《Linux_服務(wù)器安全策略詳解》.txt19“明”可理解成兩個(gè)月亮坐在天空，相互關(guān)懷，相互照亮，缺一不可，那源源不斷的光芒是連接彼此的紐帶和橋梁！人間的長(zhǎng)旅充滿了多少凄冷 孤苦，沒(méi)有朋友的人是生活的

《Linux_服務(wù)器安全策略詳解》.txt19“明”可理解成兩個(gè)月亮坐在天空，相互關(guān)懷，相互照亮，缺一不可，那源源不斷的光芒是連接彼此的紐帶和橋梁！人間的長(zhǎng)旅充滿了多少凄冷 孤苦，沒(méi)有朋友的人是生活的黑暗中的人，沒(méi)有朋友的人是真正的孤兒。 ----------------------- Page 1-----------------------

Linux 服務(wù)器安全策略詳解》

著者： 曹江華編著

ISBN 號(hào)：978-7-121-04571-4

出版日期：2007-07

字?jǐn)?shù)：1133 千字 頁(yè)碼：626 開(kāi)本：16 開(kāi)

----------------------- Page 2-----------------------

服務(wù)器安全策略詳解

詳細(xì)目錄：

在線連載：

2

----------------------- Page 3-----------------------

第1 章 Linux 網(wǎng)絡(luò)基礎(chǔ)與Linux 服務(wù)器的安全威脅

第1 章Linux 網(wǎng)絡(luò)基礎(chǔ)與Linux 服務(wù)器的安全威脅

本章要點(diǎn)

◆ Linux 網(wǎng)絡(luò)基礎(chǔ)

◆ Linux 的TCP/IP 網(wǎng)絡(luò)配置

◆ 分級(jí)解析對(duì)Linux 服務(wù)器的攻擊

◆ 開(kāi)源軟件網(wǎng)絡(luò)安全概述

1.1 Linux 網(wǎng)絡(luò)基礎(chǔ)

1.1.1 Linux 網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)

Linux 在服務(wù)器領(lǐng)域已經(jīng)非常成熟，其影響力日趨增大。Linux 的網(wǎng)絡(luò)服務(wù)功能非常強(qiáng)

大，但是由

于Linux 的桌面應(yīng)用和Windows 相比還有一定差距，除了一些Linux 專(zhuān)門(mén)實(shí)驗(yàn)室之外，大

多數(shù)企業(yè)在

應(yīng)用Linux 系統(tǒng)時(shí)，往往是Linux 和Windows （或UNIX ）等操作系統(tǒng)共存形成的異

構(gòu)網(wǎng)絡(luò)。

在一個(gè)網(wǎng)絡(luò)系統(tǒng)中，操作系統(tǒng)的地位是非常重要的。Linux 網(wǎng)絡(luò)操作

系統(tǒng)以高效性和靈活性而著

稱(chēng)。它能夠在PC 上實(shí)現(xiàn)全部的UNIX 特性，具有多任務(wù)、多用戶(hù)的特點(diǎn)。Linux 的組網(wǎng)能力

非常強(qiáng)大，

它的TCP/IP 代碼是最高級(jí)的。Linux 不僅提供了對(duì)當(dāng)前的TCP/IP 協(xié)議的完全支持，也包括

了對(duì)下一

代Internet 協(xié)議IPv6 的支持。Linux 內(nèi)核還包括了IP 防火墻代碼、IP 防偽、IP 服務(wù)

質(zhì)量控制及許多安

全特性。Linux 的網(wǎng)絡(luò)實(shí)現(xiàn)是模仿FreeBSD 的，它支持FreeBSD 的帶有擴(kuò)展的Sockets （套接字）和

TCP/IP 協(xié)議。它支持兩個(gè)主機(jī) 的網(wǎng)絡(luò)連接和Sockets 通信模型，實(shí)現(xiàn)了兩種類(lèi)型的

Sockets ：BSD

Sockets 和INET Sockets。它為不同的通信模型提供了兩種傳輸協(xié)議，即不可靠的、基于

消息的UDP

傳輸協(xié)議和可靠的、基于流的TCP 傳輸協(xié)議，并且都是在IP 網(wǎng)際協(xié)議上實(shí)現(xiàn)的。INET Sockets 是在

以上兩個(gè)協(xié)議及IP 網(wǎng)際協(xié)議之上實(shí)現(xiàn)的，它們之 的關(guān)系如圖1-1 所示。

3

----------------------- Page 4-----------------------

服務(wù)器安全策略詳解

網(wǎng)絡(luò)應(yīng)用程序 用戶(hù)

內(nèi)核

BSD Sockets

Sockets 界面

INET Sockets

TCP UDP

IP

協(xié)議層

PPP SLIP Ethernet ARP

網(wǎng)絡(luò)設(shè)備

圖1-1 Linux 網(wǎng)絡(luò)中的層

掌握OSI 網(wǎng)絡(luò)模型、TCP/IP 模型及相關(guān)服務(wù)對(duì)應(yīng)的層次對(duì)于理解Linux 網(wǎng)絡(luò)服務(wù)器是

非常重要的。

1.1.2 TCP/IP 四層模型和OSI 七層模型

表1-1 是TCP/IP 四層模型和OSI 七層模型對(duì)應(yīng)表。我們把OSI 七層網(wǎng)絡(luò)模型和Linux

TCP/IP 四

層概念模型對(duì)應(yīng)，然后將各種網(wǎng)絡(luò)協(xié)議歸類(lèi)。

表1-1 TCP/IP 四層模型和OSI 七層模型對(duì)應(yīng)表

OSI 七層網(wǎng)絡(luò)模型 Linux TCP/IP 四層概念模型 對(duì)應(yīng)網(wǎng)絡(luò)協(xié)議

應(yīng)用層 （Application ） TFTP, FTP, NFS, WAIS

表示層 （Presentation ） 應(yīng)用層 Telnet, Rlogin,

SNMP, Gopher

會(huì)話層 （Session ） SMTP, DNS

傳輸層 （Transport ） 傳輸層 TCP, UDP

網(wǎng)絡(luò)層 （Network ） 網(wǎng)際層 IP, ICMP, ARP, RARP, AKP, UUCP

數(shù)據(jù)鏈路層 （Data Link ） FDDI, Ethernet, Arpanet, PDN, SLIP, PPP

網(wǎng)絡(luò)接口

物理層 （Physical ） IEEE 802.1A, IEEE 802.2 到IEEE 802.11

1．網(wǎng)絡(luò)接口

網(wǎng)絡(luò)接口把數(shù)據(jù)鏈路層和物理層放在一起，對(duì)應(yīng)TCP/IP 概念模型的網(wǎng)絡(luò)接口。對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議主

要是：Ethernet 、FDDI 和能傳輸IP 數(shù)據(jù)包的任何協(xié)議。

2．網(wǎng)際層

網(wǎng)絡(luò)層對(duì)應(yīng)Linux TCP/IP 概念模型的網(wǎng)際層，網(wǎng)絡(luò)層協(xié)議管理離散的計(jì)算機(jī) 的數(shù)據(jù)傳輸，如IP

協(xié)議為用戶(hù)和遠(yuǎn)程計(jì)算機(jī)提供了信息包的傳輸方法，確保信息包能正確地到達(dá)目的機(jī)器。這一過(guò)程中，

IP 和其他網(wǎng)絡(luò)層的協(xié)議共同用于數(shù)據(jù)傳輸，如果沒(méi)有使用一些監(jiān)視系統(tǒng)進(jìn)程的工具，用戶(hù)是看不到在

系統(tǒng)里的IP 的。網(wǎng)絡(luò)嗅探器Sniffers 是能看到這些過(guò)程的一個(gè)裝置（它可以是軟件，也可以是硬件），

4

----------------------- Page 5-----------------------

第1 章 Linux 網(wǎng)絡(luò)基礎(chǔ)與Linux 服務(wù)器的安全威脅

它能讀取通過(guò)網(wǎng)絡(luò)發(fā)送的每一個(gè)包，即能讀取發(fā)生在網(wǎng)絡(luò)層協(xié)議的任何活動(dòng)，因此網(wǎng)絡(luò)嗅探器Sniffers

會(huì)對(duì)安全造成威脅。重要的網(wǎng)絡(luò)層協(xié)議包括ARP （地解析協(xié)議）、ICMP （Internet 控制消息協(xié)議）和

IP 協(xié)議（網(wǎng)際協(xié)議）等。

3．傳輸層

傳輸層對(duì)應(yīng)Linux TCP/IP 概念模型的傳輸層。傳輸層提供應(yīng)用程序 的通信。其功能包括：格式

化信息流；提供可靠傳輸。為實(shí)現(xiàn)后者，傳輸層協(xié)議規(guī)定接收端必須發(fā)回確認(rèn)信息，如果分組丟失，

必須重新發(fā)送。傳輸層包括TCP （Transmission Control Protocol ，傳輸控制協(xié)議）和UDP （User Datagram

Protocol ，用戶(hù)數(shù)據(jù)報(bào)協(xié)議），它們是傳輸層中最主要的協(xié)議。TCP 建立在IP 之上，定義了網(wǎng)絡(luò)上程

序到程序的數(shù)據(jù)傳輸格式和規(guī)則，提供了IP 數(shù)據(jù)包的傳輸確認(rèn)、丟失數(shù)據(jù)包的重新請(qǐng)求、將收到的數(shù)

據(jù)包按照它們的發(fā)送次序重新裝配的機(jī)制。TCP 協(xié)議是面向連接的協(xié)議，類(lèi)似于打電話，在開(kāi)始傳輸

數(shù)據(jù)之前，必須先建立明確的連接。UDP 也建立在IP 之上，但它是一種無(wú)連接協(xié)議，兩臺(tái)計(jì)算機(jī)之

的傳輸類(lèi)似于傳遞郵件：消息從一臺(tái)計(jì)算機(jī)發(fā)送到另一臺(tái)計(jì)算機(jī)，兩者之間沒(méi)有明確的連接。UDP

不保證數(shù)據(jù)的傳輸，也不提供重新排列次序或重新請(qǐng)求的功能，所以說(shuō)它是不可靠的。雖然UDP 的不

可靠性限制了它的應(yīng)用場(chǎng)合，但它 TCP 具有更好的傳輸效率。

4．應(yīng)用層

應(yīng)用層、表示層和會(huì)話層對(duì)應(yīng)Linux TCP/IP 概念模型中的應(yīng)用層。應(yīng)用層位于協(xié)議棧的頂端，它

的主要任務(wù)是應(yīng)用。一般是可見(jiàn)的，如利用FTP （文件傳輸協(xié)議）傳輸一個(gè)文件，請(qǐng)求一個(gè)和目標(biāo)計(jì)

算機(jī)的連接，在傳輸文件的過(guò)程中，用戶(hù)和遠(yuǎn)程計(jì)算機(jī)交換的一部分是能看到的。常見(jiàn)的應(yīng)用層協(xié)議

有：HTTP ，F(xiàn)TP ，Telnet ，SMTP 和Gopher 等。應(yīng)用層是Linux 網(wǎng)絡(luò)設(shè)定最關(guān)鍵的一層。Linux 服務(wù)

器的配置文檔主要針對(duì)應(yīng)用層中的協(xié)議。TCP/IP 模型各個(gè)層次的功能和協(xié)議如表1-2 所示。

表1-2 TCP/IP 模型各個(gè)層次的功能和協(xié)議

層次名稱(chēng) 功 能 協(xié) 議

網(wǎng)絡(luò)接口 負(fù)責(zé)實(shí)際數(shù)據(jù)的傳輸，對(duì)應(yīng)OSI 參考模型的下兩層 HDLC （高級(jí)鏈路控制協(xié)議）

（Host-to-Net Layer） PPP （點(diǎn)對(duì)點(diǎn)協(xié)議）

SLIP （串行線路接口協(xié)議）

網(wǎng)際層 負(fù)責(zé)網(wǎng)絡(luò) 的尋 IP （網(wǎng)際協(xié)議）

（Inter-network Layer ） 數(shù)據(jù)傳輸，對(duì)應(yīng)OSI 參考模型的第三層 ICMP （網(wǎng)際控制消息協(xié)議）

ARP （地解析協(xié)議）

RARP （反向地 解析協(xié)議）

傳輸層 負(fù)責(zé)提供可靠的傳輸服務(wù)，對(duì)應(yīng)OSI 參考模型的第四 TCP （控制傳輸協(xié)議）

（Transport Layer） 層 UDP （用戶(hù)數(shù)據(jù)報(bào)協(xié)議）

應(yīng)用層 負(fù)責(zé)實(shí)現(xiàn)一切與應(yīng)用程序相關(guān)的功能，對(duì)應(yīng)OSI 參考 FTP （文件傳輸協(xié)議）

（Application Layer ） 模型的上三層 HTTP （超文本傳輸協(xié)議）

DNS （域名服務(wù)器協(xié)議）

SMTP （簡(jiǎn)單郵件傳輸協(xié)議）

NFS （網(wǎng)絡(luò)文件系統(tǒng)協(xié)議）

說(shuō)明 TCP/IP 與OSI 最大的不同在于OSI 是一個(gè)理論上的網(wǎng)絡(luò)通信模型，而TCP/IP 則是

實(shí)際運(yùn)行的網(wǎng)絡(luò)協(xié)議。

5

----------------------- Page 6-----------------------

服務(wù)器安全策略詳解

1.1.3 TCP/IP 提供的主要用戶(hù)應(yīng)用程序

1．Telnet 程序

Telnet 程序提供遠(yuǎn)程登錄功能。

2．文件傳輸協(xié)議

文件傳輸協(xié)議（FTP ）允許用戶(hù)將一個(gè)系統(tǒng)上的文件復(fù)制到另一個(gè)系統(tǒng)上。

3．簡(jiǎn)單郵件傳輸協(xié)議

簡(jiǎn)單郵件傳輸協(xié)議（SMTP ）用于傳輸電子郵件。

4．Kerberos 協(xié)議

Kerberos 是一個(gè)受到廣泛支持的安全性協(xié)議。

5．域名服務(wù)器協(xié)議

域名服務(wù)器協(xié)議（DNS ）能使一臺(tái)設(shè)備具有的普通名字轉(zhuǎn)換成某個(gè)特定的網(wǎng)絡(luò)地 。

6．簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議

簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP ）把用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP ）作為傳輸機(jī)制，它使用和TCP/IP 不同的

術(shù)語(yǔ)，TCP/IP 用客戶(hù)端和服務(wù)器，而SNMP 用管理器（Manager ）和代理（Agent ），代理提供設(shè)備信

息，而管理器管理網(wǎng)絡(luò)通信。

7．網(wǎng)絡(luò)文件系統(tǒng)協(xié)議

網(wǎng)絡(luò)文件系統(tǒng)協(xié)議（NFS ）是由SUN Microsystems 公司開(kāi)發(fā)的一套協(xié)議，可使多臺(tái)計(jì)算機(jī)能透明

地訪問(wèn)彼此的目錄。

8．遠(yuǎn)程過(guò)程調(diào)用

遠(yuǎn)程過(guò)程調(diào)用 （RPC ）是使應(yīng)用軟件能與另一臺(tái)計(jì)算機(jī)（服務(wù)器）通信的一些 數(shù)。

9．普通文件傳輸協(xié)議

普通文件傳輸協(xié)議（TFTP ）是一種缺乏任何安全性的、非常簡(jiǎn)單落后的文件傳輸協(xié)議。

10．傳輸控制協(xié)議

傳輸控制協(xié)議（TCP/IP 中的TCP 部分）是一種數(shù)據(jù)可靠傳輸?shù)耐ㄐ艆f(xié)議。

11．網(wǎng)際協(xié)議

網(wǎng)際協(xié)議（IP ）負(fù)責(zé)在網(wǎng)絡(luò)上傳輸由TCP/UDP 裝配的數(shù)據(jù)包。

12．網(wǎng)際控制消息協(xié)議

網(wǎng)際控制消息協(xié)議負(fù)責(zé)根據(jù)網(wǎng)絡(luò)上設(shè)備的狀態(tài)發(fā)出和檢查消息，它可以將某臺(tái)設(shè)備的故障通知到

其他設(shè)備。

1.1.4 端口號(hào)分配

TCP 和UDP 采用16bit 的端口號(hào)來(lái)識(shí)別應(yīng)用程序。那么這些端口號(hào)是如何選擇的呢？

6

----------------------- Page 7-----------------------

第1 章 Linux 網(wǎng)絡(luò)基礎(chǔ)與Linux 服務(wù)器的安全威脅

服務(wù)器一般都是通過(guò)知名端口號(hào)來(lái)識(shí)別的。例如，對(duì)于TCP/IP 實(shí)現(xiàn)來(lái)說(shuō)，每個(gè)FTP 服務(wù)器的TCP

端口號(hào)都是21，每個(gè)Telnet 服務(wù)器的TCP 端口號(hào)都是23，每個(gè)TFTP （普通文件傳輸協(xié)議）服務(wù)器的

UDP 端口號(hào)都是69。任何TCP/IP 實(shí)現(xiàn)所提供的服務(wù)都用知名的1~1 023 之 的端口號(hào)。這些知名端

口號(hào)由Internet 號(hào)分配機(jī)構(gòu)（Internet Assigned Numbers Authority, IANA ）來(lái)管理。

到1992 年為止，知

名端口號(hào)介于1~255 之 。256~1 023 之 的端口號(hào)通常都是由UNIX 系統(tǒng)占用，以提供一些特定的

UNIX 服務(wù)，也就是說(shuō)，提供一些只有UNIX 系統(tǒng)才有的，而其他操作系統(tǒng)可能不提供的服務(wù)。現(xiàn)在

IANA 管理1~1 023 之間所有的端口號(hào)。

Internet 擴(kuò)展服務(wù)與UNIX 特定服務(wù)之 的一個(gè)差別就是telnet 和rlogin ，它們二者都允許通過(guò)計(jì)

算機(jī)網(wǎng)絡(luò)登錄到其他主機(jī)上。telnet 是采用端口號(hào)為23 的TCP/IP 標(biāo)準(zhǔn)，且?guī)缀蹩梢栽谒胁僮飨到y(tǒng)上

進(jìn)行實(shí)現(xiàn)。相反，rlogin 最開(kāi)始時(shí)只是為UNIX 系統(tǒng)設(shè)計(jì)的（盡管許多非UNIX 系統(tǒng)現(xiàn)在也提供該服

務(wù)），因此在20 世紀(jì)80 年代初，它的端口號(hào)為513，客戶(hù)端通常對(duì)它所使用的端口號(hào)并不關(guān)心，只

須保證該端口號(hào)在本機(jī)上是唯一的即可?？蛻?hù)端口號(hào)又稱(chēng)做臨時(shí)端口號(hào) （即存在時(shí) 很短暫），這是

因?yàn)樗ǔＶ皇窃谟脩?hù)運(yùn)行該客戶(hù)程序時(shí)才存在，而服務(wù)器則只要主機(jī)開(kāi)著，其服務(wù)就運(yùn)行。

大多數(shù)TCP/IP 實(shí)現(xiàn)給臨時(shí)端口分配1 024~5 000 之 的端口號(hào)。大于5 000 的端口號(hào)是為其他服

務(wù)器預(yù)留的（Internet 上并不常用的服務(wù)）。我們可以在后面看見(jiàn)許多給臨時(shí)端口分配端口號(hào)的例子。

大多數(shù)Linux 系統(tǒng)的文件/etc/services 都包含了人們熟知的端口號(hào)。為了找到telnet 服務(wù)，可以運(yùn)行以

下語(yǔ)句：“grep telnet /etc/services”。表1-3 是一些常用TCP 服務(wù)和端口。

表1-3 常用TCP 務(wù)和端口

TCP 端口 服 務(wù) 名 功 能

7 echo echo 字符 （用于測(cè)試）

9 discard 丟棄字符串（用于測(cè)試）

13 daytime 日期服務(wù)

19 chargen 字符生成器

21 ftp 文件傳輸協(xié)議（FTP ）

22 ssh 安全shell （虛擬終端或文件傳輸）

23 telnet

25 smtp

37 time

42 nameserve TCP

43 whois NIC whois

53 domain

79 finger

80 http WWW

110 pop3

111 sunrpc SUN

113 auth

119 nntp

143 imap

443 https

5 12 exec

5 13 login

514 shell

遠(yuǎn)程登錄 電子郵件 時(shí) 服務(wù) 名字服務(wù) 服務(wù) 域名服務(wù) （DNS ） 用戶(hù)信息 （萬(wàn)維網(wǎng)） 郵局協(xié)議3 （POP3 ） 的遠(yuǎn)程過(guò)程調(diào)用 （RPC ） 遠(yuǎn)程用戶(hù)名認(rèn)證服務(wù) 網(wǎng)絡(luò)新聞傳輸協(xié)議（NNTP ） 交互式郵件訪問(wèn)協(xié)議 用SSL 加密的HTTP 在遠(yuǎn)程UNIX 主機(jī)上執(zhí)行命令 登錄到遠(yuǎn)程UNIX 主機(jī)（rlogin ） 從遠(yuǎn)程UNIX 主機(jī)獲得shell （rsh ）