設置訪問控制機制:Linux系統在啟動時需要開啟一些系統服務,如何根據需要開啟相應的服務,并禁用不需要的服務,不但可以有效地利用系統的資源,更有利于系統的安全。Linux系統提供了一個被稱為“超級守護進程”的xinetd(eXtended InterNET Daemon)工具。在系統啟動時由xinted來負責統一管理需要啟動的進程,在系統啟動后,當相應請求到來時需要通過xinetd的轉接來喚醒被xinetd管理的進程。同時,xinetd內建了基于遠程主機地址、網段及域名的訪問控制機制,并支持分時間段的訪問控制。另外,xinetd還能夠限制服務并發運行數、服務進程數和同一主機的最大網絡連接數,此功能可以有效地緩解對主機的DoS攻擊。還有,xinetd支持將網絡服務綁定到指定的網絡接口與監聽端口上,以降低被掃描和攻擊的風險。除xinetd工具之外,Linux系統集成的netfilter/iptables防火墻解決方案可以有效地加強對網絡邊界的安全管理。
Linux遠程滲透攻擊防范手段有以下這些:
只開啟需要的服務:網絡遠程滲透攻擊中需要借助主機上開啟的服務,即利用服務存在的漏洞實施攻擊。開啟服務需要同時啟用服務進程,并打開對應的端口。對于互聯網上的服務器來說,只需要開啟與業務相關的最基本的網絡服務,其他的服務應全部禁用。
使用安全性高的服務軟件:互聯網上的一個協議一般會同時對應多款服務軟件,雖然每一款軟件的基本功能都是基于相同的協議標準來開發的,但代表各自特點的擴展功能可能不盡相同。同時每一款軟件的應用表現也不完全一致,有些軟件注重操作的友好性卻忽視了安全性,而有些軟件有可能在強調安全性的同時使易操作性不盡如人意。例如,Linux系統中可以分別通過Apache、Nginx、Tomcat來提供HTTP網絡服務,這3款軟件雖然都提供Web服務功能,但其應用特點不盡相同。其中,Apache不但可跨平臺運行(可運行于UNIX、Linux和Windows系統中),還具有較高的安全性,以及擁有快速、可靠、簡單的API擴展,是互聯網上使用最多的Web服務軟件;Nginx作為一款輕量級的網站服務軟件,具有很好的穩定性和豐富的功能,且占用系統資源較少;Tomcat屬于輕量級的Web服務軟件,一般用于開發和調試JSP代碼,通常認為Tomcat是Apache的擴展程序。作為Web服務器,如果追求性能可以選擇Nginx,而如果強調安全性則選擇Apache。出于安全考慮,在應用功能能夠滿足需求的前提下,應盡可能選擇安全性高的服務軟件。
及時更新軟件:及時更新軟件可以增加軟件自身的新功能,解決以前版本的漏洞或缺陷,增加軟件的穩定性和對新的操作系統提供更好的支持等,尤其是對發現的軟件安全漏洞需要進行及時修補。例如,在RHEL、CentOS、Fedora Core等Red Hat系列Linux發行版本中,可以通過“yum update”命令來將軟件更新到最新版本,并通過“chkconfig-level 3 yum on”命令來激活“/etc/cron.daily/yum.cron”,再通過Crond服務來配置系統的自動更新時間。需要注意的是,在進行軟件版本升級前,需要對服務軟件在新版本環境中進行測試,測試無誤后再升級,因為在舊版本下運行良好的軟件不一定會適應新版本的要求。
設置訪問控制機制:Linux系統在啟動時需要開啟一些系統服務,如何根據需要開啟相應的服務,并禁用不需要的服務,不但可以有效地利用系統的資源,更有利于系統的安全。Linux系統提供了一個被稱為“超級守護進程”的xinetd(eXtended InterNET Daemon)工具。在系統啟動時由xinted來負責統一管理需要啟動的進程,在系統啟動后,當相應請求到來時需要通過xinetd的轉接來喚醒被xinetd管理的進程。同時,xinetd內建了基于遠程主機地址、網段及域名的訪問控制機制,并支持分時間段的訪問控制。另外,xinetd還能夠限制服務并發運行數、服務進程數和同一主機的最大網絡連接數,此功能可以有效地緩解對主機的DoS攻擊。還有,xinetd支持將網絡服務綁定到指定的網絡接口與監聽端口上,以降低被掃描和攻擊的風險。除xinetd工具之外,Linux系統集成的netfilter/iptables防火墻解決方案可以有效地加強對網絡邊界的安全管理。
回答所涉及的環境:聯想天逸510S、Windows 10。