LFCA：如何提高 Linux 网络安全 - 第 19 部分

在日益互联的世界中，网络安全日益成为组织投入大量时间和资源的领域之一。这是因为公司的网络是任何 IT 基础设施的骨干，连接所有服务器和网络设备。如果网络遭到破坏，该组织将几乎受到黑客的摆布。关键数据可能会被泄露，以业务为中心的服务和应用程序可能会瘫痪。

网络安全是一个相当广泛的话题，通常采用双管齐下的方法。网络管理员通常会安装防火墙、IDS（入侵检测系统）和IPS（入侵防御系统）等网络安全设备作为第一道防线。虽然这可能提供了不错的安全层，但需要在操作系统级别采取一些额外的步骤来防止任何漏洞。

此时，您应该已经熟悉 IP 寻址、TCP/IP 服务和协议等网络概念。您还应该了解基本的安全概念，例如设置强密码和设置防火墙。

在介绍确保系统安全的各种步骤之前，让我们首先概述一些常见的网络威胁。

什么是网络攻击？

大型且相当复杂的企业网络可能依赖多个连接的端点来支持业务运营。虽然这可能提供简化工作流程所需的连接，但它带来了安全挑战。更大的灵活性意味着更广泛的威胁环境，攻击者可以利用它来发起网络攻击。

那么，什么是网络攻击呢？

网络攻击是对组织网络的未经授权的访问，其唯一目的是访问和窃取数据以及执行其他邪恶活动，例如破坏网站和破坏应用程序。

网络攻击有两大类。

• 被动攻击：在被动攻击中，黑客获得未经授权的访问权限，仅监视和窃取数据，而不修改或破坏数据。
• 主动攻击：在这里，攻击者不仅渗透网络窃取数据，还修改、删除、破坏或加密数据并破坏应用程序，并导致正在运行的服务瘫痪。不可否认，这是两次攻击中最具破坏性的一次。

网络攻击的类型

让我们回顾一下可能危害 Linux 系统的一些常见网络攻击：

1. 软件漏洞

运行旧的和过时的软件版本很容易使您的系统面临风险，这很大程度上是因为其中潜伏着固有的漏洞和后门。在上一个有关数据安全的主题中，我们了解了 Equifax 客户投诉门户上的漏洞如何被黑客利用并导致最臭名昭著的数据泄露事件之一。

出于这个原因，始终建议通过将软件应用程序升级到最新版本来不断应用软件补丁。

2. 中间人攻击

中间人攻击通常缩写为 MITM，是一种攻击者拦截用户与应用程序或端点之间的通信的攻击。通过将自己置于合法用户和应用程序之间，攻击者能够消除加密并窃听发送和接收的通信。这使他能够检索机密信息，例如登录凭据和其他个人身份信息。

此类攻击的可能目标包括电子商务网站、SaaS 企业和金融应用程序。为了发起此类攻击，黑客利用数据包嗅探工具从无线设备捕获数据包。然后，黑客将恶意代码注入正在交换的数据包中。

3. 恶意软件

恶意软件是恶意软件的混合体，包括广泛的恶意应用程序，例如病毒、特洛伊木马、间谍软件和勒索软件等。一旦进入网络，恶意软件就会在各种设备和服务器上传播。

根据恶意软件的类型，后果可能是毁灭性的。病毒和间谍软件能够监视、窃取和泄露高度机密的数据、损坏或删除文件、降低网络速度，甚至劫持应用程序。勒索软件会对文件进行加密，然后无法访问，除非受害者提供大量赎金。

4. 分布式拒绝服务 (DDoS) 攻击

DDoS 攻击是一种恶意用户使目标系统无法访问，从而阻止用户访问关键服务和应用程序的攻击。攻击者使用僵尸网络向目标系统发送大量 SYN 数据包，最终导致目标系统在一段时间内无法访问，从而实现这一目的。 DDoS 攻击可能会导致数据库和网站瘫痪。

5. 内部威胁/流氓员工

拥有特权访问权限的心怀不满的员工很容易破坏系统。由于员工不需要渗透网络，此类攻击通常难以检测和防范。此外，一些员工在插入带有恶意软件的 USB 设备时，可能会无意中使网络感染恶意软件。

减轻网络攻击

让我们看看您可以采取一些措施来设置屏障，从而提供相当程度的安全性来减轻网络攻击。

1. 保持软件应用程序最新

在操作系统级别，更新软件包将修补任何现有漏洞，这些漏洞可能使您的系统面临黑客攻击的风险。

实施基于主机的防火墙

除了通常提供抵御入侵的第一道防线的网络防火墙之外，您还可以实施基于主机的防火墙，例如firewalld和UFW防火墙。这些是简单而有效的防火墙应用程序，通过基于一组规则过滤网络流量来提供额外的安全层。

3.禁用你不需要的服务

如果您正在运行但未经常使用的服务，请禁用它们。这有助于最大限度地减少攻击面，并使攻击者利用和发现漏洞的选择最少。

在同一行中，您可以使用 Nmap 等网络扫描工具来扫描和探测任何开放端口。如果打开了不必要的端口，请考虑在防火墙上阻止它们。

4. 配置 TCP 包装器

TCP 包装器是基于主机的 ACL（访问控制列表），它根据一组规则（例如 IP 地址）限制对网络服务的访问。 TCP 包装器引用以下主机文件来确定在何处授予或拒绝客户端访问网络服务的权限。

• /etc/hosts.allow
• /etc/hosts.deny

有几点需要注意：

1. 规则是从上到下阅读的。首先应用给定服务的第一个匹配规则。请注意，顺序非常重要。
2. 首先应用 /etc/hosts.allow 文件中的规则，并优先于 /etc/hosts.deny 文件中定义的规则。这意味着，如果在 /etc/hosts.allow 文件中允许访问网络服务，则在 /etc/hosts.deny 文件中拒绝对同一服务的访问会被忽视或忽视。
3. 如果两个主机文件中都不存在服务规则，则默认授予对该服务的访问权限。
4. 对两个主机文件所做的更改会立即生效，无需重新启动服务。

5. 保护远程协议并使用 VPN

在之前的主题中，我们了解了如何保护 SSH 协议以阻止恶意用户访问您的系统。同样重要的是使用 VPN 发起对 Linux 服务器的远程访问，尤其是通过公共网络。 VPN 对服务器和远程主机之间交换的所有数据进行加密，从而消除了通信被窃听的机会。

6. 全天候网络监控

使用 WireShark 等工具监控您的基础设施将帮助您监控和检查流量中是否存在恶意数据包。您还可以实施fail2ban 来保护您的服务器免受暴力攻击。

7. 安装反恶意软件

由于 Linux 的日益普及和使用，它越来越成为黑客的目标。因此，谨慎的做法是安装安全工具来扫描系统中是否存在 rootkit、病毒、特洛伊木马和任何形式的恶意软件。

有一些流行的开源解决方案，例如 ClamAV，它们可以有效地检测并阻止恶意软件。您还可以考虑安装 chkrootkit 来检查系统上是否存在 Rootkit 迹象。

8. 网络分段

考虑将您的网络分段为 VLAN（虚拟局域网）。这是通过在同一网络上创建充当独立网络的子网来完成的。对网络进行分段可以极大地限制某个区域的违规影响，并使黑客更难以穿越其他子网进行访问。

9. 加密无线设备

如果您的网络中有无线路由器或接入点，请确保它们使用最新的加密技术，以最大限度地降低中间人攻击的风险。

概括

网络安全是一个很大的话题，包括在网络硬件部分采取措施，以及在操作系统上实施基于主机的策略，以添加针对入侵的保护层。所概述的措施将大大有助于提高系统针对网络攻击媒介的安全性。