LFCA：如何提高 Linux 网络安全性 - 第 19 部分

在日益互联的世界里，网络安全正日益成为企业投入大量时间和资源的领域之一。这是因为公司的网络是任何 IT 基础设施的骨干，连接着所有服务器和网络设备。如果网络被攻破，企业将完全受制于黑客。关键数据可能被泄露，以业务为中心的服务和应用程序可能被破坏。

网络安全是一个相当广泛的话题，通常采用双管齐下的方法。网络管理员通常会安装防火墙、IDS（入侵检测系统）和 IPS（入侵防御系统）等网络安全设备作为第一道防线。虽然这可以提供不错的安全保障，但需要在操作系统级别采取一些额外措施来防止任何违规行为。

此时，您应该已经熟悉网络概念，例如 IP 寻址和 TCP/IP 服务和协议。您还应该熟悉基本的安全概念，例如设置强密码和设置防火墙。

在我们介绍确保系统安全的各种步骤之前，让我们首先概述一些常见的网络威胁。

什么是网络攻击？

大型且相当复杂的企业网络可能依赖多个连接的端点来支持业务运营。虽然这可能提供简化工作流程所需的连接，但它带来了安全挑战。更大的灵活性意味着更广泛的威胁环境，攻击者可以利用它来发起网络攻击。

那么，什么是网络攻击？

网络攻击是对组织网络的未经授权的访问，其唯一目的是访问和窃取数据以及执行其他恶意活动，例如破坏网站和破坏应用程序。

网络攻击大致可分为两类。

• 被动攻击：在被动攻击中，黑客获得未经授权的访问权限，仅仅监视和窃取数据，而不会修改或破坏数据。
• 主动攻击：在这种情况下，攻击者不仅会渗透网络窃取数据，还会修改、删除、破坏或加密数据，破坏应用程序并关闭正在运行的服务。不可否认，这是两种攻击中最具破坏性的。

网络攻击的类型

让我们来看看一些可能危害Linux系统的常见网络攻击：

1.软件漏洞

运行旧的和过时的软件版本很容易使您的系统面临风险，这主要是因为其中潜伏着固有的漏洞和后门。在上一个关于数据安全的主题中，我们看到了黑客如何利用 Equifax 客户投诉门户上的漏洞并导致最臭名昭著的数据泄露事件之一。

因此，我们始终建议您将软件应用程序升级到最新版本，以不断应用软件补丁。

2.中间人攻击

中间人攻击，通常缩写为 MITM，是一种攻击者拦截用户与应用程序或端点之间通信的攻击。通过将自己置于合法用户和应用程序之间，攻击者能够剥离加密并窃听发送和接收的通信。这使他能够检索机密信息，例如登录凭据和其他个人身份信息。

此类攻击的可能目标包括电子商务网站、SaaS 企业和金融应用程序。为了发动此类攻击，黑客利用数据包嗅探工具从无线设备捕获数据包。然后，黑客继续将恶意代码注入正在交换的数据包中。

3.恶意软件

恶意软件是恶意软件的混合词，包括各种恶意应用程序，例如病毒、木马、间谍软件和勒索软件等。一旦进入网络，恶意软件就会在各种设备和服务器上传播。

根据恶意软件的类型，其后果可能是毁灭性的。病毒和间谍软件能够监视、窃取和泄露高度机密的数据、破坏或删除文件、减慢网络速度，甚至劫持应用程序。勒索软件会加密文件，使文件无法访问，除非受害者支付大量赎金。

4.分布式拒绝服务（DDoS）攻击

DDoS 攻击是指恶意用户使目标系统无法访问，从而阻止用户访问关键服务和应用程序的攻击。攻击者使用僵尸网络向目标系统发送大量 SYN 数据包，最终导致系统在一段时间内无法访问。DDoS 攻击可以破坏数据库和网站。

5. 内部威胁/恶意员工

心怀不满的拥有特权访问权限的员工很容易破坏系统。此类攻击通常很难检测和防范，因为员工无需渗透网络。此外，一些员工在插入带有恶意软件的 USB 设备时可能会无意中感染恶意软件。

缓解网络攻击

让我们来看看可以采取哪些措施来设置屏障，提供相当程度的安全性，以减轻网络攻击。

1. 保持软件应用程序为最新版本

在操作系统级别，更新软件包将修补任何可能使您的系统面临黑客攻击风险的现有漏洞。

实施基于主机的防火墙

除了通常提供第一道防线的网络防火墙外，您还可以实施基于主机的防火墙，例如firewalld和UFW防火墙。这些是简单但有效的防火墙应用程序，它们通过根据一组规则过滤网络流量来提供额外的安全保护。

3.禁用不需要的服务

如果您正在运行一些不常用的服务，请禁用它们。这有助于最大限度地减少攻击面，并让攻击者只有很少的选择来利用和寻找漏洞。

同时，您使用Nmap等网络扫描工具来扫描和探测任何开放端口。如果有不必要的端口开放，请考虑在防火墙上阻止它们。

4.配置 TCP 包装器

TCP 包装器是基于主机的 ACL（访问控制列表），可根据一组规则（如 IP 地址）限制对网络服务的访问。TCP 包装器引用以下主机文件来确定客户端在何处被允许或被拒绝访问网络服务。

• /etc/hosts.allow
• /etc/hosts.deny

需要注意的几点：

1. 规则从上到下读取。给定服务的第一个匹配规则将首先应用。请注意，顺序极其重要。
2. /etc/hosts.allow文件中的规则将首先应用，并且优先于/etc/hosts.deny文件中定义的规则。这意味着，如果/etc/hosts.allow文件中允许访问网络服务，则/etc/hosts.deny文件中对同一服务的访问将被忽略或忽略。
3. 如果任何一个主机文件中都不存在服务规则，则默认授予对该服务的访问权限。
4. 对两个主机文件所做的更改会立即生效，无需重新启动服务。

5. 安全远程协议并使用 VPN

在之前的主题中，我们研究了如何保护 SSH 协议以阻止恶意用户访问您的系统。同样重要的是使用 VPN来启动对 Linux 服务器的远程访问，尤其是通过公共网络。VPN 加密服务器和远程主机之间交换的所有数据，从而消除了通信被窃听的可能性。

6. 全天候网络监控

使用WireShark等工具监控您的基础设施将帮助您监控和检查流量中是否存在恶意数据包。您还可以实施fail2ban来保护您的服务器免受暴力攻击。

[ 你可能还喜欢：16 个有用的带宽监控工具来分析 Linux 中的网络使用情况]

7.安装反恶意软件

Linux 越来越受欢迎，使用范围越来越广，因此越来越成为黑客的目标。因此，安装安全工具来扫描系统中是否存在 rootkit、病毒、木马和任何形式的恶意软件是明智之举。

有流行的开源解决方案（例如ClamAV）可以有效检测和抵御恶意软件。您还可以考虑安装chkrootkit来检查系统上是否有 rootkit 的迹象。

8.网络分段

考虑将网络划分为 VLAN（虚拟局域网）。这可以通过在同一网络上创建充当独立网络的子网来实现。对网络进行划分有助于将入侵的影响限制在一个区域，并使黑客更难访问其他子网。

9. 加密无线设备

如果您的网络中拥有无线路由器或接入点，请确保它们使用最新的加密技术，以最大限度地降低中间人攻击的风险。

概括

网络安全是一个庞大的话题，包括在网络硬件部分采取措施，以及在操作系统上实施基于主机的策略以增加一层防御入侵的保护层。概述的措施将大大提高系统抵御网络攻击媒介的安全性。