資源描述:
《鳥哥的linux私房菜 鳥哥的 linux 私房菜----認識網(wǎng)絡(luò)安全》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1、鳥哥的linux私房菜鳥哥的Linux私房菜----認識網(wǎng)絡(luò)安全鳥哥的Linux私房菜為取得較佳瀏覽結(jié)果��,請愛用firefox瀏覽本網(wǎng)頁
2�、繁體主站
3、簡體主站
4����、基礎(chǔ)篇
5、服務(wù)器
6�、企業(yè)應(yīng)用
7、桌面應(yīng)用
8����、安全管理
9、討論板
10���、酷學園
11�、書籍戡誤
12、鳥哥我
13���、昆山資傳
14����、認識網(wǎng)絡(luò)安全切換分辨率為800x600最近更新日期:2006/09/06本文已不再維護��,更新文章請參考這里在介紹了『網(wǎng)絡(luò)基礎(chǔ)』����、『限制聯(lián)機portnumber』、『網(wǎng)絡(luò)升級套件』之后��,再來準備要上Internet了嗎���?����!如果只是想要上Internet去瀏覽��,那么自然沒有問題�,如果是想要對Internet開放網(wǎng)絡(luò)服務(wù)����,那么最好還是先認
15���、識一下網(wǎng)絡(luò)安全會比較好一些。什么��?套件也更新了���,port37也關(guān)閉了����,還需要認識什么網(wǎng)絡(luò)安全?����?����?���!呵呵����!當然啦!因為難保我們的主機不會被新的套件漏洞以及阻斷式攻擊(DoS)所困擾?���。≡谶@個章節(jié)里面����,我們會稍微介紹一些基礎(chǔ)的網(wǎng)絡(luò)防護觀念,尤其是系統(tǒng)管理員應(yīng)該要做的事情吶�!1.網(wǎng)絡(luò)封包聯(lián)機進入主機的流程1.1封包進入主機的流程1.2主機能作的保護:權(quán)限設(shè)定、套件更新�����、SELinux2.主機的細部權(quán)限規(guī)劃:ACL的使用2.1什么是ACL��?2.2如何啟動ACL���?2.3ACL的設(shè)定技巧:getfacl,setfacl3.一些常見的攻擊手法與主機的保護方式4.被入侵后的修復(fù)工作4.1網(wǎng)管
16�����、人員的額外技巧與任務(wù)4.2入侵恢復(fù)工作5.重點回顧6.課后練習7.參考數(shù)據(jù)8.37針對本文的建議:http://phorum.vbird.org/viewtopic.php?p=網(wǎng)絡(luò)封包聯(lián)機進入主機的流程在這一章當中�����,我們要討論的是��,當來自一個網(wǎng)絡(luò)上的聯(lián)機要求想進入我們的主機時�,這個網(wǎng)絡(luò)封包在進入主機實際取得數(shù)據(jù)的整個流程是如何����?了解了整個流程之后,你才會發(fā)現(xiàn):原來系統(tǒng)操作的基本概念是如此的重要��!而你也才會了解要如何保護你的主機安全吶����!閑話少說,咱們趕緊來瞧一瞧先�����。封包進入主機的流程在網(wǎng)絡(luò)基礎(chǔ)章節(jié)當中我們談到過目前的網(wǎng)絡(luò)架構(gòu)主要是TCP/IP為主����,而絕大部分的網(wǎng)絡(luò)聯(lián)機是雙向的
17、�,其中又以TCP封包為代表。另外��,根據(jù)Server/Client的聯(lián)機方向與TCP/IP的概念,我們會知道建立一條可靠的網(wǎng)絡(luò)聯(lián)機需要一組SocketPair的輔助��,亦即成對的來源與目標之IP與port啰����,以使聯(lián)機的兩端可以順利的連接到相對的應(yīng)用軟件上。上面談到的這些都是屬于網(wǎng)絡(luò)的基礎(chǔ)概念��,在這里我們要談的是�,那么要讓這個TCP封包順利的進入到Linux主機上,然后使用port所對應(yīng)的軟件來存取系統(tǒng)的文件系統(tǒng)資源時����,還得要經(jīng)過哪些關(guān)卡呢?舉例來說�,如果你的Linux主機有開啟WWW的port80網(wǎng)絡(luò)服務(wù),而port80是由一個名稱為httpd的程序所啟動的���,這個程序的配置文件為
18��、httpd.conf��,那么Client的聯(lián)機要進入到你Linux主機的WWW時���,37會經(jīng)過什么階段呢?基本上�����,會經(jīng)過如下圖的幾個階段:圖一���、網(wǎng)絡(luò)封包進入本機的流程順序封包過濾防火墻:IPFiltering或NetFilter要進入Linux本機的封包都會先通過Linux核心的預(yù)設(shè)防火墻��,就是稱為IPFilter或NetFilter的咚咚����,簡單的說���,就是iptables這個軟件所提供的防火墻功能�����。iptables這個Linux默認的防火墻軟件可以針對網(wǎng)絡(luò)封包的IP,port,MAC,以及聯(lián)機狀態(tài)如SYN,ACK等數(shù)據(jù)進行分析��,以過濾不受歡迎的網(wǎng)絡(luò)封包呢��!舉例來說��,如果有個IP為
19���、aaa.bbb.ccc.ddd是個惡意網(wǎng)站來源��,那你就可以透過iptables抵擋來自該IP的網(wǎng)絡(luò)封包的聯(lián)機��,以達到基本的主機防火墻功能��。這部份我們會在下一章深入了解�。第二層防火墻:TCPWrappers通過IPFilter之后��,網(wǎng)絡(luò)封包會開始接受Superdaemons及TCP_Wrappers的檢驗�,那個是什么呢?呵呵�!說穿了就是/etc/hosts.allow與/etc/hosts.deny的配置文件功能啰。這個功能也是針對TCP的Header進行再次的分析����,同樣你可以設(shè)定一些機制來抵制某些IP或Port�,好讓來源端的封包被丟棄或通過檢驗���;服務(wù)(daemon)的功能:前
20�、面這兩個動作基本上是Linux默認的功能�����,而這第三個步驟就是屬于軟件功能了�����。舉例來說�����,你可以在httpd.conf這個配置文件之內(nèi)規(guī)范某些IP來源不能使用37httpd這個服務(wù)來取得主機的數(shù)據(jù)����,那么即使該IP通過前面兩層的過濾����,他依舊無法取得主機的資源喔!但要注意的是�����,如果httpd這支程序本來就有問題的話,那么client端將可直接利用httpd軟件的漏洞來入侵主機����,而不需要取得主機內(nèi)root的密pd這支程序可以讀取才行啊����!如果你前面三關(guān)的設(shè)定都OK,最終權(quán)限設(shè)定錯誤����,用戶依舊無法瀏覽你的網(wǎng)頁數(shù)據(jù)的。
