鑰加密可用來保證電子商務的保密性、完整性、真實性和非否認服務。加密技術的多樣化為人們提供了更多的選擇余 地，但也同時帶來了一個兼容性問題，不同的商家可能會采用不同的標準。另一方面，電子商務認證中心實行網上安全支付是順利開展電子商務的前提，建立安全的認證中心CA）則是電子商務的 中心環節。建立CA的目的是加強數字證書和密鑰的工作，增強網上交易各方的相互信任，提高網上購物和網上交易的安全，控 制交易的風險，從而推動電子商務的發展。（2）推

11、廣數字認證。數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性，甚至數據媒體的有效性。隨 著商家在電子商務中越來越多地使用加密技術，人們都希望有一個可信的第三方，以便對有關數據進行數字認證。目前，數字 認證一般都通過單向Hash函數來實現，它可以驗證交易雙方數據的完整性，Java JDK1.1也能夠支持幾種單向Hash算法，同時， 商家也可以使用PGP（Pretty Good Privacy）技術，它允許利用可信的第三方對密鑰進行控制。可見，數字認證技術將具有廣闊 的應用前景，它將直接影響電子商務的發展。五、結語要保證L inux系統和網絡安全，系統管理員必須綜合利用它提供的各種安全工具和技術，制定合理有效的安全策略，有效的安全策略應在安全、安全效益和本單位實際的安全需求之間實現平衡，在實際應用中制訂嚴格的安全管理措施，按照安全管理 措施和安全策