【正文】 每一個 UNIX／ Linux系統(tǒng)都有一個 UID為 0的特殊用戶 ， 它被稱作超級用戶并且被賦予用戶名 “ root” ， 其口令通常稱為 “ root口令 ” 。 Inter 安全概述 隨著網(wǎng)絡(luò)應(yīng)用領(lǐng)域的不斷拓展 ， 互聯(lián)網(wǎng)在全球的迅猛發(fā)展 ， 社會的政治 、 經(jīng)濟 、 文化 、 教育等各個領(lǐng)域都在向網(wǎng)絡(luò)化的方面發(fā)展 。 與此同時 ， “ 信息垃圾 ” 、“ 郵件炸彈 ” 、 “ 電腦病毒 ” 、 “ 黑客 ” 等也開始在網(wǎng)上橫行 ， 不僅造成了巨額的經(jīng)濟損失 ， 也在用戶的心理及網(wǎng)絡(luò)發(fā)展的道路上投下巨大的陰影 。 網(wǎng)絡(luò)系統(tǒng)軟件是運行管理其他網(wǎng)絡(luò)軟 、 硬件資源的基礎(chǔ) ， 因而其自身的安全性直接關(guān)系到網(wǎng)絡(luò)的安全 。 網(wǎng)絡(luò)系統(tǒng)軟件由于安全功能欠缺或由于系統(tǒng)在設(shè)計時的疏忽和考慮不周而留下安全漏洞 ， 都會給攻擊者以可乘之機 ， 危害網(wǎng)絡(luò)的安全性 。 許多軟件存在著安全漏洞 ， 一般生產(chǎn)商會針對已發(fā)現(xiàn)的漏洞發(fā)布 “ 補丁(Patch)” 程序 。 Inter安全管理 FTP安全管理 (1) FTP連接模式 FTP使用兩個獨立的 TCP連接：一個在服務(wù)器和客戶端之間傳遞命令 (通常稱為命令通道 )；另一個用來傳送文件和目錄列表 (通常稱為數(shù)據(jù)通道 )。 數(shù)據(jù)通道為端口號 20和端口號 21， 客戶端則是用大于 1023的端口 。 FTP支持兩種連接模式 ， 一種叫做 standard(也就是 active， 主動方式 )， 另一個叫 passive模式 (也就是 pasv， 被動方式 )。 l Standard模式： FTP 客戶端首先和 FTP Server的 TCP 21端口建立連接 ， 通過這個信道發(fā)送命令 ， 客戶端需要接收資料的時候在這個信道上發(fā)送 port命令 。 l Passive模式：在建立控制信道的時候和 Standard模式類似 ， 當客戶端通過這個信道發(fā)送 PASV 命令的時候 ， FTP server開啟一個位于 1024和 5000之間的隨機Port并且通知客戶端在這個 Port上傳送資料的請求 ， 然后 FTP server 將通過這個Port進行資料的傳送 。 (2) 匿名 FTP 當我們登錄到匿名 FTP服務(wù)器后 ， 可多次使用 cd和 dir來查看資料信息 。許多 FTP服務(wù)器一般把 Anonymous用戶能訪問的文件放在 pub子目錄下 。 許多目錄都含有 readme或 index文件 ， 閱讀這些文件可以看到對該目錄所包含內(nèi)容的說明 。 列出文件看看是否有需要的資料后 ， 把需要的資料拷貝到本地計算機中 。 一些站點經(jīng)常為匿名 FTP提供空間 ， 以便外部用戶能用它上傳文件 ， 這個可寫空間是非常有用的 ， 但也有不完美的地方 。 如果這個可寫路徑被心懷不軌的人得知 ， 就會被 Inter上的非法用戶作為非法資料的集散和中轉(zhuǎn)地 ，網(wǎng)上有很多盜版軟件包括黃色影像文件通常就是通過這種方法傳播的 。 既然匿名 FTP會對網(wǎng)絡(luò)安全造成影響 ， 在提供匿名 FTP服務(wù)時就應(yīng)該格外小心 。 可以通過以下方法提高匿名 FTP安全性 。 檢查系統(tǒng)上 FTP服務(wù)的所有缺省配置情況 。 不是所有版本的 FTP服務(wù)器都是可配置的 。 如果運行的是可配置的 FTP， 要確保所有的 delete、 overwrite、rename、 chmod和 umask選項都是 guests和 anonymous用戶不能執(zhí)行的 。 (1) 密碼保護 （ Protecting Password） 存在漏洞： l 在 FTP 標準 “ PR85” 中 ， FTP服務(wù)器允許無限次輸入密碼 。 l “ pass” 命令以明文傳送密碼 。 對此漏洞能夠有兩種強力攻擊方式： l 在同一連接上直接強力攻擊 。 l 和服務(wù)器建立多個 、 并行的連接進行強力攻擊 。 防范措施：服務(wù)器應(yīng)限制嘗試輸入口令的次數(shù) ， 在幾次失敗后服務(wù)器應(yīng)關(guān)閉和用戶的控制連接 。 在關(guān)閉之前 ， 服務(wù)器有發(fā)送返回信息碼 421（ 服務(wù)器不可用 ， 關(guān)閉控制連接 ） 。 另外 ， 服務(wù)器在響應(yīng)無效的 “ pass” 命令之前應(yīng)暫停幾秒鐘來消除強力攻擊的有效性 。 (2)訪問控制 存在漏洞：從安全角度出發(fā) ， 對一些 FTP服務(wù)器來說 ， 基于網(wǎng)絡(luò)地址的訪問控制是非常重要的 。 另外 ， 客戶端也需要知道所進行的連接是否與它所期望的服務(wù)器已建立 。 防范措施：建立連接前 ， 雙方需要同時認證遠端主機的控制連接 、 數(shù)據(jù)連接的網(wǎng)絡(luò)地址是否可信 。 (3)端口盜用 （ port stealing ） 存在漏洞：當使用操作系統(tǒng)相關(guān)的方法分配端口號時 ， 通常都是按增序分配 。 攻擊：攻擊者可以通過端口分配規(guī)律及當前端口分配情況 ， 確定下一個要分配的端口 ， 然后對端口做手腳 。 防范措施：由操作系統(tǒng)隨機分配端口號 ， 或由管理員臨時分配端口號 ， 讓攻擊者無法預測 。 (4)保護用戶名 （ user names） 存在漏洞：當 “ user” 命令中的用戶名被拒絕時 ， 在 FTP 標準“ PR85” 中定義了相應(yīng)的返回碼 530。 而當用戶名有效時 ， FTP將使用返回碼 331。 攻擊：攻擊者可以通過 user操作的返回碼確定一個用戶名是否有效 。 防范措施：不論用戶名是否有效 FTP都應(yīng)是相同的返回碼 ， 這樣可以避免泄露有效的用戶名 。 (5)私密性 （ privacy） 在 FTP標準 “ PR85” 中 ， 所有在網(wǎng)絡(luò)上被傳送的數(shù)據(jù)和控制信息都未被加密 。 為了保障 FTP傳輸數(shù)據(jù)的私密性 ， 應(yīng)盡可能使用強大的加密系統(tǒng) 。 Email 安全管理 1. 電子郵件系統(tǒng)安全問題 電子郵件從一個網(wǎng)絡(luò)傳到另一個網(wǎng)絡(luò) ， 從一臺機器傳輸?shù)搅硪慌_機器 ， 整個過程都是以明文方式傳輸?shù)?， 在電子郵件所經(jīng)過網(wǎng)絡(luò)上的任何位置 ， 網(wǎng)絡(luò)管理員和黑客都能截獲并更改該郵件 ， 甚至偽造郵件 。 甚至冒用你的電子郵件地址發(fā)電子郵件 。 2. 匿名轉(zhuǎn)發(fā) 一般情況下 ， 一封完整的 Email應(yīng)該包含有收件人和發(fā)件人的信息 。 沒有發(fā)件人信息的郵件就是這里所說的匿名郵件 ， 郵件的發(fā)件人刻意隱瞞自己的電子郵箱地址和其他信息 ， 或者通過特殊手段給你一些錯誤的發(fā)件人信息 。 現(xiàn)在 Inter上有大量的匿名轉(zhuǎn)發(fā)郵件系統(tǒng) ， 發(fā)送者首先將郵件發(fā)送給匿名轉(zhuǎn)發(fā)系統(tǒng) ， 并告訴這個郵件希望發(fā)送給誰 ， 匿名轉(zhuǎn)發(fā)郵件系統(tǒng)將刪去所有的返回地址信息 ， 再把郵件轉(zhuǎn)發(fā)給真正的收件者 ， 并將郵件轉(zhuǎn)發(fā)系統(tǒng)的郵件地址作為發(fā)信人地址顯示在郵件的信息表頭中 。 至于匿名郵件的具體收發(fā)步驟 ， 與正常信件的發(fā)送沒有多大區(qū)別 。 電子郵件欺騙是在電子郵件中改變發(fā)件者的名字 ， 使得改變過的郵件名字與郵件接收者所熟悉的電子郵件名字相似 。 這種 “ 欺騙 ” 對于使用多于一個電子郵件賬戶的人來說 ， 是合法且有用的工具 。 例如網(wǎng)上有一個賬戶 ， 但你希望所有的郵件都回復到 。 可以做一點小小的 “ 欺騙 ” ，使所有從你的 像從 。 如果有人給 復電子郵件 ， 回信將被送到你的 。 傳統(tǒng)的郵件炸彈大多是向郵箱內(nèi)扔大量的垃圾郵件 ， 從而充滿郵箱 ， 大量地占用系統(tǒng)的可用空間和資源 ， 使機器無法正常工作 。 WEB安全管理 l從遠程用戶向服務(wù)器發(fā)送信息時 ， 特別是信用卡之類東西時 ，中途會遭不法分子非法攔截 。 lWeb服務(wù)器本身存在的一些漏洞 ， 使得一些人能侵入到主機系統(tǒng)破壞重要的數(shù)據(jù) ， 甚至造成系統(tǒng)癱瘓 。 lCGI安全方面的漏洞：用 CGI腳本編寫的程序當涉及到遠程用戶從瀏覽器中輸入表格 (Form) 并進行檢索 (Search index)或 FormMail之類在主機上直接操作命令時，會給 Web主機系統(tǒng)造成危險。因此，從 CGI角度考慮 WEB的安全性，主要是在編制程序時，應(yīng)詳細考慮到安全因素，盡量避免 CGI程序中存在漏洞。 早期版本的 HTTP存在明顯的安全上漏洞 ， 即客戶計算機可以任意地執(zhí)行服務(wù)器上面的命令 ， 現(xiàn)在的 WEB服務(wù)器已彌補了這個漏洞 。 因此 ， 不管是配置服務(wù)器 ， 還是在編寫 CGI程序時都要注意系統(tǒng)的安全性 。 盡量堵住任何存在的漏洞 ， 創(chuàng)造安全的環(huán)境 。 l 禁止亂用從其他網(wǎng)站下載的工具軟件 ， 并在沒有詳細了解之前盡量不要用 root身份注冊執(zhí)行 。 以防止程序中設(shè)下的陷井 。 l 在選用 web服務(wù)器時 ， 應(yīng)考慮到不同服務(wù)器對安全的要求不一樣 。 某些簡單的 web服務(wù)器就沒有考慮到安全的因素 ， 不能把他用作商業(yè)應(yīng)用 ， 只作一些個人的網(wǎng)點 。 l 在進行 WEB管理和校驗用戶口令時 ， 存在校驗的口令和用戶名不受次數(shù)限制 。 網(wǎng)絡(luò)安全綜合管理技術(shù) 演講完畢，謝謝觀看！