Linux的网络安全防范策略

一、linux潜在网络安全威胁
        拒绝服务攻击是指利用传输协议的漏洞、系统漏洞、服务漏洞，通过发送超出目标主机处理能力的海量合理请求数据包的方式，消耗目标主机的CPU资源,造成程序缓冲区溢出错误，使目标主机的某些服务暂停或主机死机。例如，攻击者发送大量的伪造TCP 连接请求，造成目标主机产生大量的半开连接，进而使目标主机因内存不足而瘫痪。攻击者构造TCP数据，伪装自己的IP，给服务器发送带RST的TCP数据段，使服务器认为连接有误，清空缓存并重新建立连接，使服务器不对合法用户提供服务。由于拒绝服务攻击手段多样，并且暂时无法改变协议缺陷，使拒绝服务攻击成为目前最常见最难预防的攻击方式。
       口令破解攻击的目的是破解用户的口令，获得加密的信息资源。
       欺骗用户攻击是指黑客假冒技术人员，骗取用户口令，从而登录用户的帐号进入系统。
　　黑客利用扫描工具找出目标主机上各种漏洞，从而对系统实施攻击，利用网络监听收集数据或者认证信息，为夺取其他主机控制权做准备。

二、Linux网络安全防范策略
1.关闭无用端口
       可通过端口检测程序对端口进行检测，关闭无用的端口。
2.关闭无用服务
        为了有效降低安全隐患，可将无用服务全部关闭。使用命令systemctl disable <服务名>设置服务在开机时不自动启动。
（1）禁止fingerd 服务。Linux 系统下的finger 命令能够显示指定用户详细信息，应尽量禁止启动finger 服务。
（2）严禁设置默认路由。应结合系统的运行情况，为每个子网段或网段单独进行路由的设置，以有效避免其他机器通过某些途径非法访问该主机。
3.防止暴力破解ssh
        SSH服务使用SSH协议，可以用来进行远程控制，或在计算机之间传送文件。相比较之前用的Telnet方式来传输文件要安全很多，因为Telnet使用明文传输，SSH是加密传输。对ssh服务进行安全加固，防止攻击者暴力破解SSH账户和密码。对此，主要有以下几种方法：
（1）修改ssh服务账户名为不常见的名称，并且设置复杂密码，确保可以成功登录后，对root账户进行锁定
查询是否安装ssh：rmp -qa |grep ssh

用/bin/systemctl start sshd.service开启ssh服务

以普通用户yao身份连接目标主机，成功后可以执行命令，例如关机命令：ssh 192.168.0.108 “shutdown -h now”, 复制文件到目标主机命令：scp /etc/password yao@192.168.0.108 /tmp复制目录的命令加-rsh即可。

连接sftp服务命令：sftp yao@192.168.0.108,访问的是22端口

添加用户户名：useradd zhuazei
设置复杂密码Passwd !$

将uid改成0, vim /etc/passwd

待测试成功可以登录后，锁定root账户：Passwd -l root

 （2）修改ssh服务端口为不常见端口,配置使用非22端口，修改SSH使用的协议版本，只允许ssh2。
打开ssh的配置文件，用vim /etc/ssh/sshd_config

修改端口后，再次连接时需要加上-p 端口号，例如

（3）限制登陆时间，没有在规定的时间内连接成功，强制断开连接。
LoginGraceTime 120
（4）设置同时发生的未验证的并发量，配置同时可以几个ssh登录链接请求，超过数量后自动清零。
MaxStartups 3
（5）设置密码验证次数
使用man命令查看配置的帮助手册：man sshd_config,找到设置密码验证次数的命令：maxAuthTries
（6）不允许root账号直接登录系统，设置 PermitRootLogin 的值为 no。
（7）配置ssh密钥认证
生成密钥ssh-keygen -t rsa,输入密钥的password,不想每次输入可以为空。

可以看到已经生成密钥文件，将密钥发给目标主机，文件名称必须是这个authorized_keys
scp id_rsa.pub 192.168.3.195:~/.ssh/authorized_keys

对方接收后可以直接连接对方的ssh，不需要认证ssh 192.168.0.108

将私钥改名authorized_keys，拷到u盘,可随时访问目标主机
mv id_rsa.pub authorized_keys
scp id_rsa 192.168.3.195:.ssh/