隨著Linux企業應（yīng）用的擴（kuò）展，有大量的網絡服務器使用Linux操作係統。Linux服（fú）務器的（de）安全性能（néng）受到（dào）越來越多的（de）關（guān）注，這裏根據（jù）Linux服務器受到（dào）攻擊（jī）的深度以級別（bié）形式列出，並提出不同的解決方案。

對Linux服務器攻擊的定義是：攻擊是一種旨在妨礙（ài）、損害、削弱、破壞Linux服務器安全的未授權（quán）行為。攻擊的範圍可以從服務（wù）拒（jù）絕直至完全危害和破（pò）壞Linux服務器。對Linux服務器攻擊有許多種類，本文從攻擊深度的角度（dù）說明，我（wǒ）們把攻擊分為（wéi）四級。

攻擊級別一：服（fú）務拒絕攻擊（DoS）

由（yóu）於DoS攻擊工具的泛濫（làn），及所針對的（de）協議層的缺陷短時無法改（gǎi）變的事實，DoS也就成為了（le）流傳最廣（guǎng）、最（zuì）難防範的（de）攻擊方式。

服務拒絕攻擊包括分布式（shì）拒絕服（fú）務攻擊、反（fǎn）射式分（fèn）布拒絕服務攻擊、DNS分（fèn）布拒絕服（fú）務攻擊、FTP攻（gōng）擊等。大多數服務拒絕攻擊（jī）導（dǎo）致（zhì）相（xiàng）對低級的危（wēi）險，即便是那些可能導致係統重啟的攻擊也僅僅是暫時性的問（wèn）題（tí）。這類攻擊在很大程度（dù）上不同（tóng）於那些想獲取網絡控（kòng）製的攻擊，一般不會對數據安全有影（yǐng）響，但是服務拒（jù）絕攻（gōng）擊會持續很長一段時（shí）間，非常難纏。

到目前為止，沒有（yǒu）一（yī）個絕對的（de）方法可以製止這類（lèi）攻（gōng）擊。但這並（bìng）不表明我們就應束手就擒，除（chú）了強調（diào）個人主機加強保護不被（bèi）利用（yòng）的重要（yào）性（xìng）外，加強（qiáng）對服務器的管理是非常（cháng）重要的（de）一環。一定要（yào）安裝（zhuāng）驗（yàn）證軟件和過（guò）濾（lǜ）功能，檢驗該報（bào）文的源地址的（de）真實地址。另外（wài）對於幾種服務拒絕可以（yǐ）采用以下措施：關閉不（bú）必要的服務、限製同時（shí）打開（kāi）的Syn半（bàn）連接（jiē）數目、縮短（duǎn）Syn半連接的（de）time out 時間（jiān）、及時更新係統補丁（dīng）。

攻（gōng）擊級別二：本地用戶獲取了（le）他們非授權的文件的讀寫權（quán）限

本地用戶是指在（zài）本地網絡（luò）的任一台機器（qì）上有口令、因而在某一（yī）驅動（dòng）器上有（yǒu）一個目錄的用戶。本（běn）地用戶獲取到了他們（men）非授（shòu）權的文（wén）件的讀（dú）寫權限（xiàn）的問題是否（fǒu）構成危險很大程（chéng）度上（shàng）要（yào）看被訪問文件的關鍵性。任何本地用戶隨意訪問（wèn）臨時文件目錄（/tmp）都（dōu）具有危險性，它能夠潛在地鋪設一條通（tōng）向下一（yī）級（jí）別攻擊的路徑。

級別二的主要攻擊方（fāng）法是：黑客誘騙合法用戶（hù）告知其機密（mì）信息或執行（háng）任務，有（yǒu）時（shí）黑客會（huì）假裝網絡管理人員向用戶發送郵（yóu）件，要求用戶給他係統升級的密碼。

由（yóu）本（běn）地用戶（hù）啟動的攻擊幾乎都是（shì）從遠程登錄（lù）開（kāi）始。對於Linux服（fú）務器，最（zuì）好的辦（bàn）法是將所（suǒ）有shell賬號放置於一個單（dān）獨的機器上，也就是說，隻在一台或多台分配有shell訪問的服（fú）務器（qì）上（shàng）接受注冊。這可（kě）以使日誌管理、訪問控製（zhì）管理、釋（shì）放協（xié）議和其他潛在的安全問（wèn）題管理更容易些（xiē）。還應該將（jiāng）存放用戶CGI的係統區分出（chū）來。這些機器應該隔（gé）離在特定（dìng）的網絡區（qū）段，也就是說，根據網（wǎng）絡的配置情況，它們應該（gāi）被（bèi）路由器或網絡（luò）交（jiāo）換機包圍。其拓撲結構應該（gāi）確保硬件（jiàn）地址欺騙也不能超出這個區段。

攻擊（jī）級別三：遠（yuǎn）程用（yòng）戶獲得（dé）特權文件的讀寫權限

第三級別（bié）的攻（gōng）擊能（néng）做到的（de）不隻是（shì）核實特定文件是否存在，而且還（hái）能讀（dú）寫這些文件。造成這種情況的（de）原因是：Linux服務（wù）器配置中出（chū）現這（zhè）樣一些弱（ruò）點（diǎn）：即遠程用戶無（wú）需有效賬號就可（kě）以在服（fú）務器上執行有限數量的（de）命令。

密碼攻擊法是第三級別中的主要（yào）攻擊法，損壞密（mì）碼是最常見的攻擊方法。密碼破解是用（yòng）以描（miáo）述在使用（yòng）或不（bú）使用工具的情況下滲透網絡（luò）、係統或資源以解鎖（suǒ）用密（mì）碼保護的資源的一個術語。用戶常（cháng）常忽略他們（men）的密碼，密（mì）碼（mǎ）政（zhèng）策很難得到（dào）實施（shī）。黑客有多種工具可以擊敗技術和（hé）社（shè）會所保護的密（mì）碼。主（zhǔ）要包括：字典攻擊（Dictionary attack）、混（hún）合攻擊（Hybrid attack）、蠻力攻擊（jī）（Brute force attack）。一旦（dàn）黑客擁有了用戶的密碼（mǎ），他就有很多用戶的（de）特權。密（mì）碼猜想是（shì）指手工進入普通密（mì）碼或通過編好程序（xù）的正本（běn）取得密碼（mǎ）。一些用戶選擇簡（jiǎn）單的密碼—如生日、紀念（niàn）日（rì）和配偶（ǒu）名（míng）字（zì），卻（què）並不遵循應使（shǐ）用字（zì）母、數字混合使用的規（guī）則。對黑客來說要猜出（chū）一串8個字生日數（shù）據不（bú）用花多長時（shí）間（jiān）。

防範第三級別的攻（gōng）擊的最好的防（fáng）衛方法（fǎ）便是（shì）嚴格控製（zhì）進入特權，即使用（yòng）有（yǒu）效的（de）密（mì）碼。

◆ 主要（yào）包括密碼應當遵循字（zì）母、數字、大（dà）小寫（因為Linux對大小寫是有區分）混合使用的規則。

◆ 使用象“#”或“%”或“$”這樣的特殊字（zì）符也會（huì）添加（jiā）複（fù）雜（zá）性。例如采用"countbak"一詞，在它後麵添加“#$”（countbak#$），這樣您就擁有了一個相當有（yǒu）效的密碼。

攻擊級別四：遠程用戶獲得根權限

第四攻擊級別是（shì）指那些（xiē）決不應該發生的事發生了，這是致命的攻擊（jī）。表（biǎo）示（shì）攻擊者擁有Linux服務器的根、超級用戶或管理（lǐ）員許可權，可以讀、寫並執行所（suǒ）有文件。換句（jù）話說，攻擊（jī）者（zhě）具有對（duì）Linux服（fú）務器的全部控製權，可（kě）以在任何時刻都能夠完全關閉甚至（zhì）毀滅此網絡。

攻（gōng）擊級（jí）別四主（zhǔ）要攻擊形式（shì）是TCP/IP連續偷竊，被動通（tōng）道聽取和（hé）信息（xī）包攔（lán）截。TCP/IP連續偷竊，被動通道聽（tīng）取和信息包（bāo）攔截，是為進入網（wǎng）絡收（shōu）集重要信息的方（fāng）法，不像（xiàng）拒絕（jué）服務攻擊，這些方法（fǎ）有（yǒu）更多（duō）類似偷竊的性質，比較隱蔽不易被發現。一次成功的TCP/IP攻擊能讓黑客阻攔（lán）兩個團體之間的交易，提供中間人襲擊的良好機會（huì），然（rán）後黑客會（huì）在不被（bèi）受害者注意的（de）情況下控製一方或雙方的（de）交易。通過被動竊聽，黑（hēi）客會操縱和登（dēng）記信（xìn）息，把文件送（sòng）達，也會（huì）從目標（biāo）係統上所有可通過的通道找到可（kě）通過（guò）的（de）致命要害。黑（hēi）客會尋找聯機（jī）和（hé）密（mì）碼（mǎ）的結合點，認出申請合法的（de）通（tōng）道（dào）。信（xìn）息（xī）包攔（lán）截是（shì）指在目（mù）標係統（tǒng）約束一個活躍的聽者程序以攔截和更改所有的（de）或特別的信息的地址。信息（xī）可被改送到非（fēi）法（fǎ）係統（tǒng）閱讀，然後不（bú）加改變地送回給黑客（kè）。

TCP/IP連續偷竊實際就是網絡嗅探，注（zhù）意如果您確信有（yǒu）人接了嗅探器到自己的（de）網絡上，可以去找（zhǎo）一些（xiē）進行驗證（zhèng）的工具。這種（zhǒng）工具（jù）稱為時域反（fǎn）射計量器（qì）(Time Domain Reflectometer，TDR)。TDR對（duì）電磁波的（de）傳播和變（biàn）化進行測（cè）量。將一個（gè）TDR連接到網絡上，能夠（gòu）檢測到未授權的獲取網絡數據的設（shè）備（bèi）。不過很多（duō）中小公司沒有這種價格昂貴的工具。對（duì）於防範嗅探器的攻擊最好的方法是：

1、安全（quán）的拓撲（pū）結構（gòu）。嗅探器隻能（néng）在當（dāng）前網絡段上進行（háng）數（shù）據捕獲。這（zhè）就意味著（zhe），將網（wǎng）絡（luò）分段工作進行得越細，嗅探器能（néng）夠收集的信（xìn）息就越少。
2、會（huì）話（huà）加密。不用特（tè）別地擔（dān）心數據被嗅探，而是要想辦法使得（dé）嗅探（tàn）器不認（rèn）識嗅探到的數據。這種方法（fǎ）的（de）優點是明顯的：即使攻（gōng）擊（jī）者（zhě）嗅探到了（le）數據，這些數據對（duì）他也是沒有用（yòng）的。

特別提示（shì）：應對攻擊的反擊（jī）措施

對於超過（guò）第二級別的攻擊您就要（yào）特別注意（yì）了（le）。因為它們可（kě）以不斷的（de）提升攻擊級別（bié），以滲（shèn）透Linux服務（wù）器。此時，我們可以采取（qǔ）的反（fǎn）擊措施有：
◆ 首先備份（fèn）重要的企業關鍵（jiàn）數（shù）據。

◆ 改變係統中所有口令，通（tōng）知用戶找（zhǎo）係統管理員（yuán）得到新口令。

◆ 隔離該網絡網段使攻擊行為僅出現在一個（gè）小範圍內。

◆ 允許（xǔ）行為繼續進行。如有（yǒu）可（kě）能，不要急於把攻擊者趕（gǎn）出係統，為下一步作準（zhǔn）備。

◆ 記錄（lù）所有行為，收集證據。這些證據包括：係統登錄（lù）文件、應（yīng）用（yòng）登（dēng）錄文件、AAA（Authentication、Authorization、 Accounting，認證、授權、計費）登錄文件（jiàn），RADIUS（Remote Authentication Dial-In User Service） 登錄，網絡單（dān）元登錄（Network Element Logs）、防火牆登錄、HIDS（Host-base IDS，基（jī）於主機的（de）入侵檢測係統） 事（shì）件、NIDS（網絡入侵（qīn）檢測（cè）係統）事件、磁盤驅動（dòng）器（qì）、隱含文件等（děng）。收（shōu）集證據時要注意：在移動（dòng）或拆卸任（rèn）何設備之前都要拍照；在調查中要遵循兩人法（fǎ）則，在信息收集中要至少有（yǒu）兩個人，以（yǐ）防止篡改（gǎi）信息；應記錄所采（cǎi）取的所有步驟以及對配置（zhì）設置的任何改變，要（yào）把這些記錄保存在安（ān）全的（de）地方。檢（jiǎn）查係統所有目錄的存取許（xǔ）可，檢（jiǎn）測Permslist是（shì）否被修改過。

◆ 進行（háng）各種（zhǒng）嚐試(使用網絡的不同部分)以識別出（chū）攻擊源。

◆ 為了使用法（fǎ）律武器打擊犯罪行為，必須保留（liú）證（zhèng）據（jù），而（ér）形成證據（jù）需要時間。為了做到這一點（diǎn），必須忍（rěn）受攻擊（jī）的衝（chōng）擊(雖然可以製定（dìng）一些安全措（cuò）施來確保攻擊不損害（hài）網（wǎng）絡)。對此（cǐ）情（qíng）形，我（wǒ）們不但要采（cǎi）取一些法律手段，而且還要至少請（qǐng）一（yī）家有權威的安全公司協助（zhù）阻止這種犯罪。這類操作（zuò）的（de）最重要特點就是取（qǔ）得犯罪的證據、並（bìng）查（chá）找犯罪者的地（dì）址，提供所擁有的日（rì）誌。對於所（suǒ）搜集到的（de）證據，應（yīng）進行（háng）有效地保（bǎo）存（cún）。在開始時製作兩（liǎng）份（fèn），一個用於（yú）評估證據（jù），另一個（gè）用於法律驗（yàn）證。

◆ 找到係統漏洞後設法堵住漏洞，並進行自我攻擊測試（shì）。

網絡安（ān）全（quán）已經（jīng）不僅僅是（shì）技術問題，而（ér）是一個社會問題。企業應（yīng）當（dāng）提高（gāo）對網絡安全重視（shì），如果一味地隻依靠技（jì）術工具，那就會（huì）越來越被動；隻有發揮社（shè）會和（hé）法律方（fāng）麵打擊網（wǎng）絡犯罪（zuì），才能更加有效。我國對於打擊網絡犯罪已經有了明（míng）確（què）的司法解釋，遺憾的是（shì）大多（duō）數企業隻重視技術環（huán）節的作用而忽略法律、社會因素，這（zhè）也是本文的寫作目的。

拒絕服務攻（gōng）擊（DoS）

DoS即Denial Of Service，拒（jù）絕服（fú）務的縮寫，可不能認（rèn）為是微軟的（de）DOS操作係（xì）統！DoS攻擊即讓目標（biāo）機器停止提供（gòng）服務或（huò）資源（yuán）訪問，通常是以消耗服務器（qì）端資（zī）源（yuán）為目標（biāo），通過偽造超（chāo）過服務器處理（lǐ）能力的請求數據造（zào）成（chéng）服務器（qì）響（xiǎng）應（yīng）阻塞，使正常的（de）用戶請求得不到應答，以實現攻擊目的。