第27章-Linux网络安全-Linux教学课件.ppt

《第27章-Linux网络安全-Linux教学课件.ppt》由会员分享，可在线阅读，更多相关《第27章-Linux网络安全-Linux教学课件.ppt（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第27章 Linux网络安全随着计算机技术的发展，网络信息已经成为当今社会发随着计算机技术的发展，网络信息已经成为当今社会发展的重要环节。信息网络已经涉及到社会的各个热门的领域。展的重要环节。信息网络已经涉及到社会的各个热门的领域。而在而在Linux中，网络操作系统作为企业服务器的用户和商家日中，网络操作系统作为企业服务器的用户和商家日渐增多。对于熟练使用操作系统的应用来说，渐增多。对于熟练使用操作系统的应用来说，Linux似乎比似乎比Windows要安全，因为要安全，因为Linux公开了源代码，管理员可以自公开了源代码，管理员可以自己修补漏洞。而己修补漏洞。而Windows管理员则不能自行修

2、补，因为管理员则不能自行修补，因为Windows不公开源代码，用户只能被动的接受微软提供的补不公开源代码，用户只能被动的接受微软提供的补丁。丁。但是，对于初级用户来说，但是，对于初级用户来说，Windows却比却比Linux安全。安全。因为在因为在Windows中，提供了很多杀毒工具，操作简便。而在中，提供了很多杀毒工具，操作简便。而在Linux中，用户主要是通过命令行来操作。因此，对于使用中，用户主要是通过命令行来操作。因此，对于使用Linux的初中级用户而言，系统并不那么安全。本章中，将介的初中级用户而言，系统并不那么安全。本章中，将介绍绍Linux网络安全的基础内容。网络安全的基础内容。

3、27.1 Linux网络安全简单介绍对于熟悉对于熟悉Windows使用操作的用户而言，如何防范使用操作的用户而言，如何防范Windows的网络安全似乎并不陌生。但是，在使用的网络安全似乎并不陌生。但是，在使用Linux操作系统过程中，需要注意需要特殊的病毒知识。在本小操作系统过程中，需要注意需要特殊的病毒知识。在本小节中，将详细介绍节中，将详细介绍Linux网络安全的基础知识。网络安全的基础知识。27.1.1 保证Linux安全所需的知识前面已经讲过，在前面已经讲过，在Linux系统中，用户需要使用命令系统中，用户需要使用命令来防范病毒。因此，用户在保证来防范病毒。因此，用户在保证Linux系

4、统安全时，需要了系统安全时，需要了解关于网络安全的基础知识。主要包括：解关于网络安全的基础知识。主要包括：网络的各种概念；网络的各种概念；网络协议及其之间的关系；网络协议及其之间的关系；网络端口的功能和作用；网络端口的功能和作用；使用常见的网络监测软件。使用常见的网络监测软件。在本小节中，将结合上面所提到的基础知识，详细介在本小节中，将结合上面所提到的基础知识，详细介绍绍Linux网络安全的方法。网络安全的方法。27.1.2 Linux系统中常见的病毒类型在使用在使用Linux的早期，人们惊奇的发现，似乎这个操作系统中没的早期，人们惊奇的发现，似乎这个操作系统中没有病毒。这主要得益于有病毒。这

5、主要得益于Linux系统科学的权限设置，使得在系统科学的权限设置，使得在Linux中中开发病毒比开发病毒比Windows要困难。但是，随着大家广泛使用要困难。但是，随着大家广泛使用Linux，依然，依然出现了针对出现了针对Linux系统的病毒。大家最熟悉最常见的病毒就是针对系统的病毒。大家最熟悉最常见的病毒就是针对Linux某些服务中某些服务中bug的蠕虫病毒。的蠕虫病毒。在在Linux操作系统中，也出现了针对这些病毒的杀毒软件。使用操作系统中，也出现了针对这些病毒的杀毒软件。使用比较广泛的有比较广泛的有AntiVir，AntiVir的官方网站是。用户可以登陆上面的的官方网站是。用户可以登陆上

6、面的网站，下载安装使用。网站，下载安装使用。但是，要避免病毒的入侵，用户还是需要熟悉但是，要避免病毒的入侵，用户还是需要熟悉Linux各个功能模各个功能模块的作用。对于各个模块功能的详细介绍，用户可以查看本书的前面块的作用。对于各个模块功能的详细介绍，用户可以查看本书的前面章节。在此，笔者需要提醒用户的是，只要笔者在使用章节。在此，笔者需要提醒用户的是，只要笔者在使用Linux系统时，系统时，不安装不明软件，不开启额外服务，同时观察计算机的运行状态，大不安装不明软件，不开启额外服务，同时观察计算机的运行状态，大部分病毒都是可以预防的。部分病毒都是可以预防的。27.2 Linux网络安全的常见防

7、范策略网络安全的常见防范策略 根据前面的介绍，用户除了要防止常见的网络恶意攻根据前面的介绍，用户除了要防止常见的网络恶意攻击之外，还需要注意维护击之外，还需要注意维护Linux系统。在本小节中，将介绍系统。在本小节中，将介绍常见的安全防范策略。常见的安全防范策略。27.2.1 检测日志文件在维护在维护Linux安全的时候，定期检测日志文件时了解安全的时候，定期检测日志文件时了解当前服务器是否处于安全期的重要手段。在当前服务器是否处于安全期的重要手段。在Linux中，要判中，要判断主机是否正在或已经遭受了攻击，主要通过以下几种方断主机是否正在或已经遭受了攻击，主要通过以下几种方式来检测：式来检测

8、：终结没有被授权的非法用户；终结没有被授权的非法用户；关闭没有被授权的非法进程；关闭没有被授权的非法进程；定期分析日志文件，找出非法用户曾经试图入侵系统定期分析日志文件，找出非法用户曾经试图入侵系统的所有动向；的所有动向；检查系统文件是否存在有潜在受损的情况。检查系统文件是否存在有潜在受损的情况。27.2.3 设置内部用户权限为了保护为了保护Linux网络系统的资源，当管理员给内部网网络系统的资源，当管理员给内部网络用户开设帐号时，一般应遵循络用户开设帐号时，一般应遵循“最小权限最小权限”原则。也就原则。也就是说，仅给每个用户授予完成其特定任务所须的访问权限。是说，仅给每个用户授予完成其特定任

9、务所须的访问权限。这样做会加重系统管理员的工作量，但可以加强整个网络这样做会加重系统管理员的工作量，但可以加强整个网络系统的安全。系统的安全。27.2.4 保护口令文件安全（/etc/shadow）对于网络系统而言，口令是最容易引起攻对于网络系统而言，口令是最容易引起攻击的内容。因此，用户在设置口令的时候，需要击的内容。因此，用户在设置口令的时候，需要注意下面几点：注意下面几点：口令应设置成混合型。在设置口令时，尽口令应设置成混合型。在设置口令时，尽可能使用数字、字母和特殊符号等组成的组合型可能使用数字、字母和特殊符号等组成的组合型口令序列。口令序列。口令长度不要太短，应大于口令长度不要太短，

10、应大于6位。在用户设位。在用户设置口令后，信息会保存在置口令后，信息会保存在“/etc/passwd”中定中定义。随着黑客破解口令能力的不断提高，义。随着黑客破解口令能力的不断提高，“/etc/passwd”文件中的非隐藏口令很容易被文件中的非隐藏口令很容易被破解。而影子口令就恰好起到了隐藏口令的作用，破解。而影子口令就恰好起到了隐藏口令的作用，也因此增强了整个系统安全性。使用也因此增强了整个系统安全性。使用vi可编辑可编辑/etc/shadow文件。文件。root:$1$bZaet3d4$ta5B6ZE7d8f9C9log6w2b0:13666:0:99999:此行是用此行是用root下的影

11、子口令，其分为多个下的影子口令，其分为多个字段的形势显示。每个字段用字段的形势显示。每个字段用“：”隔开，上面隔开，上面参数的主要含义如表参数的主要含义如表27.1所示。所示。名称含义root用户登录名。$1$密码。bZaet3d4$ta5B6ZE7d8f9C9log6w2b0影子密码序列化。13666被允许修改密码之前的天数。0修改新密码的天数。99999密码过期之前，被警告天数。0密码过期自动禁用帐号。0禁用天数。0保留码，方便以后使用。27.3 Linux中的常见网络攻击在前面文章中已经介绍过，在前面文章中已经介绍过，Linux主要作为网络服务主要作为网络服务器作用。因此，器作用。因此，

12、Linux的使用用户需要特别注意网络攻击的的使用用户需要特别注意网络攻击的问题。网络攻击的手段可以分为几种，它们的危害程度和问题。网络攻击的手段可以分为几种，它们的危害程度和检测防御办法也不相同。这里介绍几种最常见的攻击类型。检测防御办法也不相同。这里介绍几种最常见的攻击类型。27.3.1 收集信息攻击在通常情况下，黑客在正式攻击之前，会先进行试探在通常情况下，黑客在正式攻击之前，会先进行试探性攻击。这样做的目的是获取系统有用的信息。主要扫描性攻击。这样做的目的是获取系统有用的信息。主要扫描的类型包括的类型包括ping扫描、端口扫描、账户扫描，以及恶性的扫描、端口扫描、账户扫描，以及恶性的ip

13、 Sniffer等。等。在攻击者进行收集信息攻击时，经常使用的工具包括：在攻击者进行收集信息攻击时，经常使用的工具包括：NSS、Strobe、Netscan等以及各种等以及各种Sniffer（嗅探器）。（嗅探器）。对于比较简单的端口扫描，系统安全管理员可以用前面小对于比较简单的端口扫描，系统安全管理员可以用前面小节介绍的方法，从日志记录中发现攻击者的痕迹。但是对节介绍的方法，从日志记录中发现攻击者的痕迹。但是对于隐蔽的于隐蔽的Sniffer和和trojan程序来说，检测就显得比较困难。程序来说，检测就显得比较困难。下面将详细介绍下面将详细介绍Sniffer的工作原理和防范措施。的工作原理和防范

14、措施。27.3.3 Sniffer监测的数据信息根据前面小节的分析，用户可以了解到根据前面小节的分析，用户可以了解到Sniffer的主要功能。作为的主要功能。作为侦听数据的软件，侦听数据的软件，Sniffer功能十分强大。通常，功能十分强大。通常，Sniffer所侦听的信息主所侦听的信息主要包括下面的内容：要包括下面的内容：口令：这是绝大多数非法使用口令：这是绝大多数非法使用Sniffer的理由，的理由，Sniffer可以记录传可以记录传送文件的送文件的userid和和passwd，即使用户在网络传送过程中使用了加密的，即使用户在网络传送过程中使用了加密的数据，数据，Sniffer同样可以同样

15、可以金融账号：为了便利整个金融系统，需要用户开始使用网上银行，金融账号：为了便利整个金融系统，需要用户开始使用网上银行，然而然而Sniffer可以很轻松地截获在网上传送的用户姓名、口令、信用卡号可以很轻松地截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和码、截止日期、账号和pin。侦听机密信息数据：通过拦截数据包，攻击者可以很方便记录别侦听机密信息数据：通过拦截数据包，攻击者可以很方便记录别人之间敏感的信息传送，或者拦截整个人之间敏感的信息传送，或者拦截整个E-mail会话过程。会话过程。获取底层的协议信息：通过对底层的信息协议记录，比如记录两获取底层的协议信息：通过对底层的信息协

16、议记录，比如记录两台主机之间的网络接口地址、远程网络接口台主机之间的网络接口地址、远程网络接口IP地址、地址、IP路由信息和路由信息和TCP连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害。构成极大的危害。27.3.4 Sniffer的工作环境Sniffer就是能够捕获网络报文的设备。嗅探器的正常使用途径在于分析网络的就是能够捕获网络报文的设备。嗅探器的正常使用途径在于分析网络的流量，找出网络中潜在的问题。嗅探器在功能和设计方面有很多不同，一些只能分析一流量，找出网络中潜在的问题。嗅探器在功能和设计方面有

17、很多不同，一些只能分析一种协议，而另一些可能可以分析几百种协议。一般情况下，大多数的嗅探器都能够分析种协议，而另一些可能可以分析几百种协议。一般情况下，大多数的嗅探器都能够分析下面的协议：下面的协议：标准以太网标准以太网TCP/IPIPXDECNet嗅探器通常是软硬件的结合，专用的嗅探器价格非常昂贵。另一方面，免费的嗅嗅探器通常是软硬件的结合，专用的嗅探器价格非常昂贵。另一方面，免费的嗅探器虽然不需要花什么钱，但得不到什么支持。探器虽然不需要花什么钱，但得不到什么支持。嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上

18、输入的键值，而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的例例如将以太网卡设置成杂收模式。如将以太网卡设置成杂收模式。每一个在每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器（这一点与器（这一点与Internet地址系统比较相似）。当用户发送一个报文时，这些报文就会发地址系统比较相似）。当用户发送一个报文时，这些报文就会发送到送到LAN上所有可用的机器上。在一般情况下，网络上所有的机器都可以上所有可用的机器上。在一般情况

19、下，网络上所有的机器都可以“听听”到通过到通过的流量，但对不属于自己的报文则不予响应。的流量，但对不属于自己的报文则不予响应。说明：如果某工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的说明：如果某工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它就是一个嗅探器。报文和帧，如果一个工作站被配置成这样的方式，它就是一个嗅探器。27.3.6 如何防御Sniffer虽然发现虽然发现Sniffer是非常困难的，但是仍然有办法防御是非常困难的，但是仍然有办法防御Sniffer的攻击。的攻击。如果用户事先要对数据信息进行加密，入侵者即使使用如

20、果用户事先要对数据信息进行加密，入侵者即使使用Sniffer捕获机密信息，捕获机密信息，也无法解密。通常情况下，入侵者主要用也无法解密。通常情况下，入侵者主要用Sniffer来捕获来捕获Telnet、等数据包，、等数据包，因为这些协议以明文在网上传输。用户可以使用因为这些协议以明文在网上传输。用户可以使用SSH安全协议来替代其他容安全协议来替代其他容易被易被Sniffer攻击的协议。攻击的协议。SSH又叫又叫Secure Shell，是在应用程序中提供安全通信的协议，建立在，是在应用程序中提供安全通信的协议，建立在C/S的模型上。的模型上。SSH服务器分配的端口是服务器分配的端口是22。在授权

21、完成后，通信的数据使用。在授权完成后，通信的数据使用IDEA技术进行加密。这种加密方法实用性比较好，适合于任何非秘密和非经技术进行加密。这种加密方法实用性比较好，适合于任何非秘密和非经典的通信。典的通信。另一种防御另一种防御Sniffer攻击的方法是使用拓扑结构。因为攻击的方法是使用拓扑结构。因为Sniffer只对以太只对以太网、令牌环网等网络起作用，所以尽量使用交换设备的网络可以最大限度地网、令牌环网等网络起作用，所以尽量使用交换设备的网络可以最大限度地防止被防止被Sniffer窃听到不属于自己的数据包。窃听到不属于自己的数据包。最后，在防止最后，在防止Snther的被动攻击时，有一个重要的

22、原则：一个网络段的被动攻击时，有一个重要的原则：一个网络段必须有足够的理由才能信任另一网络段。网络段应该从数据之间的信任关系必须有足够的理由才能信任另一网络段。网络段应该从数据之间的信任关系上来设计，而不是从硬件需要上设计每台机器是通过网线连接到集线器上来设计，而不是从硬件需要上设计每台机器是通过网线连接到集线器（Hub）上的，集线器再接到交换机上。由于网络分段了，数据包只能在这）上的，集线器再接到交换机上。由于网络分段了，数据包只能在这个网段上被捕获，其余的网段将不可能被监听。个网段上被捕获，其余的网段将不可能被监听。27.4.2 安装Netfilter/iptables系统因为因为Netf

23、ilter/iptables的的netfilter组件是与内核组件是与内核2.4.x集成在一起的，对于集成在一起的，对于Red Hat Linux 9或更高版本的或更高版本的Linux都配备了都配备了netfilter这个内核工具，所以一般不须要下载。而这个内核工具，所以一般不须要下载。而只要下载并安装只要下载并安装iptables用户空间工具的源代码包，下载用户空间工具的源代码包，下载的网址为：的网址为：iptables-1.3.2。目前，最新源代码安装包是：。目前，最新源代码安装包是：iptables 1.3.2.tar.bz2。说明：在说明：在Red Hat Linux 9中，已经自带了

24、中，已经自带了iptables用用户空间工具，不须要自己下载源代码安装，这里只是对源户空间工具，不须要自己下载源代码安装，这里只是对源代码安装作一个介绍。代码安装作一个介绍。27.4.3 使用iptable的过滤规则在在Linux中，用户可以向防火墙提供具有特定协议类型的信息包，对中，用户可以向防火墙提供具有特定协议类型的信息包，对这些信息需要做些怎样的命令，规则控制信息包的过滤。通过使用这些信息需要做些怎样的命令，规则控制信息包的过滤。通过使用Netfilter/iptables系统提供的特殊命令系统提供的特殊命令iptables，建立这些规则，并将其添，建立这些规则，并将其添加到内核空间的

25、特定信息包过滤表内的链中。关于添加删除编辑规则的加到内核空间的特定信息包过滤表内的链中。关于添加删除编辑规则的命令的一般语法如下：命令的一般语法如下：iptables-t table command match target命令中，常见参数的含义如下：命令中，常见参数的含义如下：表（表（table）：）：-t table选项允许使用标准表之外的任何表。表是包选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三种可用的表选项：含仅处理特定类型信息包的规则和链的信息包过滤表。有三种可用的表选项：filter、nat和和mangle。该选项不是必需的，如果未指定

26、，则。该选项不是必需的，如果未指定，则filter用作默认用作默认表。表。filter表用于一般的信息包过滤，包含表用于一般的信息包过滤，包含INPUT、OUTPUT和和FORWAR链。链。nat表用于要转发的信息包，它包含表用于要转发的信息包，它包含PREROUTING、OUTPUT和和POSTROUTING链。如果信息包及其头内进行了任何更改，则使用链。如果信息包及其头内进行了任何更改，则使用mangle表。该表包含一些规则来标记用于高级路由的信息包以及表。该表包含一些规则来标记用于高级路由的信息包以及PREROUTING和和OUTPUT链。链。命令（命令（command）：上面这条命令中

27、具有强制性的）：上面这条命令中具有强制性的command部分部分是是iptables命令的最重要部分，它告诉命令的最重要部分，它告诉iptables命令要做什么，例如，插入命令要做什么，例如，插入规则、将规则添加到链的末尾或删除规则。主要有如表规则、将规则添加到链的末尾或删除规则。主要有如表27.2所示的命令。所示的命令。匹配（匹配（match）：）：iptables命令的可选命令的可选match部分指定信息包与规部分指定信息包与规则匹配所应具有的特征（如源和目的地地址、协议等）。匹配分为两大则匹配所应具有的特征（如源和目的地地址、协议等）。匹配分为两大类：通用匹配和特定于协议的匹配。这里，将

28、研究可用于采用任何协议类：通用匹配和特定于协议的匹配。这里，将研究可用于采用任何协议的信息包的通用匹配。下面是一些重要的且常用的通用匹配及其示例和的信息包的通用匹配。下面是一些重要的且常用的通用匹配及其示例和说明，如表说明，如表27.3所示。所示。通用匹配说 明-p或-protocol该通用协议匹配用于检查某些特定协议。协议示例有TCP、UDP、ICMP、用逗号分隔的任何这三种协议的组合列表以及ALL（用于所有协议）。ALL是默认匹配。可以使用!符号表示不与该项匹配-s 或-source该源匹配用于根据信息包的源IP地址来与它们匹配。该匹配还允许对某一范围内的IP地址进行匹配，可以使用!符号，

29、表示不与该项匹配。默认源匹配与所有IP地址匹配-d 或-destination该目的地匹配用于根据信息包的目的地IP地址来与它们匹配。该匹配还允许对某一范围内IP地址进行匹配，可以使用!符号表示不与该项匹配 目标（目标（target）：前面已经讲过，目标是由规则指定的操作，对与那些规则匹配的）：前面已经讲过，目标是由规则指定的操作，对与那些规则匹配的信息包执行这些操作。除了允许用户定义的目标之外，还有许多可用的目标选项。下面是信息包执行这些操作。除了允许用户定义的目标之外，还有许多可用的目标选项。下面是常用的一些目标及其示例和说明，如表常用的一些目标及其示例和说明，如表27.4所示。所示。目

30、标 项说 明ACCEPT当信息包与具有ACCEPT目标的规则完全匹配时，会被接受（允许它前往目的地）DROP当信息包与具有DROP目标的规则完全匹配时，会阻塞该信息包，并且不对它做进一步处理。该目标被指定为-j DROPREJECT该目标的工作方式与DROP目标相同，但它比DROP好。和DROP不同，REJECT不会在服务器和客户机上留下死套接字。另外，REJECT将错误消息发回给信息包的发送方。该目标被指定为-j REJECTRETURN在规则中设置的RETURN目标让与该规则匹配的信息包停止遍历包含该规则的链。如果链是如INPUT之类的主链，则使用该链的默认策略处理信息包。它被指定为-ju

31、mp RETURN下面将给出使用规则的简单示例：下面将给出使用规则的简单示例：（1）接受来自指定）接受来自指定IP地址的所有流入数据报。在命令窗口中输入下面的地址的所有流入数据报。在命令窗口中输入下面的代码：代码：#iptables-A INPUT-s 203.159.0.10-j ACCEPT（2）只接受来自指定端口（服务）的数据报。在命令窗口中输入下面的）只接受来自指定端口（服务）的数据报。在命令窗口中输入下面的代码：代码：#iptables-D INPUT-dport 80-j DROP（3）允许转发所有到本地（）允许转发所有到本地（198.168.10.13）smtp服务器的数据报。服

32、务器的数据报。#iptables-A FORWARD-p tcp-d 198.168.10.13-dport smtp-i eth0-j ACCEPT（4）允许转发所有到本地的）允许转发所有到本地的udp数据报。数据报。#iptables-A FORWARD-p udp-d 198.168.80.0/24-i eth0-j ACCEPT（5）拒绝发往）拒绝发往WWW服务器的客户端的请求数据报。服务器的客户端的请求数据报。#iptables-A FORWARD-p tcp-d 198.168.80.11-dport eth0-j REJECT27.5 对Linux系统进行入侵检测在安全领域中，入

33、侵检测系统被认为是继防火墙之后，在安全领域中，入侵检测系统被认为是继防火墙之后，保护网络安全的第二道保护网络安全的第二道“闸门闸门”。在本小节中，将首先介。在本小节中，将首先介绍入侵检测系统的基本原理，然后对绍入侵检测系统的基本原理，然后对Linux 系统中的入侵系统中的入侵检测系统检测系统Snort的使用进行详细介绍。的使用进行详细介绍。27.5.1 入侵检测系统基础知识入侵检测系统（入侵检测系统（Intrusion Detection System）的主要功能是监）的主要功能是监测网络入侵行为。通过对计算机网络的信息进行分析，发现网络或系统测网络入侵行为。通过对计算机网络的信息进行分析，发

34、现网络或系统中是否有违反安全策略的行为，或者有被攻击的迹象。通常说来，其具中是否有违反安全策略的行为，或者有被攻击的迹象。通常说来，其具有如下几个功能：有如下几个功能：监控、分析用户和系统的活动；监控、分析用户和系统的活动；核查系统配置和漏洞；核查系统配置和漏洞；评估数据文件的完整性；评估数据文件的完整性；识别攻击的活动模式；识别攻击的活动模式；对异常活动的统计分析。对异常活动的统计分析。从技术和功能的角度来分析，入侵检测系统可以分为如下几类：从技术和功能的角度来分析，入侵检测系统可以分为如下几类：基于主机的入侵检测系统：输入数据来自于系统的审计日志，只基于主机的入侵检测系统：输入数据来自于系

35、统的审计日志，只能检测该主机上发生的入侵。能检测该主机上发生的入侵。基于网络的入侵检测系统：输入数据来源于网络的信息流，能够基于网络的入侵检测系统：输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。检测该网段上发生的网络入侵。说明：采用上述两种数据来源的分布式入侵检测系统，能够同时说明：采用上述两种数据来源的分布式入侵检测系统，能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成。式结构，由多个部件组成。27.6 使用Tripwire保护数据安全Tripwire是有关数据和网络完整性

36、保护的工具，主检是有关数据和网络完整性保护的工具，主检测和报告系统中文件被编辑的详细情况。通常可以用来进测和报告系统中文件被编辑的详细情况。通常可以用来进行入侵检测、损失的评估和恢复、证据的保存等。目前，行入侵检测、损失的评估和恢复、证据的保存等。目前，最为广泛地用于保护网络中信息系统的数据完整性和一致最为广泛地用于保护网络中信息系统的数据完整性和一致性。本节将对该软件的工作原理、安装和使用做详细的介性。本节将对该软件的工作原理、安装和使用做详细的介绍。绍。27.6.1 Tripwire简介Tripwire是是UNIX安全规范中最有用的工具之一，由安全规范中最有用的工具之一，由Eugene S

37、pafford和和Gene Kim在在Purdue大学进行开发，大学进行开发，现在由现在由Tripwire Security Inc.来维护。由于使用了多达四来维护。由于使用了多达四种的种的Hash算法，因此准确度非常高。算法，因此准确度非常高。Tripwire可检测多达可检测多达10多种的多种的UNIX文件系统属性和文件系统属性和20多种的多种的NT文件系统（包文件系统（包括注册表）属性。括注册表）属性。Tripwire首先使用特征码函数为需要监视的文件和目首先使用特征码函数为需要监视的文件和目录建立特征数据库。特征码函数是指使用任意的文件作为录建立特征数据库。特征码函数是指使用任意的文件作

38、为输入，产生一个固定大小的数据的函数。入侵者如果对文输入，产生一个固定大小的数据的函数。入侵者如果对文件进行了修改，即使文件大小不变，也会破坏文件的特征件进行了修改，即使文件大小不变，也会破坏文件的特征码。利用这个数据库，码。利用这个数据库，Tripwire可以很容易地发现系统的可以很容易地发现系统的丝毫细微的变化。而且文件的特征码几乎是不可能伪造的，丝毫细微的变化。而且文件的特征码几乎是不可能伪造的，系统的任何变化都逃不过系统的任何变化都逃不过Tripwire的监视。的监视。27.6.2 Tripwire的工作原理为了达到最大限度的安全性，为了达到最大限度的安全性，Tripwire提供了四种

39、提供了四种Hash算法算法CRC32、MD5、SHA、HAVAL来生成签名。在通常情况下，采用前两来生成签名。在通常情况下，采用前两种算法生成签名已经足够。后两种算法对系统资源的耗费较大，使用时种算法生成签名已经足够。后两种算法对系统资源的耗费较大，使用时可根据文件的重要性作灵活地取舍。可根据文件的重要性作灵活地取舍。进行完整性检查时，进行完整性检查时，Tripwire会根据策略文件中的规则对文件重会根据策略文件中的规则对文件重新生成数字签名，并将此签名与数据库中的签名进行对比。如果完全匹新生成数字签名，并将此签名与数据库中的签名进行对比。如果完全匹配，则说明文件没有被更改。如果不匹配，说明文

40、件被改动了。然后在配，则说明文件没有被更改。如果不匹配，说明文件被改动了。然后在Tripwire生成的报告中查阅文件被改动的具体情况。生成的报告中查阅文件被改动的具体情况。通过上面的分析可知，通过上面的分析可知，Tripwire自身的数据库是非常重要的。如自身的数据库是非常重要的。如果基准数据库不可靠，那么完整性检查就没有意义。果基准数据库不可靠，那么完整性检查就没有意义。Tripwire软件安装软件安装完毕后，已经对配置文件、策略文件以及数据库文件进行了高强度的加完毕后，已经对配置文件、策略文件以及数据库文件进行了高强度的加密。同时默认策略中也对自身文件进行了完整性检查。当然，使用者自密。同

41、时默认策略中也对自身文件进行了完整性检查。当然，使用者自己也要做好这些文件的备份，因为己也要做好这些文件的备份，因为Tripwire软件是不能恢复受损文件的，软件是不能恢复受损文件的，它只能详细列出每一个受损文件的详细情况。它只能详细列出每一个受损文件的详细情况。27.7 小结本章主要介绍了本章主要介绍了Linux网络安全方面的基础知识以及网络安全方面的基础知识以及一些安全防护工具。主要包括防火墙技术、入侵检测系统、一些安全防护工具。主要包括防火墙技术、入侵检测系统、常见的攻击以及使用常见的攻击以及使用Tripwire保护网络系统的数据安全等保护网络系统的数据安全等知识。本章是当前网络安全现状以及技术的总结，有很好知识。本章是当前网络安全现状以及技术的总结，有很好的参考价值。的参考价值。